VPN Server端的Client為何不用設路由卻知道怎麼回應封包

piligo
個人積分：179分
文章編號：77701669

179分

樓主

2020-05-26 9:20

環境
VPN Server(QNAP擔任-PPTP)
IP：192.168.10.10 / 24
VPN IP：10.0.0.1 / 24

Client FTP Server(FTP1)
IP：192.168.10.20 / 24

VPN Client(PC1)
IP：192.168.20.2 / 24
VPN IP：10.0.0.2 / 32
VPN Server端的Client為何不用設路由卻知道怎麼回應封包

我在PC1 ping FTP1(192.168.10.20)有回應也可以存取FTP服務，但是我去FTP1卻ping不到PC1(10.0.0.2)

這邊我認為合理，因為FTP1並沒有設路由表說10.0.0.0/24要往192.168.10.10丟

可是為何PC1主動發出的需求卻可以得到FTP1的回應

這是什麼原理呢?

謝謝

2020-05-26 9:20 發佈

文章關鍵字 VPN Server端 client 路由封包

Star Kfeirchris

Star Kfeirchris
個人積分：3322分
文章編號：77702705

3322分

2樓

2020-05-26 10:32

piligo wrote:
VPN Server(QNAP擔任)
IP：192.168.10.10 / 24
VPN IP：10.0.0.1 / 24

Client FTP Server(FTP1)
IP：192.168.10.20 / 24

因為這個所以你 ping 得到 FTP

另外你確定 pc1 拿到的 vpn ip prifix 真的是 /24?

不確定你用哪種 vpn 協定，但我記得 vpn client 在連線的時候拿到的 prifix 不會是 /24

piligo

piligo
個人積分：179分
文章編號：77702908

179分

樓主

2020-05-26 10:44

Star Kfeirchris wrote:
因為這個所以你 ping...(恕刪)

確認了一下VPN是PPTP

VPN配發的的遮罩全都是 /32

本文已修正

另外您標紅色的是VPN Server跟FTP1，這兩台本來就是同網段

但是我疑惑的是另一端的PC1去存取FTP1為何可以正常的收到回應封包

ulimie

ulimie
個人積分：1839分
文章編號：77702925

1839分

4樓

2020-05-26 10:45

piligo wrote:
可是為何PC1主動發出的需求卻可以得到FTP1的回應

SSH 到 VPN Server 192.168.10.10 列出路由表看看。

QNAP 的 VPN Server 不支援 site-to-site VPN，如果支援的話，FTP1 也可以 ping 到 PC1 那邊內網裡全部的 clients。

edit: 原來是 PPTP，那就要先去瞭解 TCP 1723 的 GRE 協定了...

Star Kfeirchris

Star Kfeirchris
個人積分：3322分
文章編號：77703639

3322分

5樓

2020-05-26 11:30

piligo wrote:
另外您標紅色的是VPN Server跟FTP1，這兩台本來就是同網段

但是我疑惑的是另一端的PC1去存取FTP1為何可以正常的收到回應封包

跟 VPN server 同網段的機器收得到本來就是正常的，

因為 PC1 已經連到 vpn server 了，去連跟 vpn server 同網段的機器，

就是透過 vpn server 去連其它機器

piligo

piligo
個人積分：179分
文章編號：77711037

179分

樓主

2020-05-26 21:11

Star Kfeirchris wrote:
跟 VPN server...(恕刪)

您說的這段 "就是透過 vpn server 去連其它機器"

意思是指FTP1收到PC1的封包其實IP來源已經被竄改成vpn server的IP了?

也就是FTP1是回給192.168.10.10，反而不是回給10.0.0.2的意思

piligo

piligo
個人積分：179分
文章編號：77711207

179分

樓主

2020-05-26 21:27

ulimie wrote:
SSH 到 VPN Server...(恕刪)

這是VPN Server的路由表

我在來拜讀一下GRE是什麼

感謝