Бодит нийтлэлүүд нь Тучагийн техникийн дэмжлэгт бичсэн захидлуудаас төрдөг. Жишээлбэл, саяхан нэгэн үйлчлүүлэгч бидэнд хандсан бөгөөд хэрэглэгчийн оффис болон үүлэн орчны хооронд VPN туннелийн дотор холболт хийх, мөн VPN туннелийн гадна холболт хийх үед юу болдог талаар тодруулах хүсэлт гаргасан. Тиймээс доорхи текстийг бүхэлд нь бид үйлчлүүлэгчдийнхээ асуултын хариуд илгээсэн бодит захидал юм. Мэдээжийн хэрэг, үйлчлүүлэгчийн нэрээ нууцлахгүйн тулд IP хаягуудыг өөрчилсөн. Гэхдээ, тийм ээ, Tucha техникийн дэмжлэг нь нарийвчилсан хариултууд, мэдээллийн имэйлүүдээрээ үнэхээр алдартай. 🙂
Мэдээжийн хэрэг, олон хүмүүсийн хувьд энэ нийтлэл илчлэлт биш гэдгийг бид ойлгож байна. Гэхдээ шинэхэн администраторуудад зориулсан нийтлэлүүд Хабр дээр үе үе гарч ирдэг, мөн энэ нийтлэл нь жинхэнэ үйлчлүүлэгчид илгээсэн жинхэнэ захидалаас гарсан тул бид энэ мэдээллийг энд хуваалцах болно. Хэн нэгэнд хэрэг болох магадлал өндөр.
Тиймээс бид үүлэн доторх сервер болон оффис нь сайт хоорондын сүлжээгээр холбогдсон тохиолдолд юу болохыг нарийвчлан тайлбарладаг. Зарим үйлчилгээг зөвхөн оффисоос авах боломжтой, заримыг нь интернетийн хаанаас ч ашиглах боломжтой гэдгийг анхаарна уу.
Манай үйлчлүүлэгч сервер дээр юу хүсч байгааг нэн даруй тайлбарлая 192.168.A.1 Та RDP-ээр холбогдож хаанаас ч ирж болно AAA2: 13389, бусад үйлчилгээг зөвхөн оффисоос авах боломжтой (192.168.B.0/24)VPN-ээр холбогдсон. Мөн үйлчлүүлэгч эхлээд машиныг тохируулсан 192.168.B.2 оффис дээр RDP-г хаанаас ч холбогдож ашиглах боломжтой байсан BBB1:11111. Бид үүл болон оффисын хооронд IPSec холболтыг зохион байгуулахад тусалсан бөгөөд хэрэглэгчийн мэдээллийн технологийн мэргэжилтэн энэ эсвэл тэр тохиолдолд юу болох талаар асуулт асууж эхлэв. Эдгээр бүх асуултанд хариулахын тулд бид түүнд доор уншиж болох бүх зүйлийг бичсэн.
Одоо эдгээр үйл явцыг илүү нарийвчлан авч үзье.
Нэгдүгээр байр
Ямар нэг зүйл илгээсэн үед 192.168.Б.0/24 в 192.168.A.0/24 эсвэл 192.168.A.0/24 в 192.168.Б.0/24, энэ нь VPN руу ордог. Өөрөөр хэлбэл, энэ пакетыг нэмж шифрлэж, хооронд нь дамжуулдаг BBB1 и AAA1гэхдээ 192.168.A.1 багцыг яг хаанаас хардаг 192.168.B.1. Тэд ямар ч протокол ашиглан хоорондоо харилцах боломжтой. Буцаах хариу нь VPN-ээр дамжуулан ижил аргаар дамждаг бөгөөд энэ нь багцаас ирсэн гэсэн үг юм 192.168.A.1 нь 192.168.B.1 -аас ESP датаграм хэлбэрээр илгээгдэх болно AAA1 тухай BBB1, чиглүүлэгч нь тэр талдаа задлах бөгөөд үүнээс пакетыг гаргаж аваад илгээнэ үү 192.168.B.1 -аас багц хэлбэрээр 192.168.A.1.
