Pravi članki se rodijo iz pisem tehnični podpori Tucha. Nedavno se je na nas na primer obrnila stranka s prošnjo za pojasnilo, kaj se dogaja med povezavami znotraj tunela VPN med pisarno uporabnika in oblačnim okoljem ter med povezavami zunaj tunela VPN. Zato je celotno spodnje besedilo dejansko pismo, ki smo ga poslali enemu od naših naročnikov kot odgovor na njegovo vprašanje. Seveda so bili naslovi IP spremenjeni, da ne bi deanonimizirali odjemalca. Ampak, da, tehnična podpora Tucha je resnično znana po svojih podrobnih odgovorih in informativnih e-poštnih sporočilih. 🙂
Seveda razumemo, da za mnoge ta članek ne bo razodetje. Ker pa se na Habru občasno pojavijo članki za skrbnike začetnike in ker se je ta članek pojavil iz resničnega pisma resnični stranki, bomo te informacije še vedno delili tukaj. Obstaja velika verjetnost, da bo komu koristilo.
Zato podrobno pojasnjujemo, kaj se dogaja med strežnikom v oblaku in pisarno, če sta povezana z omrežjem site-to-site. Upoštevajte, da so nekatere storitve dostopne le iz pisarne, nekatere pa od koder koli na internetu.
Naj takoj pojasnimo, kaj je naša stranka želela na strežniku 192.168.A.1 lahko pridete od koderkoli prek RDP in se povežete z AAA2:13389, do ostalih storitev pa dostop samo iz pisarne (192.168.B.0/24)povezan prek VPN. Prav tako je imela stranka prvotno konfigurirano, da avto 192.168.B.2 v pisarni je bilo mogoče RDP uporabljati tudi od koderkoli, povezovanje z BBB1:11111. Pomagali smo organizirati IPSec povezave med oblakom in pisarno, naročnikov informatik pa je začel spraševati, kaj se bo zgodilo v tem ali onem primeru. Za odgovore na vsa ta vprašanja smo mu pravzaprav napisali vse, kar lahko preberete spodaj.
Oglejmo si te procese podrobneje.
Položaj ena
Ko je nekaj poslano iz 192.168.B.0/24 в 192.168.A.0/24 ali od 192.168.A.0/24 в 192.168.B.0/24, pride v VPN. To pomeni, da je ta paket dodatno šifriran in se prenaša med BBB1 и AAA1Vendar 192.168.A.1 vidi paket točno od 192.168.B.1. Med seboj lahko komunicirajo s katerim koli protokolom. Povratni odgovori se prenašajo na enak način prek VPN, kar pomeni, da paket od 192.168.A.1 za 192.168.B.1 bo poslan kot datagram ESP od AAA1 o BBB1, ki ga bo usmerjevalnik razgrnil na tisti strani, iz njega vzel ta paket in ga poslal na 192.168.B.1 kot paket od 192.168.A.1.
Poseben primer:
1) 192.168.B.1 poziva k 192.168.A.1, želi vzpostaviti povezavo TCP z 192.168.A.1:3389;
2) 192.168.B.1 pošlje zahtevo za povezavo od 192.168.B.1:55555 (številko vrat za povratno informacijo izbere sam; v nadaljevanju bomo uporabili številko 55555 kot primer številke vrat, ki jih sistem izbere pri vzpostavljanju povezave TCP) na 192.168.A.1:3389;
3) operacijski sistem, ki deluje na računalniku z naslovom 192.168.B.1, se odloči posredovati ta paket na naslov prehoda usmerjevalnika (192.168.B.254 v našem primeru), ker druge, bolj specifične poti za 192.168.A.1, nima, zato oddaja paket po privzeti poti (0.0.0.0/0);
4) za to poskuša najti naslov MAC za naslov IP 192.168.B.254 v tabeli predpomnilnika protokola ARP. Če ni zaznan, pošlje z naslova 192.168.B.1 oddajanje zahteve kdo ima v omrežje 192.168.B.0/24. Kdaj 192.168.B.254 v odgovor mu pošlje svoj naslov MAC, sistem zanj odda ethernetni paket in te podatke vnese v svojo predpomnilniško tabelo;
