Прави чланци се рађају из писама техничкој подршци Туцха. На пример, недавно нам се обратио клијент са захтевом да појаснимо шта се дешава током конекција унутар ВПН тунела између канцеларије корисника и клауд окружења, као и током конекција ван ВПН тунела. Дакле, цео текст испод је стварно писмо које смо послали једном од наших клијената као одговор на његово питање. Наравно, ИП адресе су промењене како се клијент не би деанонимизирао. Али, да, Туцха техничка подршка је заиста позната по својим детаљним одговорима и информативним имејловима. 🙂
Наравно, разумемо да за многе овај чланак неће бити откровење. Али, пошто се на Хабру с времена на време појављују чланци за администраторе почетнике, као и пошто се овај чланак појавио из правог писма правом клијенту, ми ћемо и даље делити ове информације овде. Велика је вероватноћа да ће некоме бити од користи.
Стога, детаљно објашњавамо шта се дешава између сервера у облаку и канцеларије ако су повезани мрежом од локације до локације. Имајте на уму да су неке услуге доступне само из канцеларије, а неке су доступне са било ког места на Интернету.
Хајде да одмах објаснимо шта наш клијент жели на серверу КСНУМКС.А.КСНУМКС можете доћи са било ког места преко РДП-а, повезујући се на ААА2:13389, и приступ другим услугама само из канцеларије (192.168.Б.0/24)повезан преко ВПН-а. Такође, клијент је првобитно конфигурисао да аутомобил КСНУМКС.Б.КСНУМКС у канцеларији је такође било могуће користити РДП са било ког места, повезујући се на БББ1:11111. Помогли смо да организујемо ИПСец везе између облака и канцеларије, а ИТ стручњак клијента је почео да поставља питања шта ће се догодити у овом или оном случају. Да бисмо одговорили на сва ова питања, ми смо му, заправо, написали све што можете прочитати у наставку.
Сада погледајмо ове процесе детаљније.
Позиција један
Када се нешто пошаље из 192.168.Б.0/24 в 192.168.А.0/24 или од 192.168.А.0/24 в 192.168.Б.0/24, улази у ВПН. То јест, овај пакет се додатно шифрује и преноси између БББ1 и ААА1Али КСНУМКС.А.КСНУМКС види пакет тачно из КСНУМКС.Б.КСНУМКС. Они могу да комуницирају једни са другима користећи било који протокол. Повратни одговори се преносе на исти начин преко ВПН-а, што значи да се пакет од КСНУМКС.А.КСНУМКС за КСНУМКС.Б.КСНУМКС ће бити послат као ЕСП датаграм од ААА1 на БББ1, који ће рутер расклопити на тој страни, извадите тај пакет из њега и пошаљете га КСНУМКС.Б.КСНУМКС као пакет од КСНУМКС.А.КСНУМКС.
Конкретан пример:
1) КСНУМКС.Б.КСНУМКС апелује на КСНУМКС.А.КСНУМКС, жели да успостави ТЦП везу са 192.168.А.1:3389;
2) КСНУМКС.Б.КСНУМКС шаље захтев за повезивање са 192.168.Б.1:55555 (он сам бира број порта за повратну информацију; у даљем тексту ћемо користити број 55555 као пример броја порта који систем бира приликом формирања ТЦП везе) на 192.168.А.1:3389;
3) оперативни систем који ради на рачунару са адресом КСНУМКС.Б.КСНУМКС, одлучује да проследи овај пакет на адресу мрежног пролаза рутера (КСНУМКС.Б.КСНУМКС у нашем случају), јер друге, конкретније руте за КСНУМКС.А.КСНУМКС, нема, дакле, преноси пакет преко подразумеване руте (0.0.0.0/0);
4) за ово покушава да пронађе МАЦ адресу за ИП адресу КСНУМКС.Б.КСНУМКС у табели кеша АРП протокола. Ако се не открије, шаље се са адресе КСНУМКС.Б.КСНУМКС емитовати ко-има захтев на мрежу 192.168.Б.0/24. Када КСНУМКС.Б.КСНУМКС као одговор, шаље му своју МАЦ адресу, систем за њега шаље Етхернет пакет и уноси ове информације у своју кеш табелу;
