امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

معرفی راهکار حل مشکل Overlapping در ارتباطات VPN

یکی از مشکلات متعدد و رایج در بین متخصصین و مهندسین حوزه شبکه مبحث Overlapping در ایجاد ارتباطات VPN میباشد. به این واسطه در زمانی که شما بخواهید دو شبکه خاص را از راه دور به واسطه ارتباطات‌ VPN به هم دیگر متصل کنید ممکن است که Subnet و Private IP هر دو شبکه باهم یکی باشند و اینکار سبب این میشود که Overlapping به وجود بیاید و ارتباط ما مختل شود و Host های موجود در دو شبکه توانایی برقراری ارتباط برايشان وجود ندارد. اما سوالی که پیش می آید این است که در این شرایط چیکار کنیم؟ آیا باید کل Subnet و Private IP آن قسمت را تغییر دهیم؟ خب اصولا میتواند یکی از راه های که به ذهن شما برسد این موضوع باشد اما اینکار اصلا توصیه نمیشود و تغییر Subnet و IP یک شبکه خاص باید طبق اصول و بررسی های خاص انجام شود درغیر این صورت موجب به وجود آمدن اشکالات مختلف در شبکه ما میشود.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

مثال عملی از مشکل Overlapping در ارتباطات VPN

در تصویر زیر ما دو شبکه متنوع را میبینیم که بر روی بستر Internet به واسطه دو روتر سمت Edge خود توانسته اند یک ارتباط VPN را ایجاد کنند و اتصال دو شبکه خود را برقرار کنند اما اگر توجه کنید Subnet و IP هر دو شبکه در یک Range و Subnet قرار گرفته اند و از این بابت کامپيوتر شبکه سمت چپ میخواهد با کامپیوتر شبکه سمت راست ارتباط برقرار کند. مشکل اینجاست که کامپیوتر ما وقتی که می‌بينند Dst Address بسته های ارسالی آن در Range و Subnet خودشان میباشد آن را مستقیما به روتر ارسال نمیکنند و فقط صرفا درون شبکه محلی خودشان ارسال میکنند زیرا تصور میکنند که Dst Address متعلق به کامپیوتر مورد نظر در شبکه محلی خودشان‌ قرار گرفته است و از این طرف اگر بسته مورد نظر کامپيوتر به روتر سمت Edge ارسال نشود آن روتر هیچوقت نمیتواند بسته را به سمت VPN هدایت کند و به مقصد برساند و این در شرایط میبینیم که ارتباط برقرار نمیشود و دو طرف نمیتوانند یک دیگر را ببینند.

معرفی راهکار حل مشکل Overlapping در ارتباطات VPN

راهکار حل مشکل Overlapping در ارتباطات‌ VPN چیست؟

حالا برایتان سوال میشود که راهکاری که ما برای حل این مشکل داریم چیست؟ درواقع در این شرایط ما باید کامپیوتر هارا مجبور به ارسال بسته ها به روتر کنیم و به آنها بفهمانیم که این بسته ها باید به شبکه های خارج از شبکه محلی ارسال شوند و اینکار را با توسعه و کمی کار با NAT یا همان Network Address Translation میتوانیم به انجام برسانیم.

نکته: در این سناریو و مقاله ما Vendor و دیوایس خاصی را مد نظر نداریم و فقط قصد ارائه راهکار را داریم و برای پیاده سازی بر روی دیوایس مورد نظرتان این راهکار کاربرد دارد و در اکثر دیوایس ها قابل پیاده سازی و انجام میباشد.

مفهوم Policy NAT چیست؟

قبل از اینکه برویم سراغ معرفی راهکار باید ابتدا کمی در رابطه با Policy NAT اطلاعاتی به دست بیاوریم به صورت کلی از این رو Policy NAT امکان پیاده سازی روش های تصمیم گیری برای تطبیق و یا ایجاد تغییرات در ترجمه براساس SRC Address و DST Address برای ما فراهم میکنند. به صورت ساده تر ما در گذشته امکان پیاده سازی NAT و ایجاد تغییرات در SRC Address را داشته ایم و حالا با وجود Policy NAT امکان پیاده سازی تغییرات در DST Address را نیز داریم.

راهکار: استفاده Policy NAT 

برای اینکه بتوانیم مشکلات بالا را حل کنیم ما باید از راهکار Policy NAT استفاده‌ کنیم که با آن آشنا شدیم برای اینکار میتواینم Policy NAT را بر روی هر دو روتر پیاده سازی کنیم بدین شکل که به روتر سمت R1 بگویم در صورت رسیدن بسته ایی با مشخصات‌ زیر: Source IP: 10.0.0.77 Destination IP: 10.2.2.88 قسمت SRC IP آن را به آدرس 10.1.1.77 تغییر بده و پس از آن به سمت مقصد ارسال کن همچنین در سمت مقابل نیز میتوانیم این فرآيند را انجام دهیم و بگویم بسته ایی اگر بسته ایی با مشخصات زیر به دستت رسید Source IP: 10.0.0.88 Destination IP: 10.1.1.77 مقدار SRC IP را به آدرس 10.2.2.88 تغییر بده و ارسال کن بدین ترتیب دو روتر ما شبکه های بالا را به صورت Subnet و Range دیگری میبینند و ارتباط کاملا برقرار میشود.

معرفی راهکار حل مشکل Overlapping در ارتباطات VPN


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

نظرات