5) usmerjevalnik prejme ta paket in se odloči, kam ga bo posredoval: ima napisano politiko, po kateri mora poslati vse pakete med 192.168.B.0/24 и 192.168.A.0/24 prenos prek povezave VPN med BBB1 и AAA1;
6) usmerjevalnik ustvari datagram ESP iz BBB1 o AAA1;
7) usmerjevalnik se odloči, komu bo poslal ta paket, pošlje ga, recimo, BBB254 (prehod ISP), ker obstajajo bolj specifične poti do AAA1, kot 0.0.0.0/0, nima;
8) popolnoma enako kot že rečeno, poišče MAC naslov za BBB254 in pošlje paket na prehod ISP;
9) Internetni ponudniki posredujejo datagram ESP iz BBB1 o AAA1;
10) vklopljen virtualni usmerjevalnik AAA1 prejme ta datagram, ga dešifrira in prejme paket od 192.168.B.1:55555 za 192.168.A.1:3389;
11) virtualni usmerjevalnik preveri, komu ga posreduje, najde omrežje v usmerjevalni tabeli 192.168.A.0/24 in ga pošlje neposredno na 192.168.A.1, ker ima vmesnik 192.168.A.254/24;
12) za to virtualni usmerjevalnik najde naslov MAC za 192.168.A.1 in mu ta paket posreduje preko virtualnega omrežja Ethernet;
13) 192.168.A.1 prejme ta paket na vratih 3389, se strinja z vzpostavitvijo povezave in generira paket kot odgovor od 192.168.A.1:3389 o 192.168.B.1:55555;
14) njegov sistem pošlje ta paket na naslov prehoda virtualnega usmerjevalnika (192.168.A.254 v našem primeru), ker druge, bolj specifične poti za 192.168.B.1, nima, zato mora paket poslati po privzeti poti (0.0.0.0/0);
15) enako kot v prejšnjih primerih, sistem, ki teče na strežniku z naslovom 192.168.A.1, poišče naslov MAC 192.168.A.254, saj je v istem omrežju s svojim vmesnikom 192.168.A.1/24;
16) virtualni usmerjevalnik sprejme ta paket in se odloči, kam ga bo posredoval: ima napisano politiko, po kateri mora poslati vse pakete med 192.168.A.0/24 и 192.168.B.0/24 prenos prek povezave VPN med AAA1 и BBB1;
17) virtualni usmerjevalnik ustvari datagram ESP iz AAA1 za BBB1;
18) virtualni usmerjevalnik se odloči, komu bo poslal ta paket, ga pošlje AAA254 (prehod ISP, v tem primeru smo to tudi mi), ker obstajajo bolj specifične poti do BBB1, kot 0.0.0.0/0, nima;
19) Internetni ponudniki posredujejo datagram ESP preko svojih omrežij z AAA1 o BBB1;
20) usmerjevalnik vklopljen BBB1 prejme ta datagram, ga dešifrira in prejme paket od 192.168.A.1:3389 za 192.168.B.1:55555;
21) razume, da ga je treba prenesti posebej na 192.168.B.1, ker je z njim v istem omrežju, ima torej ustrezen vnos v usmerjevalni tabeli, ki ga sili v pošiljanje paketov za celotno 192.168.B.0/24 neposredno;
22) usmerjevalnik najde naslov MAC za 192.168.B.1 in mu izroči ta paket;
23) operacijski sistem na računalniku z naslovom 192.168.B.1 prejme paket od 192.168.A.1:3389 za 192.168.B.1:55555 in sproži naslednje korake za vzpostavitev povezave TCP.
Ta primer precej jedrnato in poenostavljeno (in tukaj si lahko zapomnite še kup drugih podrobnosti) opisuje dogajanje na stopnjah 2-4. Stopnje 1, 5-7 se ne upoštevajo.
Položaj dva
Če z 192.168.B.0/24 nekaj je poslano posebej za AAA2, ne gre na VPN, ampak neposredno. Se pravi, če uporabnik z naslova 192.168.B.1 poziva k AAA2:13389, ta paket prihaja z naslova BBB1, gre naprej AAA2, nato pa ga usmerjevalnik prejme in pošlje 192.168.A.1. 192.168.A.1 ne ve ničesar o 192.168.B.1, vidi paket od BBB1, ker ga je dobil. Zato gre odgovor na to zahtevo po splošni poti, z naslova prihaja na enak način AAA2 in gre v BBB1in ta usmerjevalnik pošlje ta odgovor na 192.168.B.1, vidi odgovor od AAA2, na katerega se je obrnil.
