Site-to-Site-VPN:
اتصالات VPN به 2 صورت امکان پذیر است :
✔️Client-to-Site: کاربر به یک Router متصل شده و از آن استفاده می کند .
✔️Site-to-Site: در این روش تعداد دو Router به متصل می شوند و کاربرانی که پشت سر این Router ها هستند ، هیچ چیز نمی دانند. (نه VPN زدند ، نه Connection دارند و …)
طبق تصویر شبکه های شیراز و تهران دارای یک رنج IP Private هستند که، از طریق
سرویس RRAS به اینترنت متصل می باشند .
سوال :
آیا کاربران شیراز می توانند از منابع Share شده کاربران تهران استفاده کنند و بلعکس ؟
مسلماً
خیر، زیرا در اینترنت IP Private شناخته شده نیست و Data به تهران نخواهد رسید .
راه حل :
برای اینکه بتوانید Data شیراز را به تهران برسانید در حالتی که هر دو IP Private
هستند ، باید بین Router شیراز و تهران
Tunnel ایجاد کنید . یک سر
Tunnel سمت روتر شیراز و سر دیگر
Tunnel سمت روتر تهران است و به همین دلیل به آن Site-to-Site-VPN گویند.
هدف از ایجاد Tunnel:
زمانی که شما Tunnel ندارید ، روتر های سمت اینترنت IP Private را به رسمیت نمی شناسند
و Data به تهران نخواهد رسید . برای اینکه مشکل حل شود ، زمانی که Packet شما از روتر
شیراز خارج شد، مثلا با هدر بسته (src:10.20.30.60 des:192.168.20.9) ، ما این Header
را مخفی و جلوی آن یک Header دیگر می چسبانیم . (src:100.1.1.2 des:5.6.7.2)
روتر هایی که در اینترنت هستند، وقت این را ندارند که Packet را جزء به جزء بررسی
کنند . لذا اولین Header را که می بینند ، می خوانند و تصمیم می گیرند . Packet
که به تهران رسید ، به دلیل اینکه تهران می داند بین شیراز و تهران قراری گذاشته
شده، Header را بر می دارد و اصل آن را می خواند.
ایجاد Tunnel در RRAS:
اگر مبنا بر این است که بین شیراز و تهران Tunnel ایجاد کنید :
✔️ هر دو سرور باید مسلح به IP Public باشند و همدیگر را ببینند.
✔️ جهت تکمیل نقص جدول مسیر یابی Router ، دو روش وجود دارد :
1 در بحث مسیر یابی اتوماتیک یا Dynamic Route یک سری پروتوکل های مسیر یابی ( EIGRP ، OSPF ، RIPv2 ) وجود دارد که فقط مختص شبکه های داخلی است و در اینترنت از این جنس پروتوکل ها استفاده نمی شوند ، البته یک نوع پروتوکل مسیر یابی به نام BGP در اینترنت وجود دارد که راه اندازی آن داستان دارد . ( نتیجه اخلاقی دور پروتوکل ها را خط بکشید )
2 Static Route ( مسیر یابی دستی ) : با توجه به اینکه در اینترنت تعداد زیادی رنج IP وجود دارد و از پروتوکل های مسیریابی هم نمی توان استفاده کرد ، لذا باید IP Route بنویسید .
تا به امروز مقصد همیشه برای Router مشخص بوده است ، اما از حالا برعکس با Router حرف می زنیم . ( اگر Packet به دستت رسید که هیچ گونه اطلاعاتی یا مسیری درباره آن وجود نداشت ، آن را تحویل ISP بده تا کل اینترنت را شامل شود )
این قائده به Route چهار صفر یا Default Route معروف است ( در فضای Router یعنی هر چیزی که بلد نیستی )
به یاد داشته باشید که اگر Default Route را اشتباه تایپ کردید ، باید حتما Default Route اول پاک گردد تا Default Route جدید جایگزین شود .
route add -p 0.0.0.0 MASK 0.0.0.0 100.1.1.1
route delete 0.0.0.0با توجه به اینکه نصف Tunnel سمت شیراز و نصف دیگر سمت تهران است ، جهت ایجاد
Tunnel حتما باید Interface مجازی از جنس Demand Dial بسازید .
✔️ در سرویس RRAS بر روی Network Interfaces کلیک راست و گزینه New Demand-Dial را انتخاب کنید.
✔️ به خاطر داشته باشید، اسامی که در قسمت Interface Name تایپ می کنید، بسیار حائز اهمیت است . به این دلیل که معادل Interface Name که تایپ می کنید ، Username خواهد ساخت که این Username و Password است که باید جهت ارتباط با شیراز سمت تهران تایپ گردد .
✔️ در مرحله بعد Interface را جهت اتصالات VPN بسازید.
✔️ در مرحله بعد نوع پروتوکل جهت اتصالات VPN را مشخص کنید . توجه داشته باشید که در حقیقت این دو روتر به صورت اتوماتیک و بدون نیاز به Connection به یکدیگر VPN می زنند ، مسلماً تهران هم باید با پروتوکل که سمت شیراز مشخص شده کار کند .
✔️ سوال می پرسد که ، آن سر دیگر Tunnel دست چه کسی است . مسلماً اگر می خواهید از اینترنت عبور کنید ، باید IP Public تایپ کنید .
✔️ گزینه Route IP Packets on this interface جهت Route کردن Packet بر روی این Interface است .
✔️ گزینه Add a user account یک Username معادل Interface Name خواهد ساخت. (جهت بالا بردن امنیت اتصال است)
✔️ در این مرحله باید مشخص کنید که Tunnel را برای رسیدن به کدام رنج IP می سازید . (عدد Metric زیاد مهم نیست)
در حقیقت در این صفحه یک Static Route می نویسید و به خاطر اینکه خودش متوجه می شود که روتر همسایه آن سر دیگر Tunnel است ، در مورد Route همسایه سوال نمی پرسد .
✔️ در مرحله بعد اسم Username را نمی توان تغییر داد ، زیرا باید دقیقاً معادل Interface Name باشد . حال باید Passowrd را برای آن تایپ کنید .
✔️ در مرحله آخر باید برای سرور تهران Username , Password بسازید . متاسفانه تهران باید خودش بسازد و برای ما ارسال کند ، اما جهت سرور تهران هم باید خودمان بسازیم.
👈 به خاطر داشته باشید که ، طبق سناریو بالا این Tunnel دو طرفه است ، بنابراین در سرور تهران Tunnel شیراز را ایجاد کنید.