При подключении к VPN нашей компании и просмотре таблицы маршрутизации я нахожу это:

172.16.0.0      10.8.0.241      255.255.0.0     UG    0      0        0 tun0
10.8.0.241      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.241      255.255.255.0   UG    0      0        0 tun0

Я думаю, что я понимаю, что первая строка: пакет в сеть 172.16 сбрасывается в интерфейс tun0, но адресован шлюзу 10.8.0.241, который позаботится обо всем остальном.

Во второй строке явно сказано, что для перехода к 10.8.0.241 просто поместите его в tun0.

Чего я не понимаю, так это почему две последние строки не могут быть просто объединены в

10.8.0.0        0.0.0.0      255.255.255.0   UG    0      0        0 tun0

сказать, что что-то до 10,8 может быть просто сброшено в туннель, и подходящая машина поднимет его. Почему пакет до 10.8 сначала должен быть явно передан шлюзу той же сети? Является ли это тем, что 10.8.0.251 неправильно используется здесь как коммутатор, потому что это фактически единственная машина, напрямую подключенная к другому концу tun0, и знает способы, как перемещать пакеты вперед для 10.8?

|источник

2 ответа2

0

Прежде чем ответить на эти вопросы, позвольте мне объяснить флаги, которые связаны между собой.

  • U (маршрут вверх)
  • H (цель - хост)
  • G (использовать шлюз)

Маршруты 2 и 3 нельзя объединить, потому что вы информируете исходный компьютер о 10.8.0.241 (metric 0) и о том, чтобы связаться с любым компьютером с идентификатором сети 10.8.0.0/24 используйте шлюз 10.8.0.241 . Я не уверен, почему мы перенаправляем pkts на шлюз по умолчанию, но это может быть хитростью для внедрения обратного маршрута на маршрутизаторе / брандмауэре шлюза.

|источник
0

По предположению, топология сети будет

Клиент => Интернет => 10.8.0.241 => 10.8.0.0/24

Когда VPN-соединение установлено, вы не можете напрямую подключиться к какому-либо хосту, кроме конечной точки VPN через tun0. Чтобы отправить данные чему-либо еще в диапазоне 10.8.0.0/24, вам необходимо отправить их в GW (10.8.0.241), который затем перенаправит их на правильный хост.

Это может быть предоставление вам IP в той же сети, что и серверы на удаленной конечной точке, или чтобы вы могли подключаться к другим VPN-клиентам.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .