یکی از مشکلات متعدد و رایج در بین متخصصین و مهندسین حوزه شبکه مبحث Overlapping در ایجاد ارتباطات VPN میباشد. به این واسطه در زمانی که شما بخواهید دو شبکه خاص را از راه دور به واسطه ارتباطات VPN به هم دیگر متصل کنید ممکن است که Subnet و Private IP هر دو شبکه باهم یکی باشند و اینکار سبب این میشود که Overlapping به وجود بیاید و ارتباط ما مختل شود و Host های موجود در دو شبکه توانایی برقراری ارتباط برايشان وجود ندارد.
اما سوالی که پیش می آید این است که در این شرایط چیکار کنیم؟ آیا باید کل Subnet و Private IP آن قسمت را تغییر دهیم؟ خب اصولا میتواند یکی از راه های که به ذهن شما برسد این موضوع باشد اما اینکار اصلا توصیه نمیشود و تغییر Subnet و IP یک شبکه خاص باید طبق اصول و بررسی های خاص انجام شود درغیر این صورت موجب به وجود آمدن اشکالات مختلف در شبکه ما میشود.
مثال عملی از مشکل Overlapping در ارتباطات VPN
در تصویر زیر ما دو شبکه متنوع را میبینیم که بر روی بستر Internet به واسطه دو روتر سمت Edge خود توانسته اند یک ارتباط VPN را ایجاد کنند و اتصال دو شبکه خود را برقرار کنند اما اگر توجه کنید Subnet و IP هر دو شبکه در یک Range و Subnet قرار گرفته اند و از این بابت کامپيوتر شبکه سمت چپ میخواهد با کامپیوتر شبکه سمت راست ارتباط برقرار کند. مشکل اینجاست که کامپیوتر ما وقتی که میبينند Dst Address بسته های ارسالی آن در Range و Subnet خودشان میباشد آن را مستقیما به روتر ارسال نمیکنند و فقط صرفا درون شبکه محلی خودشان ارسال میکنند زیرا تصور میکنند که Dst Address متعلق به کامپیوتر مورد نظر در شبکه محلی خودشان قرار گرفته است و از این طرف اگر بسته مورد نظر کامپيوتر به روتر سمت Edge ارسال نشود آن روتر هیچوقت نمیتواند بسته را به سمت VPN هدایت کند و به مقصد برساند و این در شرایط میبینیم که ارتباط برقرار نمیشود و دو طرف نمیتوانند یک دیگر را ببینند.
راهکار حل مشکل Overlapping در ارتباطات VPN چیست؟
حالا برایتان سوال میشود که راهکاری که ما برای حل این مشکل داریم چیست؟ درواقع در این شرایط ما باید کامپیوتر هارا مجبور به ارسال بسته ها به روتر کنیم و به آنها بفهمانیم که این بسته ها باید به شبکه های خارج از شبکه محلی ارسال شوند و اینکار را با توسعه و کمی کار با NAT یا همان Network Address Translation میتوانیم به انجام برسانیم.
-------------------------------------------------
برای دسترسی به مجموعه بهترین دوره های آموزش شبکه های کامپیوتری ( مبانی شبکه ، نتورک پلاس ، مانیتورینگ و ... ) مقدماتی تا پیشرفته با ارائه گواهینامه و فیلم رایگان همین الان کلیک کن
--------------------------------------------------
نکته: در این سناریو و مقاله ما Vendor و دیوایس خاصی را مد نظر نداریم و فقط قصد ارائه راهکار را داریم و برای پیاده سازی بر روی دیوایس مورد نظرتان این راهکار کاربرد دارد و در اکثر دیوایس ها قابل پیاده سازی و انجام میباشد.
مفهوم Policy NAT چیست؟
قبل از اینکه برویم سراغ معرفی راهکار باید ابتدا کمی در رابطه با Policy NAT اطلاعاتی به دست بیاوریم به صورت کلی از این رو Policy NAT امکان پیاده سازی روش های تصمیم گیری برای تطبیق و یا ایجاد تغییرات در ترجمه براساس SRC Address و DST Address برای ما فراهم میکنند. به صورت ساده تر ما در گذشته امکان پیاده سازی NAT و ایجاد تغییرات در SRC Address را داشته ایم و حالا با وجود Policy NAT امکان پیاده سازی تغییرات در DST Address را نیز داریم.
راهکار: استفاده Policy NAT
برای اینکه بتوانیم مشکلات بالا را حل کنیم ما باید از راهکار Policy NAT استفاده کنیم که با آن آشنا شدیم برای اینکار میتواینم Policy NAT را بر روی هر دو روتر پیاده سازی کنیم بدین شکل که به روتر سمت R1 بگویم در صورت رسیدن بسته ایی با مشخصات زیر: Source IP: 10.0.0.77 Destination IP: 10.2.2.88 قسمت SRC IP آن را به آدرس 10.1.1.77 تغییر بده و پس از آن به سمت مقصد ارسال کن همچنین در سمت مقابل نیز میتوانیم این فرآيند را انجام دهیم و بگویم بسته ایی اگر بسته ایی با مشخصات زیر به دستت رسید Source IP: 10.0.0.88 Destination IP: 10.1.1.77 مقدار SRC IP را به آدرس 10.2.2.88 تغییر بده و ارسال کن بدین ترتیب دو روتر ما شبکه های بالا را به صورت Subnet و Range دیگری میبینند و ارتباط کاملا برقرار میشود.
