设想: 我有一个客户运行着 Win7 Pro 和 OpenVPN 客户端;他们的一名员工使用这个工作站将远程命令发送到(Windows)OpenVPN 服务器,两者都使用 psexec 和 smb。
发生了什么事: 多年来一切都很顺利,直到他们的系统管理员将工作站升级到 Windows 10 Pro。他依靠 Windows 升级顾问,卸载了标记为不兼容的旧防病毒软件。升级后,他真诚地进行了以下测试:
-检查客户端上的 openvpn 服务 -> 正在运行
-ping 10.8.0.1(服务器的 ip)-> OK
因此他显然认为一切都很好。
由于该工作站是员工在夜间使用的,第二天早上,我被他们的内部系统管理员告知,因为该员工无法发送更新。他说没有任何服务通过 vpn 发送回复,只有 icmp 正在工作。首先,我对我预期可以访问的端口进行了一些 telnet,发现我的连接立即被拒绝。我进行了 ping 操作,发现回复中的 TTL 值为 250!?!?我进行了以下 tracert:
C:\>tracert -w 100 10.8.0.1
Traccia instradamento verso 10.8.0.1 su un massimo di 30 punti di passaggio
1 3 ms 2 ms 2 ms 192.168.0.4
2 1 ms 2 ms 2 ms 192.168.22.41
3 1 ms 3 ms 1 ms 10.139.59.130
4 5 ms 3 ms 3 ms 10.3.132.113
5 15 ms 13 ms 15 ms 10.254.12.202
6 15 ms 15 ms 15 ms 10.254.1.245
7 27 ms 25 ms 23 ms 10.8.0.1
我第一次看到这个时感到难以置信,但 0.4 是他们的内部默认网关,22.41 是他们的路由器之一,并且该路由器仅连接到 ISP。
修复 Openvpn 问题: 我很快就发现,对于 Win10 升级和 openvpn 客户端来说,这只是路由混乱的问题,openvpn 日志也证实了这一点,解决方案(升级到最新的 openvpn)解决了这个问题。我仍然可以从他们网络中的任何其他计算机 ping 10.8.0.1没有运行 OpenVPN,如果策略路由将连接带到这个 22.41 上行链路上。如果我将连接路由到他们的任何其他 4 个(总共 5 个)上行链路,则不会发生此问题。由于这个“盗版” 10.8.0.1 在每个端口上都立即拒绝回复,并且一切都已关闭,我认为它可能是一个路由器。我只是想知道 ISP 是否违反了RFC 1918否则,我怎么可能在公共网络中 ping 通来自私有地址空间的 IP?
--- 编辑2
问题: 由于客户认为这种意外行为损害了他们的业务,他们能否提及任何文件(例如 RFC)来说明 ISP 违反了提供互联网服务的任何服务规则?
答案1
RFC1918 私有地址空间可由 ISP 使用,通常对客户来说是透明的,但似乎他们的防火墙/ACL 配置错误,因为这些地址对客户是不可见的。
联系运营商,无论是通过 Net-Whois 中的 NOC 联系,还是通过客户支持。我不知道可以采取什么法律行动。
RFC 6598 (100.64.0.0/10) 被划分为 CGN/NAT444 空间,供 ISP 在过渡到 IPv6 空间时使用。每个 ISP 都有自己的工作,标准不是法律。
如果没有其他选择,您可以配置客户防火墙以将未使用的私有 ISP 空间放到 WAN,这可能需要更好的路由器/防火墙或第三方软件(DDRWRT)。