Các bài viết thực sự được sinh ra từ những bức thư gửi tới bộ phận hỗ trợ kỹ thuật của Tucha. Ví dụ: gần đây, một khách hàng đã tiếp cận chúng tôi với yêu cầu làm rõ điều gì xảy ra trong các kết nối bên trong đường hầm VPN giữa văn phòng của người dùng và môi trường đám mây, cũng như trong các kết nối bên ngoài đường hầm VPN. Do đó, toàn bộ văn bản bên dưới là một bức thư thực tế mà chúng tôi đã gửi cho một trong những khách hàng của mình để trả lời câu hỏi của anh ấy. Tất nhiên, các địa chỉ IP đã được thay đổi để không làm mất tính ẩn danh của máy khách. Tuy nhiên, vâng, bộ phận hỗ trợ kỹ thuật của Tucha thực sự nổi tiếng với các câu trả lời chi tiết và email đầy thông tin. 🙂
Tất nhiên, chúng tôi hiểu rằng đối với nhiều người, bài viết này sẽ không phải là một điều mặc khải. Tuy nhiên, vì các bài viết dành cho quản trị viên mới thỉnh thoảng xuất hiện trên Habr và cũng vì bài viết này xuất hiện từ một bức thư có thật gửi cho một khách hàng thực sự nên chúng tôi vẫn sẽ chia sẻ thông tin này ở đây. Có khả năng cao là nó sẽ hữu ích cho ai đó.
Do đó, chúng tôi giải thích chi tiết điều gì xảy ra giữa máy chủ trên đám mây và văn phòng nếu chúng được kết nối bằng mạng site-to-site. Lưu ý rằng một số dịch vụ chỉ có thể truy cập được từ văn phòng và một số dịch vụ có thể truy cập được từ mọi nơi trên Internet.
Hãy để chúng tôi giải thích ngay những gì khách hàng của chúng tôi muốn trên máy chủ 192.168.A.1 bạn có thể đến từ bất cứ đâu thông qua RDP, kết nối với AAA2:13389, và quyền truy cập vào các dịch vụ khác chỉ từ văn phòng (192.168.B.0/24)được kết nối qua VPN. Ngoài ra, ban đầu khách hàng đã cấu hình rằng chiếc xe 192.168.B.2 trong văn phòng cũng có thể sử dụng RDP từ mọi nơi, kết nối với BBB1:11111. Chúng tôi đã giúp tổ chức các kết nối IPSec giữa đám mây và văn phòng, đồng thời chuyên gia CNTT của khách hàng bắt đầu đặt câu hỏi về điều gì sẽ xảy ra trong trường hợp này hoặc trường hợp kia. Trên thực tế, để trả lời tất cả những câu hỏi này, chúng tôi đã viết cho anh ấy mọi thứ mà bạn có thể đọc bên dưới.
Bây giờ chúng ta hãy xem xét các quá trình này chi tiết hơn.
Vị trí một
Khi một cái gì đó được gửi từ 192.168.B.0/24 в 192.168.A.0/24 hoặc từ 192.168.A.0/24 в 192.168.B.0/24, nó sẽ vào được VPN. Nghĩa là, gói này được mã hóa bổ sung và truyền giữa BBB1 и AAA1nhưng 192.168.A.1 nhìn thấy gói chính xác từ 192.168.B.1. Họ có thể giao tiếp với nhau bằng bất kỳ giao thức nào. Trả lời trả lời được truyền theo cách tương tự thông qua VPN, có nghĩa là gói từ 192.168.A.1 cho 192.168.B.1 sẽ được gửi dưới dạng gói dữ liệu ESP từ AAA1 trên BBB1, mà bộ định tuyến sẽ mở ra ở phía đó, hãy lấy gói đó ra khỏi đó và gửi nó đến 192.168.B.1 như một gói từ 192.168.A.1.
