Маршрути за замовчуванням і віртуальні приватні мережі через Internet.

           Коли клієнт комутованих каналів викликає ISP, то він додає маршрут за замовчуванням, використовуючи сполучення до ISP, як це показано на рис..

Рис. Маршрути за замовчуванням при виклику ISP через комутовані канали.

Від цього пункту він може досягнути всі Internet-адреси через раутер в NAS ISP.

Коли VPN-клієнт створює VPN-сполучення, то додаються інші маршрути за замовчуванням і маршрути гостів з IP-адресою тунельного сервера, як показано на рис.. Попередній маршрут за замовчуванням зберігається, але отримує більшу метрику. Додання нового маршруту за замовчуванням означає, що всі Internet-розташування за винятком IP-адреси тунельного сервера недосяжні протягом часу тривання VPN-сполучення.

Рис.. Маршрути за замовчуванням при ініціюванні VPN.

Як у випадку сполучення клієнта комутованих каналів з Internet, коли клієнт, використовуючи добровільний тунель, створює VPN-сполучення до приватного intranet через Internet, наступає одна із таких подій:

q Internet-розміщення досяжні, а intranet-розміщення недосяжні, коли VPN-сполученя неактивне;

q Internet -розміщення недосяжні, а intranet-розміщення досяжні, коли VPN-сполученя активне.

Для більшості VPN-клієнтів, сполучених через Internet, така поведінка не створює проблем, бо вони звичайно використовують одну із intranet- або Internet-комунікацій, а не обидві. Для VPN-клієнтів, які хочуть одночасно мати доступ як до intranet-, так і до Internet-ресурсів, розв’язання залежить від способу IP-адресації в intranet. У всіх випадках об’єкт VPN-сполучення конфігурується так, що він не додає шлюзу за замовчуванням. Оли VPN-сполучення створене, маршрут за замовчуванням продовжує вказувати на NAS ISP, дозволяючи доступ до всіх адрес Internet.

           Базуючись на типі intranet-адресації, яка вживається, можна отримати доступ до intranet- або Internet-ресурсів таким чином:

q Публічні адреси. Додати статичні постійні маршрути до ідентифікаторів публічних мереж в intranet, використовуючи IP-адресу віртуального інтерфейсу VPN-сервера як IP-адресу шлюзу.

q Приватні адреси. Додати статичні постійні маршрути до ідентифікаторів приватних мереж в intranet, використовуючи IP-адресу віртуального інтерфейсу VPN-сервера як IP-адресу шлюзу.

q Суміщені або нелегальні адреси. Якщо в intranet використовуються суміщені або нелегальні адреси (ідентифікатори IP-мережі не є приватними і не зареєстровані в Internet Network Information Center (InterNIC) або не отримані від ISP), то ці IP-адреси можуть бути здубльовані публічними адресами в Internet. Якщо статичні постійні маршрути додані VPN-клієнту для суміщення ідентифікаторів мережі в intranet, то розміщення в Internet для суміщених адрес недосяжні.

У кожному із цих випадків статичні постійні маршрути для мережевих ідентифікаторів з intranet необхідно додати до VPN-клієнта. Коли постійні маршрути додані, то вони зберігаються в реєстрі. У Windows NT 4.0 та Windows 2000 постійні маршрути тепер не додаються до IP-таблиці раутінгу (та невидимі з командою route print для Windows 2000), доки IP-адреса шлюзу досяжна. IP-адреса шлюзу стає досяжною, коли встановлене VPN-сполучення.

           Для кожного маршруту слід ввести таку команду для Windows 2000:

ROUTE ADD <intranet Network ID> <IP address of VPN server’s virtual interface> -p

IP-адреса шлюза в команді route для кожного intranet-маршруту – це IP-адреса, призначена віртуальному інтерфейсу VPN-сервера, а не IP-адреса Internet-інтерфейсу VPN-сервера.

           У всіх цих випадках слід дуже старанно додавати маршрути, щоб приватний трафік intranet був пересланий через VPN-сполучення, а не через PPP-сполучення до ISP. Якщо додані неправильні маршрути, то трафік, який слід було вислати через VPN у зашифрованій формі, буде пересилатися незашифрованим через Internet. Наприклад, якщо intranet використовує публічний ідентифікатор мережі 207.46.130.0/24 (маска підмережі 255.255.255.0) і помилково додано постійний статичний маршрут для 207.46.131.0/24, то весь трафік до intranet-мережі 207.46.130.0/24 буде вислано через Internet відкритим текстом.