Poseben primer:
1) 192.168.B.1 poziva k AAA2, želi vzpostaviti povezavo TCP z AAA2:13389;
2) 192.168.B.1 pošlje zahtevo za povezavo od 192.168.B.1:55555 (ta številka, kot v prejšnjem primeru, je lahko drugačna) na AAA2:13389;
3) operacijski sistem, ki deluje na računalniku z naslovom 192.168.B.1, se odloči posredovati ta paket na naslov prehoda usmerjevalnika (192.168.B.254 v našem primeru), ker druge, bolj specifične poti za AAA2, ga nima, kar pomeni, da paket prenaša po privzeti poti (0.0.0.0/0);
4) za to, kot smo omenili v prejšnjem primeru, poskuša najti naslov MAC za naslov IP 192.168.B.254 v tabeli predpomnilnika protokola ARP. Če ni zaznan, pošlje z naslova 192.168.B.1 oddajanje zahteve kdo ima v omrežje 192.168.B.0/24. Kdaj 192.168.B.254 v odgovor mu pošlje svoj naslov MAC, sistem zanj odda ethernetni paket in te podatke vnese v svojo predpomnilniško tabelo;
5) usmerjevalnik prejme ta paket in se odloči, kam ga bo posredoval: ima napisano politiko, po kateri mora posredovati (zamenjava povratnega naslova) vse pakete iz 192.168.B.0/24 na druga internetna vozlišča;
6) ker ta politika pomeni, da se mora povratni naslov ujemati z nizkim naslovom na vmesniku, prek katerega se bo ta paket prenašal, se usmerjevalnik najprej odloči, komu točno bo poslal ta paket, on pa ga mora, kot v prejšnjem primeru, poslati do BBB254 (prehod ISP), ker obstajajo bolj specifične poti do AAA2, kot 0.0.0.0/0, nima;
7) zato usmerjevalnik zamenja povratni naslov paketa, odslej je paket od BBB1:44444 (številka vrat je seveda lahko drugačna) do AAA2:13389;
8) usmerjevalnik si zapomni, kaj je naredil, kar pomeni, kdaj AAA2:13389 к BBB1:44444 prispe odgovor, bo vedel, da mora spremeniti ciljni naslov in vrata 192.168.B.1:55555.
9) zdaj bi ga moral usmerjevalnik posredovati omrežju ISP prek BBB254torej, kot smo že omenili, poišče naslov MAC za BBB254 in pošlje paket na prehod ISP;
10) Internetni ponudniki prenašajo pakete iz BBB1 o AAA2;
11) vklopljen virtualni usmerjevalnik AAA2 prejme ta paket na vratih 13389;
12) na virtualnem usmerjevalniku obstaja pravilo, ki določa, da morajo biti paketi, prejeti od katerega koli pošiljatelja na teh vratih, poslani v 192.168.A.1:3389;
13) virtualni usmerjevalnik najde omrežje v usmerjevalni tabeli 192.168.A.0/24 in ga pošlje neposredno 192.168.A.1, ker ima vmesnik 192.168.A.254/24;
14) za to virtualni usmerjevalnik najde naslov MAC za 192.168.A.1 in mu ta paket posreduje preko virtualnega omrežja Ethernet;
15) 192.168.A.1 prejme ta paket na vratih 3389, se strinja z vzpostavitvijo povezave in generira paket kot odgovor od 192.168.A.1:3389 o BBB1:44444;
16) njegov sistem pošlje ta paket na naslov prehoda virtualnega usmerjevalnika (192.168.A.254 v našem primeru), ker druge, bolj specifične poti za BBB1, nima, zato mora paket poslati po privzeti poti (0.0.0.0/0);
17) popolnoma enako kot v prejšnjih primerih, sistem, ki teče na strežniku z naslovom 192.168.A.1, poišče naslov MAC 192.168.A.254, saj je v istem omrežju s svojim vmesnikom 192.168.A.1/24;
18) virtualni usmerjevalnik prejme ta paket. Treba je omeniti, da se spomni, kaj je prejel na AAA2:13389 paket od BBB1:44444 in spremenil naslov in vrata svojega prejemnika v 192.168.A.1:3389, torej paket iz 192.168.A.1:3389 za BBB1:44444 spremeni naslov pošiljatelja v AAA2:13389;
19) virtualni usmerjevalnik se odloči, komu bo poslal ta paket, ga pošlje AAA254 (prehod ISP, v tem primeru smo to tudi mi), ker obstajajo bolj specifične poti do BBB1, kot 0.0.0.0/0, nima;
20) Internetni ponudniki posredujejo paket s AAA2 o BBB1;
21) usmerjevalnik vklopljen BBB1 prejme ta paket in si zapomni, da ko je poslal paket od 192.168.B.1:55555 za AAA2:13389, je spremenil naslov in vrata pošiljatelja v BBB1:44444, potem je to odgovor, ki ga je treba poslati 192.168.B.1:55555 (pravzaprav je tam še več pregledov, vendar se v to ne spuščamo globoko);
22) razume, da bi ga bilo treba posredovati neposredno 192.168.B.1, ker je z njim v istem omrežju, ima torej ustrezen vnos v usmerjevalni tabeli, ki ga sili v pošiljanje paketov za celotno 192.168.B.0/24 neposredno;
23) usmerjevalnik najde naslov MAC za 192.168.B.1 in mu izroči ta paket;
24) operacijski sistem na računalniku z naslovom 192.168.B.1 prejme paket od AAA2:13389 za 192.168.B.1:55555 in sproži naslednje korake za vzpostavitev povezave TCP.