Тодорхой жишээ:
1) 192.168.B.1 руу ханддаг 192.168.A.1, -тай TCP холболт үүсгэхийг хүсч байна 192.168.А.1:3389;
2) 192.168.B.1 -аас холболтын хүсэлтийг илгээдэг 192.168.Б.1:55555 (тэр санал хүсэлт өгөх портын дугаарыг өөрөө сонгодог; цаашид бид TCP холболт үүсгэх үед систем сонгох портын дугаарын жишээ болгон 55555 дугаарыг ашиглах болно) 192.168.А.1:3389;
3) хаягтай компьютер дээр ажилладаг үйлдлийн систем 192.168.B.1, энэ пакетыг чиглүүлэгчийн гарц хаяг руу дамжуулахаар шийдсэн (192.168.B.254 манай тохиолдолд), учир нь бусад, илүү тодорхой маршрутууд 192.168.A.1, энэ нь байхгүй, тиймээс энэ нь анхдагч маршрутаар пакетыг дамжуулдаг (0.0.0.0/0);
4) үүний тулд IP хаягийн MAC хаягийг олохыг оролддог 192.168.B.254 ARP протоколын кэш хүснэгтэд. Хэрэв илрээгүй бол хаягаас илгээнэ 192.168.B.1 Сүлжээнд хэн хүсэлт ирснийг дамжуулах 192.168.Б.0/24. Хэзээ 192.168.B.254 хариуд нь түүнд MAC хаягаа илгээж, систем нь Ethernet пакетийг дамжуулж, энэ мэдээллийг кэшийн хүснэгтэд оруулна;
5) чиглүүлэгч энэ пакетыг хүлээн авч, хаашаа дамжуулахаа шийддэг: энэ нь бичигдсэн бодлоготой бөгөөд үүний дагуу бүх пакетуудыг илгээх ёстой. 192.168.Б.0/24 и 192.168.A.0/24 хооронд VPN холболтоор дамжуулах BBB1 и AAA1;
6) чиглүүлэгч нь ESP датаграммыг үүсгэдэг BBB1 тухай AAA1;
7) чиглүүлэгч нь энэ пакетыг хэн рүү илгээхийг шийддэг, тэр үүнийг илгээдэг, жишээ нь: BBB254 (ISP гарц) учир нь илүү тодорхой чиглэлүүд байдаг AAA1, 0.0.0.0/0-ээс илүү, энэ нь байхгүй;
8) өмнө нь хэлсэнтэй яг адилхан бөгөөд энэ нь MAC хаягийг олдог BBB254 мөн пакетийг ISP гарц руу дамжуулдаг;
9) Интернет үйлчилгээ үзүүлэгчид ESP датаграммыг дамжуулдаг BBB1 тухай AAA1;
10) виртуал чиглүүлэгч асаалттай AAA1 энэ датаграммыг хүлээн авч, кодыг нь тайлж, түүнээс пакет хүлээн авдаг 192.168.Б.1:55555 нь 192.168.А.1:3389;
11) виртуал чиглүүлэгч нь түүнийг хэн рүү дамжуулахыг шалгаж, чиглүүлэлтийн хүснэгтээс сүлжээг олдог 192.168.A.0/24 руу шууд илгээдэг 192.168.A.1, учир нь энэ нь интерфейстэй 192.168.A.254/24;
12) үүний тулд виртуал чиглүүлэгч нь MAC хаягийг олдог 192.168.A.1 мөн энэ пакетыг түүнд виртуал Ethernet сүлжээгээр дамжуулдаг;
13) 192.168.A.1 Энэ пакетийг 3389 порт дээр хүлээн авч, холболт үүсгэхийг зөвшөөрч, хариуд нь пакет үүсгэнэ. 192.168.А.1:3389 тухай 192.168.Б.1:55555;
