web-dev-qa-db-ja.com

VPNパススルーは実際にどのように機能しますか?

PPTPここではIpsecなどではなくパススルーに興味​​があります。ネットを調べましたが、それがどのように行われるかわかりません。私はIT管理者であり、ルーティングについて多くのことを知っています。= NATなど。私はそれがどのように機能するかを知っていると思いますが、公式にそれを見つけました。私はただ興味があり、誰かに私の理論を確認してもらいたいです。ここにあります。

まず第一に、問題はNAT 1つのパブリックIPアドレスを共有する場合です。NAT PATを使用して、1つのパブリックIPを複数のプライベートIPと共有します。ポートとPATがないと、パケットが宛先から戻ってきたときにすべてパブリックIPアドレスにアドレス指定されるため、これは不可能です。ルーターは、異なるパケットを互いに区別する方法がありません。送信元ポートを使用することにより、とPATはできます。

PPTPは、それ自体がTCPまたはUDPとは異なるプロトコルであるGREを使用します。実際にはポートをまったく使用しないため、NATのトラバースで問題が発生します。 =デバイス。パケットがインターネットからルーターに戻ってきたときに、PATを使用せずに、これらのパケットがどのプライベートIPに属しているかをどのように判断できますか。

1723年の「チャンネル」を監視することで機能すると思います。 PPTPパススルーを使用すると、ルーターは1723接続(PAT/NATを使用)を同じ宛先IPに送信されるGREパケットに関連付けます。つまり、GREパケットが戻ってきたときは関連付けられません。プライベートIPアドレスを見つける代わりに1723接続のように見えるようにそれらを送信する場所を知っています。そうでない場合、それはどのように機能しますか?

NAT-Tがあることは知っていますが、これはVPNパススルーとは異なると思われます...

2
Mucker

私はこれを自分で見つけました... PPTPパススルー

PPTPのトンネルに使用されるGREプロトコルはポートを使用しないと思ったので、これはNATデバイスをネイティブにトラバースできないことを意味します。ただし、GREの2つのバージョン。ネイティブバージョンと、PPTP専用に使用される拡張GREと呼ばれる拡張バージョン。拡張バージョンは、ヘッダーにコールIDを追加します。NATの背後にある各VPNクライアントは、独自のバージョンを作成します。 GREヘッダーに追加される一意のコールID。VPNパススルー機能を備えたルーターは、ヘッダーのこの部分を読み取り、コールIDをNATの背後にあるプライベートIPアドレスと照合します。NATデバイスこの機能をサポートする必要があります。NATデバイスは、パケットが通過するときにこれを読み取り、この設定について戻ってくるGREパケットを検査して、送信先を認識します。

3
Mucker

から http://www.shorewall.net/VPN.htm

RFC 1918アドレスを持つシステムは、リモートゲートウェイを介してリモートネットワークにアクセスする必要があります。この例では、ローカルシステムのIPアドレスが192.168.1.12であり、リモートゲートウェイのIPアドレスが192.0.2.224であると想定します。

PPTPが使用されており、2つ以上のローカルシステムを同じリモートサーバーに同時に接続する必要がある場合は、PPTPヘルパーモジュールがロードされていることを確認する必要があります(ip_conntrack_pptpとip_nat_pptpまたはnf_conntrack_pptpとnf_nat_pptp)。デフォルトのモジュールファイルを使用して、Shorewall(Lite)は、Shorewall(Lite)の起動時にこれらのモジュールのロードを試みます。

IPSECを使用している場合は、NATトラバーサルを使用するようにIPSECを構成する必要があります-NATトラバーサルでは、IPSECパケット(プロトコル50または51)はUDPパケット(通常は宛先ポート)にカプセル化されます4500)。さらに、キープアライブメッセージは頻繁に送信されるため、エンドポイント間のNATゲートウェイは接続追跡エントリを保持します。これは私がHPイントラネットに接続する方法であり、ACCEPT loc-> netポリシー以外のShorewallがなくても問題なく機能します。 NATトラバーサルはWindows2Kのパッチとして利用可能であり、Windowsの標準機能ですXP-「VPNのタイプ」プルダウンから「L2TPIPSecVPN」を選択するだけです。

または、ファイアウォールの背後にIPSECゲートウェイがある場合は、次のことを試すことができます。リモートゲートウェイに接続できるシステムは1つだけであり、ファイアウォールの構成要件は次のとおりです。

0
Dave