Opozoriti je treba, da je v tem primeru računalnik z naslovom 192.168.B.1 ne ve ničesar o strežniku z naslovom 192.168.A.1, komunicira samo s AAA2. Prav tako strežnik z naslovom 192.168.A.1 ne ve ničesar o računalniku z naslovom 192.168.B.1. Meni, da je bil povezan z naslova BBB1, drugega pa tako rekoč ne zna.
Upoštevati je treba tudi, da če ta računalnik dostopa AAA2:1540, povezava ne bo vzpostavljena, ker posredovanje povezave na vrata 1540 ni konfigurirano na navideznem usmerjevalniku, tudi če na katerem koli strežniku v navideznem omrežju 192.168.A.0/24 (na primer na strežniku z naslovom 192.168.A.1) in nekatere storitve čakajo na povezave na teh vratih. Če uporabnik računalnika z naslovom 192.168.B.1 Nujno je vzpostaviti povezavo s to storitvijo, uporabljati mora VPN, tj. kontaktirajte neposredno 192.168.A.1:1540.
Poudariti, da je vsak poskus navezovanja povezave z AAA1 (razen povezave IPSec iz BBB1 ne bo uspešen. Kakršni koli poskusi navezovanja povezav z AAA2, razen za povezave do vrat 13389, prav tako ne bo uspešna.
Opozarjamo tudi, da če AAA2 Če se prijavi kdo drug (na primer CCCC), bo vse, kar je navedeno v odstavkih 10-20, veljalo tudi zanj. Kaj se zgodi pred in po tem, je odvisno od tega, kaj točno stoji za tem CCCC. Takšnih informacij nimamo, zato vam svetujemo, da se posvetujete s skrbniki vozlišča z naslovom CCCC
Položaj tri
In, nasprotno, če z 192.168.A.1 nekaj je poslano na neka vrata, ki so konfigurirana za posredovanje navznoter na BBB1 (na primer 11111), prav tako ne konča v VPN, ampak preprosto teče iz AAA1 in vstopi BBB1, in ga že prenaša nekje v npr. 192.168.B.2:3389. Ta paket ne vidi od 192.168.A.1in od AAA1. In kdaj 192.168.B.2 odgovori, paket prihaja od BBB1 o AAA1, in kasneje pride do iniciatorja povezave - 192.168.A.1.
Poseben primer:
1) 192.168.A.1 poziva k BBB1, želi vzpostaviti povezavo TCP z BBB1:11111;
2) 192.168.A.1 pošlje zahtevo za povezavo od 192.168.A.1:55555 (ta številka, kot v prejšnjem primeru, je lahko drugačna) na BBB1:11111;
3) operacijski sistem, ki teče na strežniku z naslovom 192.168.A.1, se odloči posredovati ta paket na naslov prehoda usmerjevalnika (192.168.A.254 v našem primeru), ker druge, bolj specifične poti za BBB1, nima, zato oddaja paket po privzeti poti (0.0.0.0/0);
4) za to, kot smo omenili v prejšnjih primerih, poskuša najti naslov MAC za naslov IP 192.168.A.254 v tabeli predpomnilnika protokola ARP. Če ni zaznan, pošlje z naslova 192.168.A.1 oddajanje zahteve kdo ima v omrežje 192.168.A.0/24. Kdaj 192.168.A.254 v odgovor ji pošlje svoj naslov MAC, sistem zanj pošlje ethernetni paket in te podatke vnese v svojo predpomnilniško tabelo;
5) virtualni usmerjevalnik prejme ta paket in se odloči, kam ga bo posredoval: ima napisano politiko, po kateri mora posredovati (zamenjava povratnega naslova) vse pakete od 192.168.A.0/24 na druga internetna vozlišča;
6) ker ta politika predvideva, da se mora povratni naslov ujemati z nizkim naslovom na vmesniku, prek katerega bo ta paket poslan, se virtualni usmerjevalnik najprej odloči, komu točno bo poslal ta paket, in mora, kot v prejšnjem primeru, poslati to na AAA254 (prehod ISP, v tem primeru smo to tudi mi), ker obstajajo bolj specifične poti do BBB1, kot 0.0.0.0/0, nima;
7) to pomeni, da virtualni usmerjevalnik nadomesti povratni naslov paketa, odslej je to paket od AAA1:44444 (številka vrat je seveda lahko drugačna) do BBB1:11111;
8) virtualni usmerjevalnik si zapomni, kaj je naredil, torej od BBB1:11111 za AAA1:44444 prispe odgovor, bo vedel, da mora spremeniti ciljni naslov in vrata 192.168.A.1:55555.