14) түүний систем нь энэ пакетийг виртуал чиглүүлэгчийн гарц хаяг руу дамжуулдаг (192.168.A.254 манай тохиолдолд), учир нь бусад, илүү тодорхой маршрутууд 192.168.B.1, энэ нь байхгүй, тиймээс энэ нь анхдагч маршрутаар пакетыг дамжуулах ёстой (0.0.0.0/0);
15) өмнөх тохиолдлуудын адил хаягтай сервер дээр ажилладаг систем 192.168.A.1, MAC хаягийг олно 192.168.A.254, учир нь энэ нь интерфейстэйгээ нэг сүлжээнд байдаг 192.168.A.1/24;
16) виртуал чиглүүлэгч нь энэ пакетыг хүлээн авч, хаашаа дамжуулахаа шийддэг: энэ нь бичигдсэн бодлоготой бөгөөд үүний дагуу бүх пакетуудыг илгээх ёстой. 192.168.A.0/24 и 192.168.Б.0/24 хооронд VPN холболтоор дамжуулах AAA1 и BBB1;
17) виртуал чиглүүлэгч нь ESP датаграммыг үүсгэдэг AAA1 нь BBB1;
18) виртуал чиглүүлэгч нь энэ пакетийг хэн рүү илгээхийг шийдэж, илгээдэг AAA254 (ISP гарц, энэ тохиолдолд бид ч мөн адил), учир нь илүү тодорхой чиглэлүүд байдаг BBB1, 0.0.0.0/0-ээс илүү, энэ нь байхгүй;
19) Интернэт үйлчилгээ үзүүлэгчид ESP датаграммыг өөрийн сүлжээгээр дамжуулдаг AAA1 тухай BBB1;
20) чиглүүлэгч асаалттай BBB1 энэ датаграммыг хүлээн авч, кодыг нь тайлж, түүнээс пакет хүлээн авдаг 192.168.А.1:3389 нь 192.168.Б.1:55555;
21) тэр үүнийг тусгайлан шилжүүлэх ёстой гэж ойлгож байна 192.168.B.1, тэр түүнтэй нэг сүлжээнд байгаа тул чиглүүлэлтийн хүснэгтэд тохирох оруулгатай бөгөөд энэ нь түүнийг бүхэлд нь пакет илгээхэд хүргэдэг. 192.168.Б.0/24 шууд;
22) чиглүүлэгч нь MAC хаягийг олдог 192.168.B.1 мөн түүнд энэ багцыг өг;
23) хаягтай компьютер дээрх үйлдлийн систем 192.168.B.1 -аас багц хүлээн авдаг 192.168.А.1:3389 нь 192.168.Б.1:55555 мөн TCP холболт үүсгэх дараагийн алхмуудыг эхлүүлнэ.
Энэ жишээ нь 2-4-р түвшинд юу тохиолдохыг нэлээд товч бөгөөд хялбаршуулсан байдлаар (мөн бусад дэлгэрэнгүй мэдээллийг эндээс санаж болно) дүрсэлсэн болно. 1, 5-7 түвшинг тооцохгүй.
Хоёр дахь байрлал
Хэрэв хамт бол 192.168.Б.0/24 ямар нэг зүйл тусгайлан илгээсэн AAA2, энэ нь VPN руу ордоггүй, гэхдээ шууд. Энэ нь хаягаас хэрэглэгч бол 192.168.B.1 руу ханддаг AAA2: 13389, энэ пакет хаягаас ирдэг BBB1, дамжуулдаг AAA2, дараа нь чиглүүлэгч үүнийг хүлээн авч, дамжуулдаг 192.168.A.1. 192.168.A.1 талаар юу ч мэдэхгүй 192.168.B.1, тэр илгээмжийг харж байна BBB1, учир нь тэр түүнийг авсан. Тиймээс энэ хүсэлтийн хариу нь ерөнхий чиг хандлагыг дагаж байгаа бөгөөд энэ нь хаягаас яг адилхан ирдэг AAA2 болон очдог BBB1, мөн тэр чиглүүлэгч энэ хариултыг илгээдэг 192.168.B.1, тэр хариултыг харж байна AAA2, тэр хэнд хандсан.