Ví dụ cụ thể:
1) 192.168.B.1 kháng cáo 192.168.A.1, muốn thiết lập kết nối TCP với 192.168.A.1:3389;
2) 192.168.B.1 gửi yêu cầu kết nối từ 192.168.B.1:55555 (anh ấy tự chọn số cổng để phản hồi; sau đây chúng tôi sẽ sử dụng số 55555 làm ví dụ về số cổng mà hệ thống chọn khi hình thành kết nối TCP) trên 192.168.A.1:3389;
3) một hệ điều hành chạy trên máy tính có địa chỉ 192.168.B.1, quyết định chuyển tiếp gói này đến địa chỉ cổng của bộ định tuyến (192.168.B.254 trong trường hợp của chúng tôi), bởi vì các tuyến đường khác cụ thể hơn cho 192.168.A.1, do đó, nó không có, do đó, nó truyền gói qua tuyến mặc định (0.0.0.0/0);
4) để làm điều này, nó cố gắng tìm địa chỉ MAC cho địa chỉ IP 192.168.B.254 trong bảng bộ đệm giao thức ARP. Nếu không được phát hiện, hãy gửi từ địa chỉ 192.168.B.1 phát sóng ai có yêu cầu lên mạng 192.168.B.0/24. Khi 192.168.B.254 để phản hồi, nó gửi địa chỉ MAC của nó, hệ thống truyền một gói Ethernet cho nó và nhập thông tin này vào bảng bộ đệm của nó;
5) bộ định tuyến nhận được gói này và quyết định nơi chuyển tiếp nó: nó có chính sách bằng văn bản theo đó nó phải gửi tất cả các gói giữa 192.168.B.0/24 и 192.168.A.0/24 chuyển qua kết nối VPN giữa BBB1 и AAA1;
6) bộ định tuyến tạo ra một datagram ESP từ BBB1 trên AAA1;
7) bộ định tuyến quyết định gửi gói này đến ai, nó sẽ gửi nó tới, chẳng hạn như BBB254 (Cổng ISP) vì có nhiều tuyến đường cụ thể hơn tới AAA1, hơn 0.0.0.0/0 thì không có;
8) giống hệt như đã nói, nó tìm địa chỉ MAC cho BBB254 và truyền gói đến cổng ISP;
9) Các nhà cung cấp Internet truyền gói dữ liệu ESP từ BBB1 trên AAA1;
10) bật bộ định tuyến ảo AAA1 nhận datagram này, giải mã nó và nhận một gói từ 192.168.B.1:55555 cho 192.168.A.1:3389;
11) bộ định tuyến ảo kiểm tra xem ai sẽ chuyển nó cho ai, tìm mạng trong bảng định tuyến 192.168.A.0/24 và gửi trực tiếp đến 192.168.A.1, vì nó có giao diện 192.168.A.254/24;
12) để làm điều này, bộ định tuyến ảo sẽ tìm địa chỉ MAC cho 192.168.A.1 và truyền gói tin này cho anh ta qua mạng Ethernet ảo;
13) 192.168.A.1 nhận gói này trên cổng 3389, đồng ý thiết lập kết nối và tạo gói phản hồi từ 192.168.A.1:3389 trên 192.168.B.1:55555;
14) hệ thống của anh ấy truyền gói tin này đến địa chỉ cổng của bộ định tuyến ảo (192.168.A.254 trong trường hợp của chúng tôi), bởi vì các tuyến đường khác cụ thể hơn cho 192.168.B.1, nó không có nên phải truyền gói tin qua tuyến mặc định (0.0.0.0/0);