9) zdaj bi ga moral virtualni usmerjevalnik posredovati omrežju ISP prek AAA254, tako kot smo že omenili, poišče naslov MAC za AAA254 in pošlje paket na prehod ISP;
10) Internetni ponudniki prenašajo pakete iz AAA1 do BBB1;
11) usmerjevalnik vklopljen BBB1 prejme ta paket na vratih 11111;
12) na virtualnem usmerjevalniku obstaja pravilo, ki določa, da je treba pakete, ki so prispeli od katerega koli pošiljatelja na ta vrata, prenesti na 192.168.B.2:3389;
13) usmerjevalnik najde omrežje v usmerjevalni tabeli 192.168.B.0/24 in ga pošlje neposredno na 192.168.B.2, ker ima vmesnik 192.168.B.254/24;
14) za to virtualni usmerjevalnik najde naslov MAC za 192.168.B.2 in mu ta paket posreduje preko virtualnega omrežja Ethernet;
15) 192.168.B.2 prejme ta paket na vratih 3389, se strinja z vzpostavitvijo povezave in generira paket kot odgovor od 192.168.B.2:3389 o AAA1:44444;
16) njegov sistem pošlje ta paket na naslov prehoda usmerjevalnika (192.168.B.254 v našem primeru), ker druge, bolj specifične poti za AAA1, nima, zato mora paket poslati po privzeti poti (0.0.0.0/0);
17) na enak način kot v prejšnjih primerih sistem, ki teče na računalniku z naslovom 192.168.B.2, poišče naslov MAC 192.168.B.254, saj je v istem omrežju s svojim vmesnikom 192.168.B.2/24;
18) usmerjevalnik prejme ta paket. Treba je omeniti, da se spomni, kaj je prejel na BBB1:11111 paket od AAA1 in spremenil naslov in vrata svojega prejemnika v 192.168.B.2:3389, torej paket iz 192.168.B.2:3389 za AAA1:44444 spremeni naslov pošiljatelja v BBB1:11111;
19) usmerjevalnik se odloči, komu bo poslal ta paket. Pošlje ga, recimo, BBB254 (ISP gateway, katerega natančnega naslova ne poznamo), ker ni bolj specifičnih poti do AAA1, kot 0.0.0.0/0, nima;
20) Internetni ponudniki posredujejo paket s BBB1 o AAA1;
21) vklopljen virtualni usmerjevalnik AAA1 prejme ta paket in si zapomni, da ko je poslal paket od 192.168.A.1:55555 za BBB1:11111, je spremenil naslov in vrata pošiljatelja v AAA1:44444. To pomeni, da je to odgovor, ki ga je treba poslati 192.168.A.1:55555 (pravzaprav je, kot smo omenili v prejšnjem primeru, tudi preverjanj več, vendar se tokrat z njimi ne spuščamo v globino);
22) razume, da bi ga bilo treba posredovati neposredno 192.168.A.1, ker je z njim v istem omrežju, to pomeni, da ima ustrezen vnos v usmerjevalni tabeli, ki ga prisili, da pošilja pakete celotnemu 192.168.A.0/24 neposredno;
23) usmerjevalnik najde naslov MAC za 192.168.A.1 in mu izroči ta paket;
24) operacijski sistem na strežniku z naslovom 192.168.A.1 prejme paket od BBB1:11111 for 192.168.A.1:55555 in sproži naslednje korake za vzpostavitev povezave TCP.
Popolnoma enako kot v prejšnjem primeru, v tem primeru strežnik z naslovom 192.168.A.1 ne ve ničesar o računalniku z naslovom 192.168.B.1, komunicira samo s BBB1. Računalnik z naslovom 192.168.B.1 prav tako ne ve nič o strežniku z naslovom 192.168.A.1. Meni, da je bil povezan z naslova AAA1, ostalo pa mu je skrito.
Izhod
Tako se vse dogaja pri povezavah znotraj tunela VPN med naročnikovo pisarno in okoljem v oblaku, pa tudi pri povezavah zunaj tunela VPN. In če imate kakršna koli vprašanja ali potrebujete našo pomoč pri reševanju težav z oblakom,
Vir: www.habr.com