我设置了通过 VPN 访问我家的家庭服务器,并受 IP 地址限制。有时家庭成员会有一个来自他们所在地的 ip6 地址(他们谷歌搜索“ip”)。我的防火墙 (pfsense) 接受 ip6 地址,但 VPN 拒绝连接到他们的 ip6 地址。当我查看防火墙的日志时,我看到特定端口上的 ip4 地址试图连接到我的防火墙。如果我使用在日志中找到的 ip4 地址作为 VPN 源,VPN 就会开始工作。
ip6 地址是否被转换为具有特定端口的 ip4 地址?目前,我只添加了 ip4 地址部分。由于我没有指定端口,我是否允许更大范围的 ip 连接到我的防火墙?
答案1
你姐姐的 ISP 似乎选择了一种称为 双栈 IP 实现。
使用此解决方案,ISP 网络中的每个网络设备、服务器、交换机、路由器和防火墙都配置了 IPv4 和 IPv6 连接功能(如果支持后者)。这使 ISP 能够同时处理 IPv4 和 IPv6 数据流量。
其外观如下:
对于您的姐姐来说,这意味着她能够浏览互联网而不必担心她的连接是否会由于 IP 地址不兼容而停止工作。
对你来说,这意味着你可以通过两个 IP 地址联系到你的姐姐。她可以通过访问
IPv4/IPv6 双栈测试
页面whatismyipaddress.com查看她是否有这两个地址。
如果这种情况对您来说是个问题,您的姐姐可能会问她的 ISP 是否有静态 IPv4 地址选项。这可能是一个免费的选项,也可能不是。
她还可以在路由器上禁用 IPv6,这将导致路由器只使用 IPv4 地址。但是,如果 ISP 面临在其分配的 IPv4 地址空间中 IPv4 地址即将用尽的风险,则可能会出现问题。
无论如何,在我们的双 IP 世界中,这种情况会变得越来越常见。
答案2
您在日志中看到 IPv4 地址是因为源可能同时具有 IPv6 和 IPv4 地址。由于 IPv6 仍未普及,因此通常会为设备分配一个 IPv4 地址和 IPv6 地址,以增强兼容性。您可以在以下网站上看到此信息https://ipleak.net。v6 和 v4 地址通常完全不相关,可能会相互独立地更改。我的建议是仅允许 IPv4 流量通过防火墙到达 VPN 服务器,因为 VPN 服务器似乎更喜欢 v6 地址而不是 v4 地址,这不是您想要的。此外,如果您使用的是 OpenVPN,使用证书身份验证比通过 IP 进行身份验证更容易、更安全。
您允许哪些端口不会影响哪些 IP 可以连接。