15) giống như trong các trường hợp trước, một hệ thống chạy trên máy chủ có địa chỉ 192.168.A.1, tìm địa chỉ MAC 192.168.A.254, vì nó nằm trên cùng một mạng với giao diện của nó 192.168.A.1/24;
16) bộ định tuyến ảo nhận gói tin này và quyết định nơi chuyển tiếp nó: nó có chính sách bằng văn bản theo đó nó phải gửi tất cả các gói giữa 192.168.A.0/24 и 192.168.B.0/24 chuyển qua kết nối VPN giữa AAA1 и BBB1;
17) bộ định tuyến ảo tạo ra một gói dữ liệu ESP từ AAA1 cho BBB1;
18) bộ định tuyến ảo quyết định gửi gói này đến ai, gửi nó tới AAA254 (Cổng ISP, trong trường hợp này, đó cũng là chúng tôi), vì có nhiều tuyến đường cụ thể hơn để BBB1, hơn 0.0.0.0/0 thì không có;
19) Các nhà cung cấp Internet truyền gói dữ liệu ESP qua mạng của họ bằng AAA1 trên BBB1;
20) bật bộ định tuyến BBB1 nhận datagram này, giải mã nó và nhận một gói từ 192.168.A.1:3389 cho 192.168.B.1:55555;
21) anh ấy hiểu rằng nó cần được chuyển cụ thể đến 192.168.B.1, vì anh ta ở trên cùng một mạng với anh ta, do đó, anh ta có một mục tương ứng trong bảng định tuyến, điều này buộc anh ta phải gửi các gói cho toàn bộ 192.168.B.0/24 trực tiếp;
22) bộ định tuyến tìm địa chỉ MAC cho 192.168.B.1 và đưa cho anh ta gói hàng này;
23) hệ điều hành trên máy tính có địa chỉ 192.168.B.1 nhận được một gói từ 192.168.A.1:3389 cho 192.168.B.1:55555 và bắt đầu các bước tiếp theo để thiết lập kết nối TCP.
Ví dụ này khá ngắn gọn và đơn giản (và ở đây bạn có thể nhớ rất nhiều chi tiết khác) mô tả những gì xảy ra ở cấp độ 2-4. Cấp độ 1, 5-7 không được xem xét.
Vị trí hai
Nếu với 192.168.B.0/24 một cái gì đó được gửi cụ thể đến AAA2, nó không đi tới VPN mà trực tiếp. Nghĩa là, nếu người dùng từ địa chỉ 192.168.B.1 kháng cáo AAA2:13389, gói này đến từ địa chỉ BBB1, tiếp nối AAA2, sau đó bộ định tuyến nhận nó và truyền nó tới 192.168.A.1. 192.168.A.1 không biết gì về 192.168.B.1, anh ấy nhìn thấy một gói hàng từ BBB1, bởi vì anh ấy đã có được anh ấy. Do đó, phản hồi cho yêu cầu này đi theo lộ trình chung, nó đến từ địa chỉ theo cách tương tự AAA2 và đi đến BBB1, và bộ định tuyến đó sẽ gửi câu trả lời này tới 192.168.B.1, anh ấy nhìn thấy câu trả lời từ AAA2, người mà anh ấy đã nói chuyện với.
