При тестировании Zscaler POC (с точки зрения безопасности) мне было трудно понять, как ЦГНАТ маршрутизируется на клиенте.
Моя главная забота (и вопрос) заключается в том, что маршрут 100.64.x.y отсутствует в таблице маршрутизации (Виндовс 10). Шлюз по умолчанию находится на моем локальном сетевом шлюзе, поэтому трафик также не может идти туда.
Что особенного в том, как маршрутизируется трафик CGNAT?
Таблица маршрутизации на клиенте
Активные маршруты:
Сетевое назначение Сетевая маска Шлюз Метрика интерфейса
0.0.0.0 0.0.0.0 192.168.43.1 192.168.43.107 50
127.0.0.0 255.0.0.0 По ссылке 127.0.0.1 331
127.0.0.1 255.255.255.255 По ссылке 127.0.0.1 331
127.255.255.255 255.255.255.255 По ссылке 127.0.0.1 331
172.22.208.0 255.255.240.0 По ссылке 172.22.208.1 271
172.22.208.1 255.255.255.255 По ссылке 172.22.208.1 271
172.22.223.255 255.255.255.255 В сети 172.22.208.1 271
192.168.43.0 255.255.255.0 По ссылке 192.168.43.107 306
192.168.43.107 255.255.255.255 В сети 192.168.43.107 306
192.168.43.255 255.255.255.255 В сети 192.168.43.107 306
224.0.0.0 240.0.0.0 По ссылке 127.0.0.1 331
224.0.0.0 240.0.0.0 По ссылке 192.168.43.107 306
224.0.0.0 240.0.0.0 По ссылке 172.22.208.1 271
255.255.255.255 255.255.255.255 По ссылке 127.0.0.1 331
255.255.255.255 255.255.255.255 В сети 192.168.43.107 306
255.255.255.255 255.255.255.255 В сети 172.22.208.1 271
Ниже приведено разрешение внутренней корпоративной службы, настроенной на zscaler (и, следовательно, маршрутизируемой через CGNAT). То же имя за пределами zscaler указывает на классический адрес RFC1918.
> nslookup internalcorporatesite.com
Сервер: xxx.com
Адрес: 192.168.43.1
Неавторитетный ответ:
Название: www.internalcorporatesite.com
Адрес: 100.64.1.9
Обратите внимание, что шлюз по умолчанию 192.168.43.1 ничего не знает о CGNAT — это локальная сеть, и CGNAT используется zscaler.