5) рутер прима овај пакет и одлучује где да га проследи: има писану политику према којој мора послати све пакете између 192.168.Б.0/24 и 192.168.А.0/24 пренос преко ВПН везе између БББ1 и ААА1;
6) рутер генерише ЕСП датаграм из БББ1 на ААА1;
7) рутер одлучује коме да пошаље овај пакет, шаље га, рецимо, БББ254 (ИСП гатеваи) јер постоје специфичније руте до ААА1, него 0.0.0.0/0, нема;
8) потпуно исто као што је већ речено, проналази МАЦ адресу за БББ254 и преноси пакет до ИСП гејтвеја;
9) Интернет провајдери преносе ЕСП датаграм од БББ1 на ААА1;
10) виртуелни рутер укључен ААА1 прима овај датаграм, дешифрује га и прима пакет од 192.168.Б.1:55555 за 192.168.А.1:3389;
11) виртуелни рутер проверава коме да га проследи, проналази мрежу у табели рутирања 192.168.А.0/24 и шаље га директно на КСНУМКС.А.КСНУМКС, јер има интерфејс 192.168.А.254/24;
12) за ово виртуелни рутер проналази МАЦ адресу за КСНУМКС.А.КСНУМКС и преноси му овај пакет преко виртуелне Етхернет мреже;
КСНУМКС) КСНУМКС.А.КСНУМКС прима овај пакет на порту 3389, пристаје да успостави везу и генерише пакет као одговор од 192.168.А.1:3389 на 192.168.Б.1:55555;
14) његов систем шаље овај пакет на адресу гејтвеја виртуелног рутера (КСНУМКС.А.КСНУМКС у нашем случају), јер друге, конкретније руте за КСНУМКС.Б.КСНУМКС, нема, дакле, мора да пренесе пакет преко подразумеване руте (0.0.0.0/0);
15) исто као у претходним случајевима, систем који ради на серверу са адресом КСНУМКС.А.КСНУМКС, проналази МАЦ адресу КСНУМКС.А.КСНУМКС, пошто је на истој мрежи са својим интерфејсом 192.168.А.1/24;
16) виртуелни рутер прима овај пакет и одлучује где да га проследи: има писану политику према којој мора да пошаље све пакете између 192.168.А.0/24 и 192.168.Б.0/24 пренос преко ВПН везе између ААА1 и БББ1;
17) виртуелни рутер генерише ЕСП датаграм из ААА1 за БББ1;
18) виртуелни рутер одлучује коме ће послати овај пакет, шаље га ААА254 (ИСП гатеваи, у овом случају, то смо и ми), јер постоје специфичније руте до БББ1, него 0.0.0.0/0, нема;
19) Интернет провајдери преносе ЕСП датаграм преко својих мрежа са ААА1 на БББ1;
20) рутер укључен БББ1 прима овај датаграм, дешифрује га и прима пакет од 192.168.А.1:3389 за 192.168.Б.1:55555;
21) разуме да то треба посебно пренети на КСНУМКС.Б.КСНУМКС, пошто је са њим на истој мрежи, дакле, има одговарајући унос у табели рутирања, што га приморава да шаље пакете за целу 192.168.Б.0/24 директно;
22) рутер проналази МАЦ адресу за КСНУМКС.Б.КСНУМКС и предаје му овај пакет;
23) оперативни систем на рачунару са адресом КСНУМКС.Б.КСНУМКС прима пакет од 192.168.А.1:3389 за 192.168.Б.1:55555 и покреће следеће кораке за успостављање ТЦП везе.
Овај пример прилично сажето и поједностављено (а овде можете да се сетите гомиле других детаља) описује шта се дешава на нивоима 2-4. Нивои 1, 5-7 се не узимају у обзир.
Положај два
Ако са 192.168.Б.0/24 нешто се посебно шаље ААА2, не иде на ВПН, већ директно. Односно, ако корисник са адресе КСНУМКС.Б.КСНУМКС апелује на ААА2:13389, овај пакет долази са адресе БББ1, преноси даље ААА2, а затим га рутер прима и преноси на КСНУМКС.А.КСНУМКС. КСНУМКС.А.КСНУМКС не зна ништа о томе КСНУМКС.Б.КСНУМКС, види пакет од БББ1, јер га је добио. Дакле, одговор на овај захтев иде општим путем, на исти начин долази са адресе ААА2 и одлази у БББ1, а тај рутер шаље овај одговор на КСНУМКС.Б.КСНУМКС, он види одговор из ААА2, коме се обратио.