Ví dụ cụ thể:
1) 192.168.B.1 kháng cáo AAA2, muốn thiết lập kết nối TCP với AAA2:13389;
2) 192.168.B.1 gửi yêu cầu kết nối từ 192.168.B.1:55555 (con số này, như trong ví dụ trước, có thể khác) trên AAA2:13389;
3) một hệ điều hành chạy trên máy tính có địa chỉ 192.168.B.1, quyết định chuyển tiếp gói này đến địa chỉ cổng của bộ định tuyến (192.168.B.254 trong trường hợp của chúng tôi), bởi vì các tuyến đường khác cụ thể hơn cho AAA2, nó không có, có nghĩa là nó truyền gói qua tuyến mặc định (0.0.0.0/0);
4) đối với điều này, như chúng tôi đã đề cập trong ví dụ trước, nó cố gắng tìm địa chỉ MAC cho địa chỉ IP 192.168.B.254 trong bảng bộ đệm giao thức ARP. Nếu không được phát hiện, hãy gửi từ địa chỉ 192.168.B.1 phát sóng ai có yêu cầu lên mạng 192.168.B.0/24. Khi 192.168.B.254 để phản hồi, nó gửi địa chỉ MAC của nó, hệ thống truyền một gói Ethernet cho nó và nhập thông tin này vào bảng bộ đệm của nó;
5) bộ định tuyến nhận gói tin này và quyết định nơi chuyển tiếp nó: nó có chính sách bằng văn bản theo đó nó phải chuyển tiếp (thay thế địa chỉ trả về) tất cả các gói từ 192.168.B.0/24 tới các nút Internet khác;
6) vì chính sách này ngụ ý rằng địa chỉ trả về phải khớp với địa chỉ thấp trên giao diện mà gói này sẽ được truyền qua đó, trước tiên bộ định tuyến sẽ quyết định chính xác ai sẽ gửi gói này đến và anh ta, như trong ví dụ trước, phải gửi nó ĐẾN BBB254 (Cổng ISP) vì có nhiều tuyến đường cụ thể hơn tới AAA2, hơn 0.0.0.0/0 thì không có;
7) do đó, bộ định tuyến sẽ thay thế địa chỉ trả về của gói, từ đó gói sẽ được gửi từ BBB1:44444 (tất nhiên số cổng có thể khác) AAA2:13389;
8) bộ định tuyến ghi nhớ những gì nó đã làm, có nghĩa là khi AAA2:13389 к BBB1:44444 phản hồi đến, anh ta sẽ biết rằng anh ta nên thay đổi địa chỉ đích và cổng thành 192.168.B.1:55555.
9) bây giờ bộ định tuyến sẽ chuyển nó tới mạng ISP thông qua BBB254do đó, giống như chúng tôi đã đề cập, nó tìm địa chỉ MAC cho BBB254 và truyền gói đến cổng ISP;
10) Các nhà cung cấp Internet truyền gói tin từ BBB1 trên AAA2;
11) bật bộ định tuyến ảo AAA2 nhận gói này trên cổng 13389;
12) có một quy tắc trên bộ định tuyến ảo quy định rằng các gói nhận được từ bất kỳ người gửi nào trên cổng này phải được truyền tới 192.168.A.1:3389;
13) bộ định tuyến ảo tìm mạng trong bảng định tuyến 192.168.A.0/24 và gửi nó trực tiếp 192.168.A.1 vì nó có giao diện 192.168.A.254/24;
14) để làm điều này, bộ định tuyến ảo sẽ tìm địa chỉ MAC cho 192.168.A.1 và truyền gói tin này cho anh ta qua mạng Ethernet ảo;
15) 192.168.A.1 nhận gói này trên cổng 3389, đồng ý thiết lập kết nối và tạo gói phản hồi từ 192.168.A.1:3389 trên BBB1:44444;
16) hệ thống của anh ấy truyền gói tin này đến địa chỉ cổng của bộ định tuyến ảo (192.168.A.254 trong trường hợp của chúng tôi), bởi vì các tuyến đường khác cụ thể hơn cho BBB1, nó không có nên phải truyền gói tin qua tuyến mặc định (0.0.0.0/0);
17) hoàn toàn giống như trong các trường hợp trước, một hệ thống chạy trên máy chủ có địa chỉ 192.168.A.1, tìm địa chỉ MAC 192.168.A.254, vì nó nằm trên cùng một mạng với giao diện của nó 192.168.A.1/24;