سلام برشما خسته نباشید
لطفا این سوالتونو در قالب یک پرسش در وب سایت مطرح کنید تا دوستان و عزیزان دیگر هم بتوانند راهنمایی کنند.
موفق باشید
سلام و عرض ادب.
من یه روتر4G TP-Link مدل Mr200 دارم که مدتی هست سیم کارت رو نمیشناسه. چطور میتونم متوجه بشم مشکل نرم افزاری و قابل حل یا ماژول خرابه. تنظیمات روی سیم کارت سیو نمیشه و ارور میده. ممنون میشم راهنماییم کنین.
کاش اینو بصورت ویدیو اپلودش میکردین اینجا.
ببینید من یه بار عرض کردم خدمتتون اون آدرسی که روی Tunnel میبینید درواقع آدرس Source و Destination هدر IP پکت های کلاینت های ماست که با رسیدن به روتر فرآيند SRC NAT صورت میگیره براشون و مبدا ارسالی بسته تغییر میکنه
سوال سومتون
ببینید عزیزدلم اینجا یه صرفا یه تست بود برای ارتباط با یک کامپیوتر دیگه خب شما الان چه تفاوتی بین این هست که سابنت تغییر کرده باشه یا نکرده باشه؟ برای کلاینت الان چ فرقی میکنه؟ کلاینت هیچ حسی نمیکنه که این وسط داره چه فرآیندی صورت میگیره و به صورت عادی داره ارتباطشو با سمت مقابل دریافت میکنه به راحتی و داره سمت مقابل رو با یک رنج دیگه ایی میبینه و این مشکلی نداره اصولا
سوال بعدیتون بله برای DNS Server هم که ایجاد کردید شما یک A Record میسازید و نام دامنه رو همون آدرسی میزارید که در سمت مقابل درنظر دارید آدرس سرور باشه
مورد اخرتون
خودتونم پیاممو خوندید دیگه من عرض کردم اکثر دیوایس ها نه همه دیوایس ها چون اصولا میکروتیک رو نمیشه با تجهیزاتی مثله Cisco و یا Juniper مقایسه کرد هم از لحاظ توان باری هم از لحاظ Performance و هم از لحاظ فیچر و ویژگی و همچنین از این بابت اصولا شما در کشورای اروپایی و آمریکایی میکروتیک رو به ندرت میبینی که استفاده بشه و معمولا برای مشاغل خیلی کوچیک و یا استفاده های خانگی از میکروتیک استفاده میکنند برای همین هم نباید انتظار آنچنان زیادی داشت ازش و فیچر های امروزی و جدیدی رو به همین زودیا توش ببینیم
بعدشم من نگفتم حتما نمیشه پیاده سازی کرد زیرا ممکنه قابلیت پیاده سازیش به یک طریقی وجود داشته باشه و من بی اطلاع باشم
ولی جناب تنگسیری نژاد عزیز..
من هنوز متوجه سناریو شما نشدم.
شما آیپی اکسترنال 10.1.1.۷۷ و ۱۰.۲.۲.۸۸ رو روی دوسر تانلها ا نشون کردید که من اخرسر نفهمیدم اینا آدرس تانل هستن یا آدرس ایترفیس wan روتر ها.
مورد دوم که هنوز متوجه نمیشم آینه که چرا آدرس مقصد در نهایت باید بیاد روی روی اینترفیس wan یا تانل روتر درون سازمانی آدرس بخوره.چرا به اینترفیس روتر مقابلش آدرس رو تغیر ندیم....
سوم اینکه شما فرمایش کردید که به کلاینت بگیم که آدرس مقصدش باید ۱۰.۲.۲.۸۸ باشه....
خوب آگه شبکه مقابل تعداد زیادی هاست داشته باشه چطوری میخاد بفهمه که آدرس 10.2.2.88 کدوم یکی از کامپیوتر های رنج ۱۰.۰.۰.24 هستن؟؟؟
یا بذارید اینطور بگم آگه dns ای هم این وسط باشه تو dns آدرس تمام هاست های شبکه مقابل رو 10.2.2.8 معرفی کنیم؟؟؟
و مورد چهارم و آخر...
تو مقاله نوشتین این سناریو با اکثر دیوایس ها و وندور ها قابل پیاده سازیه. ولی تو کامنت میگین که تو میکروتیک نمیشه.
حقیقتا بنده این فرآيند رو در میکروتیک پیاده سازی نکردم و تا اونجاییم که تجربه و اطلاع دارم همچین امکانی رو تابحال توی میکروتیک ندیدم
خودتونم میتونید یک تحقیقی داشته باشید و بررسی کنید شاید امکانش وجود داشته باشه
الان اگه بخام این سناریو رو تو میکروتیک پیاده سازی کنم چطوری باید انجامش بدم؟
منگل یا با nat ؟؟
بله چون اینجا هر دو شبکه در یک سابنت و رنج یکسان قرار دارند ارتباطشون برقرار نمیشه و به همین ترتیب به کلاینت ها گفته میشه که از این آدرس ایپی و رنج استفاده کنند که از رنج و سابنت محلی خودشان متفاوت است
اخه مقصد هر جفت کلاینت باید آدرس 10.0.0.0/24 باشه نه 10.1.1.77 و 10.2.2.88
لن هر دو شبکه باهم کار دارن دیگه.و رنج هر دو شبکه لن 10.0.0.0/24 هست.
و جواب سوال اولتون اون آدرس های درون تصویر آدرس های مقصد و مبدا پکت کلاینتا هست نه تانل