室友正在使用Cisco AnyConnect 安全移动客户端VPN,当连接到此网络时,他无法访问我们192.168.0.X
本地网络中的其他本地设备。但是,他被告知,如果他将本地网络 ID 更改为100.100.0.X
,他将能够保持与 VPN 的连接,并在他的本地设备之间建立连接。
没错,对他来说,这个方法有效。但是,我不明白为什么他的 VPN 需要将本地网络从 更改为 ,192.168.X.X
如果100.100.X.X
VPN 本身有一个网络 ID(和 0xfffff000 网络掩码)。如果两个地址池都在 Cisco VPN 网络之外,172.23.X.X
为什么它会阻止或重定向来自本地的流量,192.172.0.X
而不是来自主机的流量。100.100.0.X
这个变化让我有点不舒服,因为100.100.0.X
它不是一个标准的私有网络ID。
如果我们保留本地网络ID,我们会面临什么问题100.100.0.X
?
答案1
如果两个地址池都在 Cisco VPN 网络之外,为什么它会阻止或重定向来自 192.172.0.X 的本地流量,而不是来自 100.100.0.X 主机的本地流量
Cisco AnyConnect VPN 客户端有一个功能,它故意阻止所有 LAN 访问连接到 VPN 时。(通常可以在客户端的设置屏幕中禁用此功能,除非管理员已部署阻止此功能的配置文件。)
“LAN” 基本上是指 RFC 1918 的三个保留范围(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)。您的朋友只需选择这些范围之外的网络地址即可避免被阻止。
这个变化让我有点不舒服,因为 100.100.0.X 不是一个标准的私有网络 ID。
是的,但是是实际上是私有网络地址——只是不打算在终端网络上使用。相反,整个 100.64.0.0/10 前缀是供 ISP 使用,具体来说避免冲突与“通常的” RFC 1918 范围一致。
(对于路由器来说,所有接口必须使用不冲突的地址范围,所以在使用CGNAT的时候,如果客户自己的LAN地址和ISP级的内部地址发生冲突,就会出现问题)
如果我们保留 100.100.0.X 本地网络 ID,我们会面临什么问题?
如果您的 ISP 最终部署了 CGNAT 并开始为您分配来自该精确范围的“WAN”IP 地址,您的路由器将不再知道以哪个方向转发数据包。
除此之外,这不是一个很糟糕的选择。