1

Я пытаюсь понять, как работает соединение с сервером в моем университете через VPN. IP-адрес сервера в сети - 172.27.xxx.xxx, который, на мой взгляд, является частным IP-адресом (то есть зарезервирован для внутреннего использования и не разрешен в общедоступном Интернете). Насколько я понимаю, если вы выполните поиск DNS для этого сервера, он вернет IP-адрес одного из маршрутизаторов университета, который подключен к общедоступному Интернету (возможно, VPN-маршрутизатор?) из-за этого какой IP-адрес возвращает служба DNS? а не личный адрес. Таким образом, когда вы отправляете пакеты со своего хоста в общедоступном Интернете, они шифруются и отправляются на маршрутизатор VPN кампуса. Как только они добираются до VPN, они дешифруются, но как маршрутизатор узнает, куда отправлять пакеты, поскольку у нас никогда не было частного IP-адреса нужного сервера?

Здесь есть несколько связанных вопросов, но я не нашел ничего, что прояснило бы это для меня. Как получить доступ к VPN-серверу с частным IP-адресом? и как VPN управляет локальными IP-адресами и поиском DNS во внутренней сети.

2 ответа2

3

Есть две фундаментальные концепции большинства VPN:

  • Понятие туннелирования означает, что оно инкапсулирует трафик одного типа в другой.

  • Большая часть программного обеспечения VPN-клиента создает в системе "виртуальный" сетевой адаптер.

Трафик, который отправляется на этот виртуальный сетевой адаптер, фактически перенаправляется на программное обеспечение клиента VPN (большинство современных ОС поддерживают этот тип сетевого адаптера, который отправляет трафик в приложение или службу, а не напрямую из сетевого адаптера), который принимает пакеты и добавляет их в качестве данных полезной нагрузки в зашифрованном протоколе (SSL и т. д.), а затем отправляет зашифрованные пакеты на сервер VPN через Интернет из реального сетевого адаптера.

Весь этот процесс называется туннелированием - и шифрование не должно быть задействовано, а используется в случае VPN.

Затем VPN-сервер отменяет инкапсуляцию, а затем получает исходный трафик. Затем он может маршрутизировать и т.д. В обычном режиме.

Поскольку на клиенте используется виртуальный сетевой адаптер, а инкапсуляция / деэнкапсуляция прозрачна для всего, что проходит через виртуальный сетевой адаптер, адреса, которые существуют на другой стороне VPN-сервера, можно использовать так, как если бы они были подключены напрямую.


Что касается DNS, то можно попросить DNS-сервер вернуть любой адрес, который вы хотите, включая частные диапазоны IP-адресов. VPN-серверу нужен как минимум один общедоступный IP-адрес, а DNS-сервер должен преобразовываться в общедоступный IP-адрес, чтобы программное обеспечение VPN могло создавать туннель, но как только туннель работает, для хостов, находящихся "позади" VPN, вполне может быть частный IP-адрес, доступны по сети, доступны только "через" VPN.

0

Как только они добираются до VPN, они дешифруются, но как маршрутизатор узнает, куда отправлять пакеты, поскольку у нас никогда не было частного IP-адреса нужного сервера?

Если я не ужасно ошибаюсь, я полагаю, что в целом процесс состоит в том, чтобы включить исходную полезную нагрузку запроса как часть VPN-пакета. Поэтому, если вы запрашиваете «internal.server.edu/something-something-darkside», это входит в зашифрованный пакет (и VPN-сервер будет обрабатывать эти данные запроса в соответствии с его конфигурацией).

Вы также можете быть уверены, что большинство VPN-серверов поддерживают сетевые мосты и, вероятно, знают о локальных DNS-серверах.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .