Tabela de roteamento com gateway na mesma rede e interface, por quê?

tag-icon tag-icon linux networking routing
Tabela de roteamento com gateway na mesma rede e interface, por quê?

Ao conectar-me à VPN da nossa empresa e observar a tabela de roteamento, encontro o seguinte:

172.16.0.0      10.8.0.241      255.255.0.0     UG    0      0        0 tun0
10.8.0.241      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.241      255.255.255.0   UG    0      0        0 tun0

Acho que entendi que a primeira linha é: Um pacote para a rede 172.16 é descartado na interface tun0, mas endereçado ao gateway 10.8.0.241, que cuidará do resto.

A segunda linha diz explicitamente que para chegar a 10.8.0.241, basta colocá-lo em tun0.

O que não entendo é por que as duas últimas linhas não podem ser simplesmente combinadas em

10.8.0.0        0.0.0.0      255.255.255.0   UG    0      0        0 tun0

para dizer que qualquer coisa até 10,8 pode simplesmente ser jogada no túnel e a máquina certa irá pegá-lo. Por que um pacote para 10.8 deve primeiro ser explicitamente entregue ao gateway dessa mesma rede? Será que o 10.8.0.251 é mal utilizado como um switch aqui, porque na verdade é a única máquina diretamente conectada à outra extremidade do tun0 e sabe como mover pacotes para o 10.8?

Responder1

Antes de responder a essas perguntas, deixe-me explicar os sinalizadores vinculados.

  • U (a rota está ativa)
  • H (o alvo é um host)
  • G (usar gateway)

A rota 2e 3não podem ser combinadas porque você está informando a máquina de origem para acessar 10.8.0.241diretamente ( metric 0) e para acessar qualquer máquina com o ID de rede, 10.8.0.0/24use o gateway 10.8.0.241. Não sei por que estamos encaminhando pacotes para o gateway padrão, mas esse pode ser o truque para injetar a rota reversa no roteador/firewall do gateway.

Responder2

Suponho que a topologia da rede seria

Cliente => Internet => 10.8.0.241 => 10.8.0.0/24

Quando a VPN é estabelecida, você não pode se conectar diretamente a nenhum host, exceto ao endpoint da VPN via tun0. Para enviar dados para qualquer outra coisa no intervalo 10.8.0.0/24, você precisa enviá-los para o GW (10.8.0.241), que os encaminhará para o host correto.

Isso pode ser para fornecer um IP na mesma rede dos servidores no endpoint remoto ou para que você possa se conectar a outros clientes VPN.

informação relacionada