[教學] VPN Site to Site 路由表

閒來無事來討論路由表好了


各位都知道網路是雙向的.
A向B提出問題,B一定要發個答案給A ,A最終才會知道解答是什麼.

若是A向B時被中斷,或者B向A時被中斷...這樣A永遠得不到解答.

防火牆的概念即如此,將訊息傳遞的過程找出合適的攔截點上.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
若相同的概念套在路由表上呢?
在router設好dhcp-server(192.168.1.0/24)後,路由會生成像這樣的設置:


to-address即目標 ,gateway即方向.

套在這張路由表即告訴我們:
若要尋找192.168.1.0/24這些電腦,請往bridge這接口的方向搜尋.

所以今天有一PCA(192.168.1.100) 要向PCB(192.168.1.150)索取資料.
PCA向路由表查192.168.1.150的位置,路由表隨即告知PCA 請向bridge的接口尋找.
而封包借由bridge的端口,順勢了找到PCB.

之後PCB準備了解答,須將資料再送回PCA.
所以PCB向路由表查192.168.1.100的位置,路由表告之請往bridge接口的方向搜尋.
而封包借由bridge的端口,順勢了找到PCA.

最後PCA(192.168.1.100)終於從PCB(192.168.1.150)得到他要的解答.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
若時route借vpn連接另一端的lan (site to site)時,又是怎的情況呢?


由路由表可知:本地的vpn-address為10.0.200.1 /遠端的vpn-address為10.0.200.2

若您此時用Router工具,ping 10.0.200.2 ,遠端會回應;
但試著用PCA(192.168.1.100) ping 10.0.200.2 卻回顯示timeout!? 為什麼??

原因是路由表告訴PCA(192.168.1.100) ,連接10.0.200.2請往<l2tp-afatcat>接口.
10.0.200.2收到訊息後給予解答,要從路由表尋找路徑回給PCA(192.168.1.100)...

但注意的是10.0.200.2是在另一台routerB上,並非與PCA(192.168.1.100)同處routerA.
routerB並無PCA(192.168.1.100)的路徑,10.0.200.2自然無法將答案傳回PCA(192.168.1.100).

所以解決的方式也很容易,在RouterB的路由表補上PCA(192.168.1.100)的位置.

這樣10.0.200.2就知道可從<l2tp-afatcat> ,找到PCA(192.168.1.100)給予解答.

這樣明白吧

ps:
要注意喔,RouterB的to-address是設192.168.1.100/32 ,也就是PCA
所以只有PCA去連結10.0.200.2時 ,routerB路由表才能給10.0.200.2返回PCA的路徑.

若是PCB(192.168.1.150)去連接10.0.200.2 ,routerB路由表可是沒PCB(192.168.1.150)的路徑,
10.0.200.2是沒辦法透過路由表回PCB(192.168.1.150)解答的.

所以建議routerB路由表的to-address可換成192.168.1.0/24

這樣不管routerA內網任何一台去連接10.0.200.2時,
10.0.200.2都知道返回192.168.1.0/24給予解答時,要往<l2tp-afatcat>去.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
接續site to site討論,
routerA (192.168.1.0/24) 是如何與routerB (192.168.2.0/24)做連結呢?

一樣的方式:
我們在routerA 的路由表新增路由,to-address設192.168.2.0/24 gateway設<l2tp-afatcat>
宣告要連接192.168.2.0/24時,請往vpn去.

若routerB路由表先前有宣告192.168.1.0/24在<l2tp-afatcat>的另一端時,就不用再宣告.
沒做只要再補齊即可.

這樣PCA(192.168.1.100) 連接PCD(192.168.2.75)時,PCA就知道要往vpn另一端去;
PCD(192.168.2.75) 要給解答時,PCD也知道要往vpn另一端才送得到PCA(192.168.1.100).

就這樣