Rastreamentos de rota estranhos ao conectar-se à VPN L2TP/IPsec

tag-icon tag-icon vpn windows-8.1 routes
Rastreamentos de rota estranhos ao conectar-se à VPN L2TP/IPsec

Foi difícil para mim pensar em um título para esta pergunta, então, por favor, tenha paciência comigo.

Meu laptop com Windows 8.1 Pro se conecta à minha rede doméstica usando um roteador/gateway sem fio que também fornece acesso à Internet. O endereço IP do meu roteador/gateway é 192.168.0.254. O roteador/gateway usa uma máquina Windows Server 2012 R2 192.168.0.1como servidor DNS. O servidor DNS do Windows usa 8.8.8.8e 8.8.4.4respectivamente. Eu uso meu laptop para conectar-me a uma VPN L2TP/IPsec hospedada em uma instância Linux em um Amazon VPC. A rede da VPC é 10.0.0.0/16. Tudo isso funciona perfeitamente - túnel dividido usando rotas estáticas do servidor DHCP, comunicação com instâncias dentro do VPC, etc. No entanto, notei alguns traços de rota estranhos e preciso descobrir o que eles significam.

Minha conexão VPN tem um sufixo DNS registrado – digamos mycompany.com. Estou usando o Amazon Route 53 para resolver consultas de arquivos *.mycompany.com. Novamente, tudo isso funciona. O problema é que os rastreamentos de rota para hostsoutro que não seja *.mycompany.comestão mostrando um host da Amazon como estando de alguma forma envolvido no roteamento!

Aqui está um exemplo de rastreamento de rota que considero correto. Observe a latência, indicando que os pacotes estão trafegando pela WAN conforme esperado. Observe também o endereço IP 172.16.0.0, que é o endereço IP da interface TAP do servidor VPN, e que também é usado pelo servidor DHCP e NAT:

> tracert someinstance.mycompany.com

Tracing route to someinstance.mycompany.com [10.0.1.5]
over a maximum of 30 hops:
  1    86 ms    86 ms    87 ms  ip-172-16-0-0.us-west-2.compute.internal [172.16.0.0]

Aqui está um exemplo de um rastreamento de rota estranho:

> tracert google.com

Tracing route to google.com [173.194.33.166]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ip-192-168-0-254.us-west-2.compute.internal [192.168.0.254]

O que é estranho é que ip-192-168-0-254.us-west-2.compute.internal, especificamente 192-168-0-254... Esse é o endereço IP do meu roteador doméstico! Observe também a latência de menos de 1 ms.

E finalmente, > route print:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.0.254    192.168.0.113     10
         10.0.0.0      255.255.0.0         On-link      172.16.0.163     11
     10.0.255.255  255.255.255.255         On-link      172.16.0.163    266
       <redacted>  255.255.255.255    192.168.0.254    192.168.0.113     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.16.0.0      255.255.0.0          1.0.0.1     172.16.0.163     11
     172.16.0.163  255.255.255.255         On-link      172.16.0.163    266
      192.168.0.0    255.255.255.0         On-link     192.168.0.113    266
    192.168.0.113  255.255.255.255         On-link     192.168.0.113    266
    192.168.0.255  255.255.255.255         On-link     192.168.0.113    266
    192.168.137.0    255.255.255.0         On-link     192.168.137.1    261
    192.168.137.1  255.255.255.255         On-link     192.168.137.1    261
  192.168.137.255  255.255.255.255         On-link     192.168.137.1    261
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.113    266
        224.0.0.0        240.0.0.0         On-link     192.168.137.1    261
        224.0.0.0        240.0.0.0         On-link      172.16.0.163    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.113    266
  255.255.255.255  255.255.255.255         On-link     192.168.137.1    261
  255.255.255.255  255.255.255.255         On-link      172.16.0.163    266

<redacted>é o endereço IP público do meu servidor VPN.

O que está acontecendo aqui? Por que um nome de host da Amazon está sendo construído com o endereço IP do meu gateway local? Há algo errado com minha conexão VPN ou tudo isso é normal?

Responder1

Tudo parece normal.
Quando você rastreia someinstance.mycompany.com, o roteamento viaja via VPN conforme especificado nesta regra:

    10.0.0.0      255.255.0.0         On-link      172.16.0.163     11

enquanto quando você rastreia qualquer coisa fora da VPN, ele usa o gateway normal definido por esta regra:

0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.113 10

portanto, o primeiro salto do rastreamento será o endereço do seu gateway (seu roteador).

Sobre a resolução de nomes, pelas informações que você postou, acho que não é possível ver se o seu DNS interno ou arquivo host é capaz de resolver tanto o seu IP VPN quanto o seu gateway padrão (seu roteador). Sugiro que você consulte o arquivo host e as zonas do seu DNS para isso.

informação relacionada