18) bộ định tuyến ảo nhận được gói này. Cần lưu ý rằng anh ấy nhớ những gì anh ấy nhận được trên AAA2:13389 gói từ BBB1:44444 và thay đổi địa chỉ và cổng của người nhận thành 192.168.A.1:3389, do đó, gói từ 192.168.A.1:3389 cho BBB1:44444 nó thay đổi địa chỉ người gửi thành AAA2:13389;
19) bộ định tuyến ảo quyết định gửi gói này đến ai, nó sẽ gửi nó tới AAA254 (Cổng ISP, trong trường hợp này, đó cũng là chúng tôi), vì có nhiều tuyến đường cụ thể hơn để BBB1, hơn 0.0.0.0/0 thì không có;
20) Các nhà cung cấp Internet truyền một gói với AAA2 trên BBB1;
21) bật bộ định tuyến BBB1 nhận được gói tin này và nhớ rằng khi anh ta gửi gói tin từ 192.168.B.1:55555 cho AAA2:13389, anh ấy đã thay đổi địa chỉ và cổng người gửi của mình thành BBB1:44444, thì đây là phản hồi cần được gửi tới 192.168.B.1:55555 (trên thực tế, còn có một số bước kiểm tra khác ở đó, nhưng chúng tôi không đi sâu vào vấn đề đó);
22) anh ta hiểu rằng nó nên được truyền trực tiếp đến 192.168.B.1, vì anh ta ở trên cùng một mạng với anh ta, do đó, anh ta có một mục tương ứng trong bảng định tuyến, điều này buộc anh ta phải gửi các gói cho toàn bộ 192.168.B.0/24 trực tiếp;
23) bộ định tuyến tìm địa chỉ MAC cho 192.168.B.1 và đưa cho anh ta gói hàng này;
24) hệ điều hành trên máy tính có địa chỉ 192.168.B.1 nhận được một gói từ AAA2:13389 cho 192.168.B.1:55555 và bắt đầu các bước tiếp theo để thiết lập kết nối TCP.
Cần lưu ý rằng trong trường hợp này máy tính có địa chỉ 192.168.B.1 không biết gì về máy chủ có địa chỉ 192.168.A.1, anh ấy chỉ giao tiếp với AAA2. Tương tự, máy chủ có địa chỉ 192.168.A.1 không biết gì về máy tính có địa chỉ 192.168.B.1. Anh ấy tin rằng anh ấy đã được kết nối từ địa chỉ BBB1, và có thể nói là anh ấy không biết gì khác.
Cũng cần lưu ý rằng nếu máy tính này truy cập AAA2:1540, kết nối sẽ không được thiết lập do chuyển tiếp kết nối tới cổng 1540 không được định cấu hình trên bộ định tuyến ảo, ngay cả khi trên bất kỳ máy chủ nào trong mạng ảo 192.168.A.0/24 (ví dụ: trên máy chủ có địa chỉ 192.168.A.1) và có một số dịch vụ đang chờ kết nối trên cổng này. Nếu người dùng máy tính có địa chỉ 192.168.B.1 Bắt buộc phải thiết lập kết nối với dịch vụ này, nó phải sử dụng VPN, tức là. liên hệ trực tiếp 192.168.A.1:1540.
Cần nhấn mạnh rằng bất kỳ nỗ lực nào nhằm thiết lập mối liên hệ với AAA1 (ngoại trừ kết nối IPSec từ BBB1 sẽ không thành công. Bất kỳ nỗ lực nào để thiết lập kết nối với AAA2, ngoại trừ các kết nối tới cổng 13389, cũng sẽ không thành công.
Chúng tôi cũng lưu ý rằng nếu AAA2 Nếu người khác nộp đơn (ví dụ: CCCC), mọi thứ được nêu trong đoạn 10-20 cũng sẽ áp dụng cho người đó. Điều gì xảy ra trước và sau điều này phụ thuộc vào chính xác những gì đằng sau CCCC này. Chúng tôi không có thông tin như vậy, vì vậy chúng tôi khuyên bạn nên tham khảo ý kiến quản trị viên của nút về địa chỉ CCCC
Vị trí ba
Và ngược lại, nếu với 192.168.A.1 một cái gì đó được gửi đến một số cổng được định cấu hình để chuyển tiếp vào BBB1 (ví dụ: 11111), nó cũng không kết thúc trong VPN mà chỉ truyền từ AAA1 và đi vào BBB1, và anh ấy đã truyền nó đi đâu đó trong, chẳng hạn, 192.168.B.2:3389. Anh ta thấy gói hàng này không phải từ 192.168.A.1, Nhưng từ AAA1. Và khi 192.168.B.2 trả lời, gói hàng đến từ BBB1 trên AAA1, và sau đó đến bộ khởi tạo kết nối - 192.168.A.1.