Тодорхой жишээ:
1) 192.168.B.1 руу ханддаг AAA2, -тай TCP холболт үүсгэхийг хүсч байна AAA2: 13389;
2) 192.168.B.1 -аас холболтын хүсэлтийг илгээдэг 192.168.Б.1:55555 (өмнөх жишээний адил энэ тоо өөр байж болно) дээр AAA2: 13389;
3) хаягтай компьютер дээр ажилладаг үйлдлийн систем 192.168.B.1, энэ пакетыг чиглүүлэгчийн гарц хаяг руу дамжуулахаар шийдсэн (192.168.B.254 манай тохиолдолд), учир нь бусад, илүү тодорхой маршрутууд AAA2, энэ нь байхгүй бөгөөд энэ нь пакетыг анхдагч маршрутаар дамжуулдаг гэсэн үг юм (0.0.0.0/0);
4) үүний тулд өмнөх жишээн дээр дурдсанчлан IP хаягийн MAC хаягийг олохыг оролддог 192.168.B.254 ARP протоколын кэш хүснэгтэд. Хэрэв илрээгүй бол хаягаас илгээнэ 192.168.B.1 Сүлжээнд хэн хүсэлт ирснийг дамжуулах 192.168.Б.0/24. Хэзээ 192.168.B.254 хариуд нь түүнд MAC хаягаа илгээж, систем нь Ethernet пакетийг дамжуулж, энэ мэдээллийг кэшийн хүснэгтэд оруулна;
5) чиглүүлэгч энэ пакетыг хүлээн авч, хаашаа дамжуулахаа шийддэг: энэ нь бичигдсэн бодлоготой бөгөөд үүний дагуу бүх пакетуудыг дамжуулах (буцах хаягийг солих) ёстой. 192.168.Б.0/24 бусад интернетийн зангилаа руу;
6) энэ бодлого нь буцах хаяг нь энэ пакетийг дамжуулах интерфейс дээрх доод хаягтай тохирч байх ёстой гэсэн утгатай тул чиглүүлэгч эхлээд энэ пакетийг яг хэн рүү илгээхээ шийдэж, өмнөх жишээн дээрх шиг илгээх ёстой. руу BBB254 (ISP гарц) учир нь илүү тодорхой чиглэлүүд байдаг AAA2, 0.0.0.0/0-ээс илүү, энэ нь байхгүй;
7) иймээс чиглүүлэгч нь пакетийн буцах хаягийг орлуулж байгаа тул пакет нь үүнээс хойшхи юм BBB1:44444 (Мэдээж портын дугаар өөр байж болно) to AAA2: 13389;
8) чиглүүлэгч нь юу хийснээ санаж байгаа бөгөөд энэ нь хэзээ гэсэн үг юм AAA2: 13389 к BBB1:44444 Хариу ирэхэд тэр очих хаяг болон портоо өөрчлөх ёстойгоо мэдэх болно 192.168.Б.1:55555.
