Назад | Перейти на главную страницу

Странные трассировки маршрута при подключении к L2TP / IPsec VPN

Мне было сложно придумать название для этого вопроса, поэтому, пожалуйста, потерпите меня.

Мой ноутбук под управлением Windows 8.1 Pro подключается к моей домашней сети с помощью беспроводного маршрутизатора / шлюза, который также обеспечивает доступ в Интернет. IP-адрес моего маршрутизатора / шлюза 192.168.0.254. Маршрутизатор / шлюз использует компьютер Windows Server 2012 R2 в 192.168.0.1 в качестве своего DNS-сервера. DNS-сервер Windows использует 8.8.8.8 и 8.8.4.4 соответственно. Я использую свой ноутбук для подключения к L2TP / IPsec VPN, размещенной на инстансе Linux в Amazon VPC. Сеть VPC 10.0.0.0/16. Все это работает отлично - раздельное туннелирование с использованием статических маршрутов DHCP-сервера, связь с экземплярами внутри VPC и т. Д. Однако я заметил некоторые странные трассировки маршрутов, и мне нужно разобраться в том, что они означают.

Мое VPN-соединение имеет зарегистрированный DNS-суффикс - скажем, mycompany.com. Я использую Amazon Route 53 для решения запросов на *.mycompany.com. Опять же, все это работает. Проблема в том, что маршрут ведет к хостам. Кроме как *.mycompany.com показывают, что хост Amazon каким-то образом участвует в маршрутизации!

Вот пример трассировки маршрута, я считаю правильным. Обратите внимание на задержку, указывающую, что пакеты передаются по глобальной сети, как и ожидалось. Также обратите внимание на IP-адрес 172.16.0.0, который является IP-адресом TAP-интерфейса VPN-сервера и также используется DHCP-сервером и NAT:

> tracert someinstance.mycompany.com

Tracing route to someinstance.mycompany.com [10.0.1.5]
over a maximum of 30 hops:
  1    86 ms    86 ms    87 ms  ip-172-16-0-0.us-west-2.compute.internal [172.16.0.0]

Вот пример странной трассировки маршрута:

> tracert google.com

Tracing route to google.com [173.194.33.166]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ip-192-168-0-254.us-west-2.compute.internal [192.168.0.254]

Что странно ip-192-168-0-254.us-west-2.compute.internalв частности 192-168-0-254... Это IP-адрес моего домашнего роутера! Также обратите внимание на задержку менее 1 мс.

И наконец, > route print:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.0.254    192.168.0.113     10
         10.0.0.0      255.255.0.0         On-link      172.16.0.163     11
     10.0.255.255  255.255.255.255         On-link      172.16.0.163    266
       <redacted>  255.255.255.255    192.168.0.254    192.168.0.113     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.16.0.0      255.255.0.0          1.0.0.1     172.16.0.163     11
     172.16.0.163  255.255.255.255         On-link      172.16.0.163    266
      192.168.0.0    255.255.255.0         On-link     192.168.0.113    266
    192.168.0.113  255.255.255.255         On-link     192.168.0.113    266
    192.168.0.255  255.255.255.255         On-link     192.168.0.113    266
    192.168.137.0    255.255.255.0         On-link     192.168.137.1    261
    192.168.137.1  255.255.255.255         On-link     192.168.137.1    261
  192.168.137.255  255.255.255.255         On-link     192.168.137.1    261
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.113    266
        224.0.0.0        240.0.0.0         On-link     192.168.137.1    261
        224.0.0.0        240.0.0.0         On-link      172.16.0.163    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.113    266
  255.255.255.255  255.255.255.255         On-link     192.168.137.1    261
  255.255.255.255  255.255.255.255         On-link      172.16.0.163    266

<redacted> это общедоступный IP-адрес моего VPN-сервера.

Что тут происходит? Почему имя хоста Amazon создается с IP-адресом моего локального шлюза? Что-то не так с моим VPN-подключением или все нормально?

Вроде все нормально.
Когда вы отслеживаете someinstance.mycompany.com, маршрутизация проходит через VPN, как указано в этом правиле:

    10.0.0.0      255.255.0.0         On-link      172.16.0.163     11

а когда вы отслеживаете что-либо за пределами VPN, вместо этого используется обычный шлюз, установленный этим правилом:

0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.113 10

так что 1-й переход трассировки будет вашим адресом шлюза (вашим маршрутизатором).

Что касается разрешения имен, из информации, которую вы опубликовали, я думаю, что невозможно увидеть, может ли ваш внутренний DNS или файл хоста разрешить как ваш IP-адрес VPN, так и ваш шлюз по умолчанию (ваш маршрутизатор). Я предлагаю вам посмотреть файл хоста и зоны вашего DNS для этого.