Routing-Tabelle mit Gateway im selben Netzwerk und an derselben Schnittstelle, warum?

tag-icon tag-icon linux networking routing
Routing-Tabelle mit Gateway im selben Netzwerk und an derselben Schnittstelle, warum?

Wenn ich mich mit dem VPN unseres Unternehmens verbinde und mir die Routing-Tabelle ansehe, finde ich Folgendes:

172.16.0.0      10.8.0.241      255.255.0.0     UG    0      0        0 tun0
10.8.0.241      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.241      255.255.255.0   UG    0      0        0 tun0

Ich glaube, ich verstehe die erste Zeile so: Ein Paket an das Netzwerk 172.16 wird in die tun0-Schnittstelle eingefügt, ist aber an das Gateway 10.8.0.241 adressiert, das sich um den Rest kümmert.

In der zweiten Zeile steht ausdrücklich, dass Sie es einfach in tun0 ablegen müssen, um zu 10.8.0.241 zu gelangen.

Was ich nicht verstehe ist, warum die letzten beiden Zeilen nicht einfach kombiniert werden können zu

10.8.0.0        0.0.0.0      255.255.255.0   UG    0      0        0 tun0

zu sagen, dass alles bis 10.8 einfach in den Tunnel geworfen werden kann und die richtige Maschine es abholt. Warum muss ein Paket bis 10.8 zuerst explizit an das Gateway desselben Netzwerks übergeben werden? Wird 10.8.0.251 hier irgendwie als Switch missbraucht, weil es tatsächlich die einzige Maschine ist, die direkt mit dem anderen Ende von tun0 verbunden ist und weiß, wie man Pakete für 10.8 weiterleitet?

Antwort1

Bevor ich diese Fragen beantworte, möchte ich die verknüpften Flaggen erklären.

  • U (Route ist oben)
  • H (Ziel ist ein Host)
  • G (Gateway verwenden)

Route 2und 3können nicht kombiniert werden, da Sie die Quellmaschine anweisen, 10.8.0.241direkt ( metric 0) zu erreichen und um jede Maschine mit der Netzwerk-ID zu erreichen, 10.8.0.0/24verwenden Sie bitte das Gateway 10.8.0.241. Ich bin nicht sicher, warum wir Pakete an das Standard-Gateway weiterleiten, aber dies könnte der Trick sein, um eine umgekehrte Route in den Gateway-Router/die Firewall einzufügen.

Antwort2

Die Topologie des Netzwerks könnte folgendermaßen aussehen:

Client => Internet => 10.8.0.241 => 10.8.0.0/24

Wenn das VPN eingerichtet ist, können Sie keine direkte Verbindung zu einem anderen Host als dem VPN-Endpunkt über tun0 herstellen. Um Daten an etwas anderes im Bereich 10.8.0.0/24 zu senden, müssen Sie sie an das GW (10.8.0.241) senden, das sie dann an den richtigen Host weiterleitet.

Dies kann dazu dienen, Ihnen eine IP im selben Netzwerk wie die Server am Remote-Endpunkt zuzuweisen oder eine Verbindung zu anderen VPN-Clients herzustellen.

verwandte Informationen