Ví dụ cụ thể:
1) 192.168.A.1 kháng cáo BBB1, muốn thiết lập kết nối TCP với BBB1:11111;
2) 192.168.A.1 gửi yêu cầu kết nối từ 192.168.A.1:55555 (con số này, như trong ví dụ trước, có thể khác) trên BBB1:11111;
3) hệ điều hành chạy trên máy chủ có địa chỉ 192.168.A.1, quyết định chuyển tiếp gói này đến địa chỉ cổng của bộ định tuyến (192.168.A.254 trong trường hợp của chúng tôi), bởi vì các tuyến đường khác cụ thể hơn cho BBB1, do đó, nó không có, do đó, nó truyền gói qua tuyến mặc định (0.0.0.0/0);
4) đối với điều này, như chúng tôi đã đề cập trong các ví dụ trước, nó cố gắng tìm địa chỉ MAC cho địa chỉ IP 192.168.A.254 trong bảng bộ đệm giao thức ARP. Nếu không được phát hiện, hãy gửi từ địa chỉ 192.168.A.1 phát sóng ai có yêu cầu lên mạng 192.168.A.0/24. Khi 192.168.A.254 để đáp lại, anh ta gửi cho cô ấy địa chỉ MAC của mình, hệ thống truyền một gói Ethernet cho nó và nhập thông tin này vào bảng bộ đệm của nó;
5) bộ định tuyến ảo nhận gói tin này và quyết định nơi chuyển tiếp nó: nó có chính sách bằng văn bản theo đó nó phải chuyển tiếp (thay thế địa chỉ trả về) tất cả các gói từ 192.168.A.0/24 tới các nút Internet khác;
6) vì chính sách này giả định rằng địa chỉ trả về phải khớp với địa chỉ thấp trên giao diện mà gói này sẽ được truyền qua đó, nên bộ định tuyến ảo trước tiên sẽ quyết định chính xác ai sẽ gửi gói này đến và anh ta, như trong ví dụ trước, phải gửi nó trên AAA254 (Cổng ISP, trong trường hợp này, đó cũng là chúng tôi), vì có nhiều tuyến đường cụ thể hơn để BBB1, hơn 0.0.0.0/0 thì không có;
7) điều này có nghĩa là bộ định tuyến ảo thay thế địa chỉ trả về của gói, từ bây giờ nó là gói từ AAA1:44444 (tất nhiên số cổng có thể khác) BBB1:11111;
8) bộ định tuyến ảo ghi nhớ những gì nó đã làm, do đó, khi từ BBB1:11111 cho AAA1:44444 phản hồi đến, anh ta sẽ biết rằng anh ta nên thay đổi địa chỉ đích và cổng thành 192.168.A.1:55555.
9) bây giờ bộ định tuyến ảo sẽ chuyển nó tới mạng ISP thông qua AAA254, giống như chúng tôi đã đề cập, nó tìm địa chỉ MAC cho AAA254 và truyền gói đến cổng ISP;
10) Các nhà cung cấp Internet truyền gói tin từ AAA1 đến BBB1;
11) bật bộ định tuyến BBB1 nhận gói này trên cổng 11111;
12) có một quy tắc trên bộ định tuyến ảo quy định rằng các gói đến từ bất kỳ người gửi nào trên cổng này phải được truyền tới 192.168.B.2:3389;
13) bộ định tuyến tìm mạng trong bảng định tuyến 192.168.B.0/24 và gửi trực tiếp đến 192.168.B.2, vì nó có giao diện 192.168.B.254/24;
14) để làm điều này, bộ định tuyến ảo sẽ tìm địa chỉ MAC cho 192.168.B.2 và truyền gói tin này cho anh ta qua mạng Ethernet ảo;
15) 192.168.B.2 nhận gói này trên cổng 3389, đồng ý thiết lập kết nối và tạo gói phản hồi từ 192.168.B.2:3389 trên AAA1:44444;
16) hệ thống của anh ấy truyền gói tin này đến địa chỉ cổng của bộ định tuyến (192.168.B.254 trong trường hợp của chúng tôi), bởi vì các tuyến đường khác cụ thể hơn cho AAA1, nó không có nên phải truyền gói tin qua tuyến mặc định (0.0.0.0/0);
17) theo cách tương tự như trong các trường hợp trước, một hệ thống chạy trên máy tính có địa chỉ 192.168.B.2, tìm địa chỉ MAC 192.168.B.254, vì nó nằm trên cùng một mạng với giao diện của nó 192.168.B.2/24;
18) bộ định tuyến nhận được gói này. Cần lưu ý rằng anh ấy nhớ những gì anh ấy nhận được trên BBB1:11111 gói từ AAA1 và thay đổi địa chỉ và cổng của người nhận thành 192.168.B.2:3389, do đó, gói từ 192.168.B.2:3389 cho AAA1:44444 nó thay đổi địa chỉ người gửi thành BBB1:11111;
19) bộ định tuyến quyết định gửi gói này đến ai. Anh ấy gửi nó tới, nói rằng, BBB254 (Cổng ISP, địa chỉ chính xác mà chúng tôi không biết), vì không có tuyến đường cụ thể hơn tới AAA1, hơn 0.0.0.0/0 thì không có;
20) Các nhà cung cấp Internet truyền một gói với BBB1 trên AAA1;
21) bật bộ định tuyến ảo AAA1 nhận được gói tin này và nhớ rằng khi anh ta gửi gói tin từ 192.168.A.1:55555 cho BBB1:11111, anh ấy đã thay đổi địa chỉ và cổng người gửi của mình thành AAA1:44444. Điều này có nghĩa rằng đây là câu trả lời cần được gửi tới 192.168.A.1:55555 (trên thực tế, như chúng tôi đã đề cập trong ví dụ trước, còn có một số kiểm tra khác, nhưng lần này chúng tôi không đi sâu vào chúng);
22) anh ta hiểu rằng nó nên được truyền trực tiếp đến 192.168.A.1, vì anh ta ở trên cùng một mạng với anh ta, điều đó có nghĩa là anh ta có một mục tương ứng trong bảng định tuyến buộc anh ta phải gửi các gói đến toàn bộ 192.168.A.0/24 trực tiếp;
23) bộ định tuyến tìm địa chỉ MAC cho 192.168.A.1 và đưa cho anh ta gói hàng này;
24) hệ điều hành trên máy chủ có địa chỉ 192.168.A.1 nhận được một gói từ BBB1:11111 cho 192.168.A.1:55555 và bắt đầu các bước tiếp theo để thiết lập kết nối TCP.
Hoàn toàn giống như trường hợp trước, trong trường hợp này máy chủ có địa chỉ 192.168.A.1 không biết gì về máy tính có địa chỉ 192.168.B.1, anh ấy chỉ giao tiếp với BBB1. Máy tính có địa chỉ 192.168.B.1 cũng không biết gì về máy chủ có địa chỉ 192.168.A.1. Anh ấy tin rằng anh ấy đã được kết nối từ địa chỉ AAA1, và phần còn lại được giấu kín với anh ta.
Đầu ra
Đây là cách mọi thứ diễn ra đối với các kết nối bên trong đường hầm VPN giữa văn phòng khách hàng và môi trường đám mây, cũng như đối với các kết nối bên ngoài đường hầm VPN. Và nếu bạn có bất kỳ câu hỏi nào hoặc cần sự trợ giúp của chúng tôi trong việc giải quyết các vấn đề về đám mây,
Nguồn: www.habr.com