¿Los paquetes enviados a la misma subred pasarán por routers?

Digamos que tenemos dos anfitriones, que son A 10.0.1.3 y B 10.0.1.4. Y A quiere enviar un paquete a B, ¿A buscó un enrutador para enviar el paquete? O simplemente usar ARP para enviar el paquete por nivel de datalink.

Mi problema es si el anfitrión apenas utiliza ARP para enviar paquetes en la misma subred, cómo podemos enviar los paquetes con VPN. Y parece que si asignamos un ip al host no tiene sentido.

En ausencia de una ruta específica definida, A consultará su tabla de enrutamiento, deducirá que el destino está en la red local, y arp para ello.

Si no desea que haga esto, añada una ruta que indique dónde debe enviarse el paquete. Digamos que su VPN está en 10.0.1.6:

route add -host 10.0.1.4 gw 10.0.1.6 

o

 route add 10.0.1.4 mask 255.255.255.255 10.0.1.6 

Esto agregará una ruta más específica que la creada por la red local, por lo que forzará el envío del paquete a 10.0.1.6.

Lo ideal sería que nunca tuvieran dispositivos con la misma dirección de red en diferentes subredes.

Hay dos puntos aquí para responder:

Situación normal:

Uno de una red normal (por ejemplo, no VPN) esto es lo que sucede:

A quiere enviar a B

  • Una mirada en la tabla de enrutamiento para ver cómo debe transmitir sus datos.
  • A busca una entrada para hosts en la misma subred.
  • A enviar el paquete a la NIC en esa subred, dirigida a B.

No hay enrutador está involucrado. No hay 'usar ARP por nivel de enlace de datos' (lo que eso signifique). La pila de IP en A simplemente direccionará el paquete a B en una NIC seleccionada de la tabla de enrutamiento. Si A ya tiene MAC de B en caché, simplemente disparará su paquete. Si no tiene MAC entonces primero necesitará hacer un descubrimiento de ARP antes de que pueda ensamblar el paquete.

VPN

Ahora una VPN cambia las cosas un poco.

Si B es un host VPN todavía parecerá estar en la misma subred. Sin embargo, existe algún mecanismo adicional para interceptar los datos enviados a los hosts en la VPN. Normalmente esto es en la forma de un NIC diferente que actuará como un túnel al otro lado de la VPN. Otros, a continuación, el software VPN en ambos lados no hay enrutadores están involucrados.

En la misma subred, ningún paquete enviará al enrutador para la comunicación de dos hosts.

Para entender VPN, explico dos tipos de enlaces:

  1. Point To Point: El enlace está entre dos dispositivos, no más. Es igual que Water Pipe . Si usted empareja un poco de agua de un lado, saldrá del otro lado.

  2. Multi-Access: La interfaz de un dispositivo verá más de lo que un dispositivo puede comunicar.

Ethernet es Multi-Access link , más de dos dispositivos pueden ser conectados a un switch Ethernet (switch típico que en estos días se utiliza). Así que el dispositivo fuente necesita especificar la dirección del dispositivo de destino en la capa de enlace de datos (dirección MAC de destino en el encabezado Ethernet). Por lo tanto, Ethernet utiliza ARP para obtener la dirección MAC del nodo de destino

VPN es punto a punto de enlace , envío de paquetes de un lado, saldrá de otro lado. Cualquier dirección (IP, MAC, …) que destino tiene, recibirá el paquete. Así que la VPN no requiere ARP y la dirección IP de destino no es importante (no requiere estar en la misma máscara de subred)

Si ve un paquete VPN sin cifrado con Wireshark, verá dos encabezados de capa de red, pero un encabezado de enlace de datos. Debido a que VPN es punto a punto, el segundo encabezado de capa de enlace de datos no tiene ningún efecto.