Конкретан пример:
1) КСНУМКС.Б.КСНУМКС апелује на ААА2, жели да успостави ТЦП везу са ААА2:13389;
2) КСНУМКС.Б.КСНУМКС шаље захтев за повезивање са 192.168.Б.1:55555 (овај број, као иу претходном примеру, може бити другачији) на ААА2:13389;
3) оперативни систем који ради на рачунару са адресом КСНУМКС.Б.КСНУМКС, одлучује да проследи овај пакет на адресу мрежног пролаза рутера (КСНУМКС.Б.КСНУМКС у нашем случају), јер друге, конкретније руте за ААА2, нема га, што значи да преноси пакет преко подразумеване руте (0.0.0.0/0);
4) за ово, као што смо поменули у претходном примеру, покушава да пронађе МАЦ адресу за ИП адресу КСНУМКС.Б.КСНУМКС у табели кеша АРП протокола. Ако се не открије, шаље се са адресе КСНУМКС.Б.КСНУМКС емитовати ко-има захтев на мрежу 192.168.Б.0/24. Када КСНУМКС.Б.КСНУМКС као одговор, шаље му своју МАЦ адресу, систем за њега шаље Етхернет пакет и уноси ове информације у своју кеш табелу;
5) рутер прима овај пакет и одлучује где да га проследи: има писану политику према којој мора да проследи (замени повратну адресу) све пакете од 192.168.Б.0/24 на друге Интернет чворове;
6) пошто ова политика подразумева да се повратна адреса мора поклапати са ниском адресом на интерфејсу преко којег ће се овај пакет пренети, рутер прво одлучује коме ће тачно послати овај пакет, а он, као и у претходном примеру, мора да га пошаље до БББ254 (ИСП гатеваи) јер постоје специфичније руте до ААА2, него 0.0.0.0/0, нема;
7) стога рутер замењује повратну адресу пакета, од сада је пакет од БББ1:44444 (број порта, наравно, може бити другачији) до ААА2:13389;
8) рутер памти шта је урадио, што значи када ААА2:13389 к БББ1:44444 стигне одговор, знаће да треба да промени одредишну адресу и порт у 192.168.Б.1:55555.
9) сада рутер треба да га проследи ИСП мрежи преко БББ254стога, баш као што смо већ поменули, проналази МАЦ адресу за БББ254 и преноси пакет до ИСП гејтвеја;
10) Интернет провајдери преносе пакете од БББ1 на ААА2;
11) виртуелни рутер укључен ААА2 прима овај пакет на порту 13389;
12) постоји правило на виртуелном рутеру које предвиђа да се пакети примљени од било ког пошиљаоца на овом порту преносе на 192.168.А.1:3389;
13) виртуелни рутер проналази мрежу у табели рутирања 192.168.А.0/24 и шаље га директно 192.168.А.1 јер има интерфејс 192.168.А.254/24;
14) за ово виртуелни рутер проналази МАЦ адресу за КСНУМКС.А.КСНУМКС и преноси му овај пакет преко виртуелне Етхернет мреже;
КСНУМКС) КСНУМКС.А.КСНУМКС прима овај пакет на порту 3389, пристаје да успостави везу и генерише пакет као одговор од 192.168.А.1:3389 на БББ1:44444;
16) његов систем шаље овај пакет на адресу гејтвеја виртуелног рутера (КСНУМКС.А.КСНУМКС у нашем случају), јер друге, конкретније руте за БББ1, нема, дакле, мора да пренесе пакет преко подразумеване руте (0.0.0.0/0);
17) потпуно исти као у претходним случајевима, систем који ради на серверу са адресом КСНУМКС.А.КСНУМКС, проналази МАЦ адресу КСНУМКС.А.КСНУМКС, пошто је на истој мрежи са својим интерфејсом 192.168.А.1/24;
18) виртуелни рутер прима овај пакет. Треба напоменути да се сећа онога што је добио ААА2:13389 пакет од БББ1:44444 и променио адресу и порт свог примаоца у 192.168.А.1:3389, дакле, пакет из 192.168.А.1:3389 за БББ1:44444 мења адресу пошиљаоца у ААА2:13389;
19) виртуелни рутер одлучује коме ће послати овај пакет, он га шаље ААА254 (ИСП гатеваи, у овом случају, то смо и ми), јер постоје специфичније руте до БББ1, него 0.0.0.0/0, нема;
20) Интернет провајдери преносе пакет са ААА2 на БББ1;
21) рутер укључен БББ1 прима овај пакет и памти га када је послао пакет из 192.168.Б.1:55555 за ААА2:13389, променио је адресу и порт пошиљаоца у БББ1:44444, онда је ово одговор на који треба послати 192.168.Б.1:55555 (у ствари, тамо има још неколико провера, али не улазимо дубоко у то);
22) разуме да то треба директно пренети на КСНУМКС.Б.КСНУМКС, пошто је са њим на истој мрежи, дакле, има одговарајући унос у табели рутирања, што га приморава да шаље пакете за целу 192.168.Б.0/24 директно;
23) рутер проналази МАЦ адресу за КСНУМКС.Б.КСНУМКС и предаје му овај пакет;
24) оперативни систем на рачунару са адресом КСНУМКС.Б.КСНУМКС прима пакет од ААА2:13389 за 192.168.Б.1:55555 и покреће следеће кораке за успостављање ТЦП везе.
