El encabezado IP más interno es mi dirección IP públicamente enrutable que ha sido encapsulada. El encabezado IP más externo es lo que se usa para propósitos de enrutamiento.
Cuando se utiliza una VPN pública a través de Internet, el encabezado de IP más externo sería el del proveedor de VPN. El encabezado IP más interno permanece intacto hasta que llega al destino, el servidor. Esto significa que la identidad real de la fuente nunca se oculta del dispositivo final. ¿Es eso correcto?
Mis comentarios pueden haber sido concisos y vagos, ya que el razonamiento detrás de este tema depende de la comprensión de los conceptos de redes y de cómo se comportan las VPN. Así que aquí está la versión larga.
El encabezado IP más interno es mi dirección IP públicamente enrutable que ha sido encapsulada. El encabezado IP más externo es lo que se utiliza para fines de enrutamiento.
Falso (puedes confirmarlo con Wireshark). Esto simplemente no funcionará, y veremos por qué más adelante.
Cuando inicia un servidor o cliente VPN, se agrega una interfaz especial a su sistema. En un sistema * nix, esto generalmente se llamará tun0 (asumiendo una VPN TUN, y donde los dispositivos TUN adicionales sigan el esquema tunN ). Esta interfaz especial se utiliza para comunicarse a través de la VPN y, de forma predeterminada (para OpenVPN), las direcciones asignadas se encuentran en el rango 10.8.0.0/8 . Para las VPN públicas que brindan "privacidad", también suelen configurar la ruta predeterminada de su computadora para usar el servidor OpenVPN en esta interfaz, que también está en 10.8.0.0/8 . Si este es el caso, todo su tráfico saliente tendrá una dirección de origen en 10.8.0.0/8 y se enviará a la interfaz tun0 . El cliente VPN enviará el tráfico encapsulado a través de su interfaz de red habitual al servidor VPN.
Esto es el aspecto que tendrían los dos encabezados de IP para un paquete teórico:
Outer Header: SRC=<YOUR_PUBLIC_IP> DST=<VPN_SERVER_IP>
Inner Header: SRC=<YOUR_VPN_CLIENT_IP> DST=<WHATEVER_YOU_ARE_ACCESSING>
El servidor VPN actúa como un enrutador. Una vez que reciba su paquete, lo enrutará según su dirección de destino y la tabla de enrutamiento del servidor. Si esta VPN sirve una red corporativa y ya existen rutas estáticas en otros enrutadores al rango de VPN, el trabajo se realiza aquí.
Sin embargo, en el caso de una VPN pública que "proporciona privacidad", una dirección de origen RFC 1918 como 10.8.0.0/8 no se puede enrutar a través de Internet y, por lo tanto, no se puede conservar hasta el servidor de destino. . En su lugar, el servidor VPN u otro enrutador en su red debe realizar la NAT de origen para volver a escribir la dirección de origen con la dirección IP pública del proveedor de la VPN, para que el tráfico de retorno vuelva a ellos. Una tabla de seguimiento de la conexión registra la dirección de origen y el puerto originales para que pueda regresar a la máquina de su cliente a través de la VPN.
Si bien eso fue largo y complicado, significa que la respuesta a lo siguiente es "no".
Esto significa que la identidad real de la fuente nunca se oculta desde el dispositivo final. ¿Es eso correcto?
Cuando tenga dudas con este tipo de cosas, le sugiero que abra una herramienta (por ejemplo, Wireshark) para ver cómo funcionan realmente las cosas.
Lea otras preguntas en las etiquetas vpn