SSL Tunnel VPN 測試
指令是 route print
裝好VPN撥接軟體之後它會自動產生一個虛擬的介面,這是我們還沒有連VPN前電腦的路由表,可以看出我們是在一個192.168.4.0/24的網段,然後預設閘道是192.168.4.254。
連上VPN之後發現路由表被修改,要連VPN的IP還是要用可以上網的那張介面連,不然VPN就斷了,192.168.4.0因為是同網段也不走VPN,但是像是192.168.1.0/24的網段都往VPN丟,其他要上網的流量還是走原本的網卡,這個就是所謂的通道分離模式,除了要連公司的網段之外,其他還是走原本的線路。
這時候我們不但分配到一個 192.168.1.204的IP,也能ping到其他公司內部的伺服器。
原來這個IP也是防火牆回的,因為ARP裡的MAC都相同。
我們的VPN網段不要跟公司內部同網段,我們選用10.20.32.0/24,取得一個 10.20.32.1 IP,反而ping不到 web server2。
我們看一下web server1的連線紀錄,他確實是帶 10.20.32.1的 IP來連的,因為跟自己不同網段,所以封包會往預設閘道丟。
原來是因為web server2不知道什麼原因沒有設定預設閘道。
因為對方沒有回來的路由,解決方法就是偽裝自己跟他同網段,做NAT成192.168.1.254就解決了,我想這也是為什麼大家習慣把SSL VPN的網段跟內部同網段,雖然我比較習慣分開,比較好分辨是VPN的連線還是內部連線。
如果不使用通道分離模式呢?也是除了自己的網段192.168.4.0/24和210.242.144.103走原本的線路以外,其他全部往VPN丟,但是這時候會發現明明就有兩條預設閘道啊,但是像是路由表是比較AD值,我們原本線路的計量比VPN低,所以剩下的流量還是都會往VPN丟。
壞處就是如果你們公司的防火牆沒有開啟VPN到WAN的政策,你會發現這時候你的FB、PTT、網路遊戲都會斷了。
如果你們公司有開VPN到WAN的政策的話,這時候你會覺得奇怪,我在外面上網怎麼還是帶公司的IP出去,這就是我們所謂的跳板,如果你在大陸出差的話,就可以透過跳板的方式在大陸拿到台灣公司IP然後看些被封鎖之類的東西。
結論:
只是要Routing不外乎就是路由表,所以像是VPN也只是模擬網卡,看流量怎麼丟而已,如果VPN的網段跟公司內部同網段會比較方便,但是如果網段沒有分配好的也會怕發生ip衝突的問題,這時候可以考慮新增一段不屬於公司內部的網段,但最後還要考慮Routing的問題,會不會因為Routing不到VPN的網段所以導致封包無法回去。
留言
張貼留言