Треба напоменути да у овом случају рачунар са адресом КСНУМКС.Б.КСНУМКС не зна ништа о серверу са адресом КСНУМКС.А.КСНУМКС, он само комуницира са ААА2. Исто тако, сервер са адресом КСНУМКС.А.КСНУМКС не зна ништа о рачунару са адресом КСНУМКС.Б.КСНУМКС. Он сматра да је повезан са адресе БББ1, и не зна ништа друго, да тако кажем.
Такође треба напоменути да ако овај рачунар приступи ААА2:1540, веза неће бити успостављена јер прослеђивање везе на порт 1540 није конфигурисано на виртуелном рутеру, чак ни на било ком серверу у виртуелној мрежи 192.168.А.0/24 (на пример, на серверу са адресом КСНУМКС.А.КСНУМКС) и постоје неки сервиси који чекају везе на овом порту. Ако корисник рачунара са адресом КСНУМКС.Б.КСНУМКС Неопходно је успоставити везу са овом услугом, мора користити ВПН, тј. контактирајте директно 192.168.А.1:1540.
Треба нагласити да сваки покушај успостављања везе са ААА1 (осим ИПСец везе из БББ1 неће бити успешан. Сваки покушај успостављања везе са ААА2, осим веза са портом 13389, такође неће бити успешна.
Такође напомињемо да ако се ААА2 Ако се неко други пријави (на пример, ЦЦЦЦ), све што је наведено у ставовима 10-20 односиће се и на њега. Шта се дешава пре и после овога зависи од тога шта се тачно крије иза овог ЦЦЦЦ Ми немамо такве информације, па вам саветујемо да консултујете администраторе чвора са ЦЦЦЦ адресом
Положај три
И, обрнуто, ако са КСНУМКС.А.КСНУМКС нешто се шаље на неки порт који је конфигурисан да прослеђује ка БББ1 (на пример, 11111), такође не завршава у ВПН-у, већ једноставно тече из ААА1 и улази у БББ1, а он то већ преноси негде у нпр. 192.168.Б.2:3389. Он види овај пакет не од КСНУМКС.А.КСНУМКС, и од ААА1. И када КСНУМКС.Б.КСНУМКС одговара, пакет долази из БББ1 на ААА1, а касније долази до покретача везе - КСНУМКС.А.КСНУМКС.
Конкретан пример:
1) КСНУМКС.А.КСНУМКС апелује на БББ1, жели да успостави ТЦП везу са БББ1:11111;
2) КСНУМКС.А.КСНУМКС шаље захтев за повезивање са 192.168.А.1:55555 (овај број, као иу претходном примеру, може бити другачији) на БББ1:11111;
3) оперативни систем који ради на серверу са адресом КСНУМКС.А.КСНУМКС, одлучује да проследи овај пакет на адресу мрежног пролаза рутера (КСНУМКС.А.КСНУМКС у нашем случају), јер друге, конкретније руте за БББ1, нема, дакле, преноси пакет преко подразумеване руте (0.0.0.0/0);
4) за ово, као што смо споменули у претходним примерима, покушава да пронађе МАЦ адресу за ИП адресу КСНУМКС.А.КСНУМКС у табели кеша АРП протокола. Ако се не открије, шаље се са адресе КСНУМКС.А.КСНУМКС емитовати ко-има захтев на мрежу 192.168.А.0/24. Када КСНУМКС.А.КСНУМКС као одговор, он јој шаље своју МАЦ адресу, систем за њу преноси Етхернет пакет и уноси ове информације у своју кеш табелу;
5) виртуелни рутер прима овај пакет и одлучује где да га проследи: има писану политику према којој мора да проследи (замени повратну адресу) све пакете од 192.168.А.0/24 на друге Интернет чворове;
6) пошто ова политика претпоставља да се повратна адреса мора поклапати са ниском адресом на интерфејсу преко којег ће се овај пакет пренети, виртуелни рутер прво одлучује коме ће тачно послати овај пакет, а он, као и у претходном примеру, мора да пошаље је на ААА254 (ИСП гатеваи, у овом случају, то смо и ми), јер постоје специфичније руте до БББ1, него 0.0.0.0/0, нема;
7) то значи да виртуелни рутер замењује повратну адресу пакета, од сада је то пакет од ААА1:44444 (број порта, наравно, може бити другачији) до БББ1:11111;
8) виртуелни рутер памти шта је урадио, дакле, од кога БББ1:11111 за ААА1:44444 стигне одговор, знаће да треба да промени одредишну адресу и порт у 192.168.А.1:55555.
9) сада виртуелни рутер треба да га проследи до ИСП мреже преко ААА254, па баш као што смо већ споменули, проналази МАЦ адресу за ААА254 и преноси пакет до ИСП гејтвеја;
10) Интернет провајдери преносе пакете од ААА1 до БББ1;
11) рутер укључен БББ1 прима овај пакет на порту 11111;
12) постоји правило на виртуелном рутеру које предвиђа да се пакети који су стигли од било ког пошиљаоца на овај порт преносе на 192.168.Б.2:3389;
13) рутер проналази мрежу у табели рутирања 192.168.Б.0/24 и шаље га директно на КСНУМКС.Б.КСНУМКС, јер има интерфејс 192.168.Б.254/24;
14) за ово виртуелни рутер проналази МАЦ адресу за КСНУМКС.Б.КСНУМКС и преноси му овај пакет преко виртуелне Етхернет мреже;
КСНУМКС) КСНУМКС.Б.КСНУМКС прима овај пакет на порту 3389, пристаје да успостави везу и генерише пакет као одговор од 192.168.Б.2:3389 на ААА1:44444;
16) његов систем шаље овај пакет на адресу мрежног пролаза рутера (КСНУМКС.Б.КСНУМКС у нашем случају), јер друге, конкретније руте за ААА1, нема, дакле, мора да пренесе пакет преко подразумеване руте (0.0.0.0/0);
17) на исти начин као у претходним случајевима систем који ради на рачунару са адресом КСНУМКС.Б.КСНУМКС, проналази МАЦ адресу КСНУМКС.Б.КСНУМКС, пошто је на истој мрежи са својим интерфејсом 192.168.Б.2/24;
18) рутер прима овај пакет. Треба напоменути да се сећа онога што је добио БББ1:11111 пакет од ААА1 и променио адресу и порт свог примаоца у 192.168.Б.2:3389, дакле, пакет из 192.168.Б.2:3389 за ААА1:44444 мења адресу пошиљаоца у БББ1:11111;
19) рутер одлучује коме ће послати овај пакет. Он га шаље, рецимо, БББ254 (ИСП гатеваи, чију тачну адресу не знамо), јер не постоје конкретније руте до ААА1, него 0.0.0.0/0, нема;
20) Интернет провајдери преносе пакет са БББ1 на ААА1;
21) виртуелни рутер укључен ААА1 прима овај пакет и памти га када је послао пакет из 192.168.А.1:55555 за БББ1:11111, променио је адресу и порт пошиљаоца у ААА1:44444. То значи да је ово одговор на који треба послати 192.168.А.1:55555 (у ствари, као што смо поменули у претходном примеру, постоји и још неколико провера, али овога пута не улазимо у дубину са њима);
22) разуме да то треба директно пренети на КСНУМКС.А.КСНУМКС, пошто је са њим на истој мрежи, то значи да има одговарајући унос у табели рутирања који га приморава да шаље пакете целом 192.168.А.0/24 директно;
23) рутер проналази МАЦ адресу за КСНУМКС.А.КСНУМКС и предаје му овај пакет;
24) оперативни систем на серверу са адресом КСНУМКС.А.КСНУМКС прима пакет од БББ1:11111 фор 192.168.А.1:55555 и покреће следеће кораке за успостављање ТЦП везе.
Потпуно исто као у претходном случају, у овом случају сервер са адресом КСНУМКС.А.КСНУМКС не зна ништа о рачунару са адресом КСНУМКС.Б.КСНУМКС, он само комуницира са БББ1. Рачунар са адресом КСНУМКС.Б.КСНУМКС такође не зна ништа о серверу са адресом КСНУМКС.А.КСНУМКС. Он сматра да је повезан са адресе ААА1, а остало је скривено од њега.
Излаз
Овако се све дешава за везе унутар ВПН тунела између клијентове канцеларије и цлоуд окружења, као и за везе ван ВПН тунела. А ако имате било каквих питања или вам је потребна наша помоћ у решавању проблема са облаком,
Извор: ввв.хабр.цом