Tabela de roteamento com gateway na mesma rede e interface, por quê?

0

Ao conectar-se à VPN da nossa empresa e observar a tabela de roteamento, descubro:

172.16.0.0      10.8.0.241      255.255.0.0     UG    0      0        0 tun0
10.8.0.241      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.241      255.255.255.0   UG    0      0        0 tun0

Acho que entendi a primeira linha: Um pacote para a rede 172.16 é colocado na interface tun0, mas endereçado para o gateway 10.8.0.241, que cuidará do resto.

A segunda linha diz explicitamente que, para chegar a 10.8.0.241, basta soltá-lo em tun0.

O que eu não entendo é porque as duas últimas linhas não podem ser combinadas apenas em

10.8.0.0        0.0.0.0      255.255.255.0   UG    0      0        0 tun0

para dizer que qualquer coisa para 10,8 pode ser descartada no túnel e a máquina certa irá buscá-lo. Por que um pacote para 10.8 primeiro deve ser explicitamente entregue ao gateway da mesma rede? É que o 10.8.0.251 é mal utilizado como um interruptor aqui, porque é realmente a única máquina diretamente conectada à outra extremidade do tun0 e sabe como mover pacotes para 10.8?

    
por Harald 19.04.2016 / 17:14

2 respostas

0

Antes de responder a essas perguntas, deixe-me explicar as sinalizações vinculadas.

  • U (a rota está ativa)
  • H (o alvo é um host)
  • G (usar gateway)

A rota 2 e 3 não podem ser combinadas porque você está informando que a máquina de origem alcançou 10.8.0.241 diretamente ( metric 0 ) e para acessar qualquer máquina com a ID de rede 10.8.0.0/24 , use o gateway 10.8.0.241 . Não tenho certeza por que estamos encaminhando pkts para o gateway padrão, mas isso pode ser o truque para injetar rota inversa no roteador / firewall do gateway.

    
por 20.04.2016 / 12:29
0

Supondo que a topologia da rede seria

Cliente = > Internet = > 10.8.0.241 = > 10.8.0.0/24

Quando a VPN é estabelecida, você não pode se conectar diretamente a nenhum host, mas ao endpoint VPN via tun0. Para enviar dados para qualquer outra coisa na faixa 10.8.0.0/24, você precisa enviá-los para o GW (10.8.0.241), que os encaminharia para o host correto.

Isso pode ser para fornecer um IP na mesma rede que os servidores no ponto de extremidade remoto ou para que você possa se conectar a outros clientes VPN.

    
por 20.04.2016 / 12:55