9) одоо чиглүүлэгч үүнийг ISP сүлжээнд дамжуулах ёстой BBB254Тиймээс, бидний өмнө дурдсанчлан энэ нь MAC хаягийг олдог BBB254 мөн пакетийг ISP гарц руу дамжуулдаг;
10) Интернэт үйлчилгээ үзүүлэгчээс пакетуудыг дамжуулдаг BBB1 тухай AAA2;
11) виртуал чиглүүлэгч асаалттай AAA2 энэ багцыг 13389 порт дээр хүлээн авах;
12) виртуал чиглүүлэгч дээр энэ портын аль ч илгээгчээс хүлээн авсан пакетуудыг дамжуулах ёстой гэсэн дүрэм байдаг. 192.168.А.1:3389;
13) виртуал чиглүүлэгч нь чиглүүлэлтийн хүснэгтээс сүлжээг олдог 192.168.A.0/24 мөн шууд илгээдэг 192.168.А.1 учир нь энэ нь интерфейстэй 192.168.A.254/24;
14) үүний тулд виртуал чиглүүлэгч нь MAC хаягийг олдог 192.168.A.1 мөн энэ пакетыг түүнд виртуал Ethernet сүлжээгээр дамжуулдаг;
15) 192.168.A.1 Энэ пакетийг 3389 порт дээр хүлээн авч, холболт үүсгэхийг зөвшөөрч, хариуд нь пакет үүсгэнэ. 192.168.А.1:3389 тухай BBB1:44444;
16) түүний систем нь энэ пакетийг виртуал чиглүүлэгчийн гарц хаяг руу дамжуулдаг (192.168.A.254 манай тохиолдолд), учир нь бусад, илүү тодорхой маршрутууд BBB1, энэ нь байхгүй, тиймээс энэ нь анхдагч маршрутаар пакетыг дамжуулах ёстой (0.0.0.0/0);
17) өмнөх тохиолдлуудтай яг адилхан, хаягтай сервер дээр ажилладаг систем 192.168.A.1, MAC хаягийг олно 192.168.A.254, учир нь энэ нь интерфейстэйгээ нэг сүлжээнд байдаг 192.168.A.1/24;
18) виртуал чиглүүлэгч энэ багцыг хүлээн авдаг. Тэр хүлээн авсан зүйлээ санаж байгааг тэмдэглэх нь зүйтэй AAA2: 13389 -аас багц BBB1:44444 мөн түүний хүлээн авагчийн хаяг, портыг өөрчилсөн 192.168.А.1:3389, тиймээс, багцаас 192.168.А.1:3389 нь BBB1:44444 Энэ нь илгээгчийн хаягийг өөрчилдөг AAA2: 13389;
19) виртуал чиглүүлэгч нь энэ пакетийг хэн рүү илгээхийг шийддэг, тэр нь илгээдэг AAA254 (ISP гарц, энэ тохиолдолд бид ч мөн адил), учир нь илүү тодорхой чиглэлүүд байдаг BBB1, 0.0.0.0/0-ээс илүү, энэ нь байхгүй;
20) Интернэт үйлчилгээ үзүүлэгчид нь пакет дамжуулдаг AAA2 тухай BBB1;
21) чиглүүлэгч асаалттай BBB1 энэ пакетыг хүлээн авсан бөгөөд тэр илгээсэн илгээмжийг санаж байна 192.168.Б.1:55555 нь AAA2: 13389, тэр хаяг болон илгээгчийн портоо өөрчилсөн BBB1:44444, тэгвэл энэ нь илгээх шаардлагатай хариу юм 192.168.Б.1:55555 (үнэндээ өөр хэд хэдэн шалгалт байгаа ч бид үүнд гүнзгийрээгүй);
22) тэр үүнийг шууд дамжуулах ёстой гэдгийг ойлгодог 192.168.B.1, тэр түүнтэй нэг сүлжээнд байгаа тул чиглүүлэлтийн хүснэгтэд тохирох оруулгатай бөгөөд энэ нь түүнийг бүхэлд нь пакет илгээхэд хүргэдэг. 192.168.Б.0/24 шууд;
23) чиглүүлэгч нь MAC хаягийг олдог 192.168.B.1 мөн түүнд энэ багцыг өг;
24) хаягтай компьютер дээрх үйлдлийн систем 192.168.B.1 -аас багц хүлээн авдаг AAA2: 13389 нь 192.168.Б.1:55555 мөн TCP холболт үүсгэх дараагийн алхмуудыг эхлүүлнэ.
Энэ тохиолдолд хаягтай компьютер гэдгийг тэмдэглэх нь зүйтэй 192.168.B.1 хаягтай серверийн талаар юу ч мэдэхгүй 192.168.A.1, тэр зөвхөн түүнтэй харилцдаг AAA2. Үүний нэгэн адил хаягтай сервер 192.168.A.1 хаягтай компьютерын талаар юу ч мэдэхгүй 192.168.B.1. Тэр хаягнаас холбогдсон гэж үзэж байгаа BBB1, мөн тэр өөр юу ч мэдэхгүй, өөрөөр хэлбэл.
Түүнчлэн хэрэв энэ компьютер ханддаг гэдгийг тэмдэглэх нь зүйтэй AAA2: 1540, 1540 порт руу холболт дамжуулах нь виртуал сүлжээн дэх ямар ч сервер дээр байсан ч гэсэн виртуал чиглүүлэгч дээр тохируулагдаагүй тул холболт үүсэхгүй. 192.168.A.0/24 (жишээ нь, хаягтай сервер дээр 192.168.A.1) мөн энэ порт дээр холболт хүлээж байгаа зарим үйлчилгээ байдаг. хаягтай компьютер хэрэглэгч бол 192.168.B.1 Энэ үйлчилгээнд холболт хийх нь зайлшгүй шаардлагатай бөгөөд энэ нь VPN ашиглах ёстой, өөрөөр хэлбэл. шууд холбоо барина уу 192.168.А.1:1540.
-тай холбоо тогтоох гэсэн аливаа оролдлого гэдгийг онцлон хэлэх хэрэгтэй AAA1 (IPSec холболтоос бусад BBB1 амжилтанд хүрэхгүй. -тай холбоо тогтоох аливаа оролдлого AAA2, 13389 портын холболтоос бусад нь амжилтгүй болно.
Хэрэв тийм бол бид бас анхаарна уу AAA2 Хэрэв өөр хэн нэгэн өргөдөл гаргасан бол (жишээлбэл, CCCC) 10-20-р зүйлд заасан бүх зүйл түүнд хамаарна. Үүнээс өмнө болон дараа нь юу болох нь энэ CCCC-ийн ард яг юу байгаагаас шалтгаална. Бидэнд ийм мэдээлэл байхгүй тул CCCC хаягтай зангилааны администраторуудтай зөвлөлдөхийг зөвлөж байна.
Гуравдугаар байр
Мөн эсрэгээр, хэрэв хамт байвал 192.168.A.1 BBB1 (жишээ нь, 11111) руу дамжуулахаар тохируулагдсан зарим порт руу ямар нэг зүйл илгээгдсэн бол энэ нь VPN-д ордоггүй, харин зүгээр л урсдаг. AAA1 мөн ордог BBB1, мөн тэр үүнийг аль хэдийн хаа нэгтээ дамжуулсан, хэлье: 192.168.Б.2:3389. Тэр энэ багцыг хаанаас биш харж байна 192.168.A.1ба түүнээс AAA1. Тэгээд хэзээ 192.168.B.2 гэж хариулсан бол багц нь ирсэн байна BBB1 тухай AAA1, дараа нь холболт үүсгэгч рүү очно - 192.168.A.1.
Тодорхой жишээ:
1) 192.168.A.1 руу ханддаг BBB1, -тай TCP холболт үүсгэхийг хүсч байна BBB1:11111;
2) 192.168.A.1 -аас холболтын хүсэлтийг илгээдэг 192.168.А.1:55555 (өмнөх жишээний адил энэ тоо өөр байж болно) дээр BBB1:11111;
3) хаягтай сервер дээр ажилладаг үйлдлийн систем 192.168.A.1, энэ пакетыг чиглүүлэгчийн гарц хаяг руу дамжуулахаар шийдсэн (192.168.A.254 манай тохиолдолд), учир нь бусад, илүү тодорхой маршрутууд BBB1, энэ нь байхгүй, тиймээс энэ нь анхдагч маршрутаар пакетыг дамжуулдаг (0.0.0.0/0);
4) үүний тулд бид өмнөх жишээнүүдэд дурдсанчлан IP хаягийн MAC хаягийг олохыг оролддог 192.168.A.254 ARP протоколын кэш хүснэгтэд. Хэрэв илрээгүй бол хаягаас илгээнэ 192.168.A.1 Сүлжээнд хэн хүсэлт ирснийг дамжуулах 192.168.A.0/24. Хэзээ 192.168.A.254 хариуд нь тэр түүнд MAC хаягаа илгээж, систем нь Ethernet пакетийг дамжуулж, энэ мэдээллийг кэшийн хүснэгтэд оруулна;
5) виртуал чиглүүлэгч нь энэ пакетийг хүлээн авч, хаашаа дамжуулахаа шийддэг: энэ нь бичигдсэн бодлоготой бөгөөд үүний дагуу бүх пакетуудыг дамжуулах (буцах хаягийг солих) ёстой. 192.168.A.0/24 бусад интернетийн зангилаа руу;
6) энэ бодлого нь буцах хаяг нь энэ пакетийг дамжуулах интерфейс дээрх доод хаягтай тохирч байх ёстой гэж үздэг тул виртуал чиглүүлэгч эхлээд энэ пакетийг яг хэн рүү илгээхээ шийддэг бөгөөд өмнөх жишээн дээрх шиг илгээх ёстой. дээр AAA254 (ISP гарц, энэ тохиолдолд бид ч мөн адил), учир нь илүү тодорхой чиглэлүүд байдаг BBB1, 0.0.0.0/0-ээс илүү, энэ нь байхгүй;
7) энэ нь виртуал чиглүүлэгч нь пакетийн буцах хаягийг орлуулдаг гэсэн үг бөгөөд одооноос эхлэн энэ нь багц болно. AAA1: 44444 (Мэдээж портын дугаар өөр байж болно) to BBB1:11111;
8) виртуал чиглүүлэгч нь юу хийснээ санаж байгаа тул хэзээнээс BBB1:11111 нь AAA1: 44444 Хариу ирэхэд тэр очих хаяг болон портоо өөрчлөх ёстойгоо мэдэх болно 192.168.А.1:55555.
9) одоо виртуал чиглүүлэгч үүнийг ISP сүлжээнд дамжуулах ёстой AAA254, тиймээс бидний өмнө дурдсанчлан энэ нь MAC хаягийг олдог AAA254 мөн пакетийг ISP гарц руу дамжуулдаг;
10) Интернэт үйлчилгээ үзүүлэгчээс пакетуудыг дамжуулдаг AAA1-ээс BBB1 хүртэл;
11) чиглүүлэгч асаалттай BBB1 энэ багцыг 11111 порт дээр хүлээн авах;
12) виртуал чиглүүлэгч дээр энэ портын аль ч илгээгчээс ирсэн пакетуудыг дамжуулах ёстой гэсэн дүрэм байдаг. 192.168.Б.2:3389;
13) чиглүүлэгч нь чиглүүлэлтийн хүснэгтээс сүлжээг олдог 192.168.Б.0/24 руу шууд илгээдэг 192.168.B.2, учир нь энэ нь интерфейстэй 192.168.Б.254/24;
14) үүний тулд виртуал чиглүүлэгч нь MAC хаягийг олдог 192.168.B.2 мөн энэ пакетыг түүнд виртуал Ethernet сүлжээгээр дамжуулдаг;
15) 192.168.B.2 Энэ пакетийг 3389 порт дээр хүлээн авч, холболт үүсгэхийг зөвшөөрч, хариуд нь пакет үүсгэнэ. 192.168.Б.2:3389 тухай AAA1: 44444;
16) түүний систем нь энэ пакетыг чиглүүлэгчийн гарц хаяг руу дамжуулдаг (192.168.B.254 манай тохиолдолд), учир нь бусад, илүү тодорхой маршрутууд AAA1, энэ нь байхгүй, тиймээс энэ нь анхдагч маршрутаар пакетыг дамжуулах ёстой (0.0.0.0/0);
17) өмнөх тохиолдлуудын нэгэн адил хаягтай компьютер дээр ажилладаг систем 192.168.B.2, MAC хаягийг олно 192.168.B.254, учир нь энэ нь интерфейстэйгээ нэг сүлжээнд байдаг 192.168.Б.2/24;
18) чиглүүлэгч энэ багцыг хүлээн авдаг. Тэр хүлээн авсан зүйлээ санаж байгааг тэмдэглэх нь зүйтэй BBB1:11111 -аас багц AAA1 мөн түүний хүлээн авагчийн хаяг, портыг өөрчилсөн 192.168.Б.2:3389, тиймээс, багцаас 192.168.Б.2:3389 нь AAA1: 44444 Энэ нь илгээгчийн хаягийг өөрчилдөг BBB1:11111;
19) чиглүүлэгч нь энэ пакетыг хэн рүү илгээхийг шийддэг. Тэр үүнийг илгээдэг, хэлэх нь: BBB254 (ISP гарц, яг хаягийг нь бид мэдэхгүй), учир нь өөр тодорхой маршрут байхгүй. AAA1, 0.0.0.0/0-ээс илүү, энэ нь байхгүй;
20) Интернэт үйлчилгээ үзүүлэгчид нь пакет дамжуулдаг BBB1 тухай AAA1;
21) виртуал чиглүүлэгч асаалттай AAA1 энэ пакетыг хүлээн авсан бөгөөд тэр илгээсэн илгээмжийг санаж байна 192.168.А.1:55555 нь BBB1:11111, тэр хаяг болон илгээгчийн портоо өөрчилсөн AAA1: 44444. Энэ нь хариу илгээх шаардлагатай гэсэн үг юм 192.168.А.1:55555 (үнэндээ бид өмнөх жишээн дээр дурдсанчлан өөр хэд хэдэн шалгалтууд байгаа боловч энэ удаад бид тэдгээрийг гүнзгийрүүлэхгүй);
22) тэр үүнийг шууд дамжуулах ёстой гэдгийг ойлгодог 192.168.A.1, тэр түүнтэй нэг сүлжээнд байгаа тул чиглүүлэлтийн хүснэгтэд түүнийг бүхэлд нь пакет илгээхийг албадах харгалзах оруулга байгаа гэсэн үг юм. 192.168.A.0/24 шууд;
23) чиглүүлэгч нь MAC хаягийг олдог 192.168.A.1 мөн түүнд энэ багцыг өг;
24) хаягтай сервер дээрх үйлдлийн систем 192.168.A.1 -аас багц хүлээн авдаг BBB1:11111 нь 192.168.А.1:55555 мөн TCP холболт үүсгэх дараагийн алхмуудыг эхлүүлнэ.
Өмнөх тохиолдолтой яг адилхан, энэ тохиолдолд хаягтай сервер 192.168.A.1 хаягтай компьютерын талаар юу ч мэдэхгүй 192.168.B.1, тэр зөвхөн түүнтэй харилцдаг BBB1. Хаягтай компьютер 192.168.B.1 Мөн хаягтай серверийн талаар юу ч мэдэхгүй 192.168.A.1. Тэр хаягнаас холбогдсон гэж үзэж байгаа AAA1, үлдсэн хэсэг нь түүнээс нуугдаж байна.
дүгнэлт
Үйлчлүүлэгчийн оффис болон үүл орчны хоорондох VPN хонгил доторх холболтууд, мөн VPN туннелийн гаднах холболтуудад бүх зүйл ингэж болдог. Хэрэв танд асуулт байгаа бол эсвэл үүлний асуудлыг шийдвэрлэхэд бидний тусламж хэрэгтэй бол,
Эх сурвалж: www.habr.com