场景:我有一个运行Win7 Pro和OpenVPN客户端的客户, 这个工作站是从他们的一个雇员用远程命令发送到(Windows)OpenVPN服务器,都使用psexec和SMB。
发生了什么事情:一切都好几年了,直到他们的系统pipe理员升级到Windows 10 Pro的工作站。 他依靠Windows升级顾问,只是卸载标记为不兼容的旧防病毒软件。 升级之后,他真诚地做了以下testing:
– 检查客户端上的openvpn服务 – >运行
-ping 10.8.0.1(服务器的ip) – >确定
所以他显然认为一切都很好。
由于员工在夜间使用该工作站,因为员工无法发送更新,所以在我涉及内部系统pipe理员的那天早上。 他说没有任何服务通过vpn发送回复,只有icmp正在工作。 首先,我做了一些telnet到我期望可以访问的端口,发现我的即时连接被拒绝。 我做了一个ping,并在250的回复中find了一个TTL值! 我做了以下tracert:
C:\>tracert -w 100 10.8.0.1 Traccia instradamento verso 10.8.0.1 su un massimo di 30 punti di passaggio 1 3 ms 2 ms 2 ms 192.168.0.4 2 1 ms 2 ms 2 ms 192.168.22.41 3 1 ms 3 ms 1 ms 10.139.59.130 4 5 ms 3 ms 3 ms 10.3.132.113 5 15 ms 13 ms 15 ms 10.254.12.202 6 15 ms 15 ms 15 ms 10.254.1.245 7 27 ms 25 ms 23 ms 10.8.0.1 我第一次看到这个是不可思议的,但是0.4是他们的内部默认GW,22.41是他们的一个路由器,并且这个路由器只连接到ISP。
修复Openvpn问题:我很快弄清楚,关于Win10升级和openvpn客户端,这只是一个路线混乱的问题,并openvpn日志证实,并解决scheme(升级到最新的openvpn)修复它。 如果策略路由在这个22.41上行链路上带来连接,我仍然可以从他们的networking中没有运行OpenVPN的任何其他计算机ping 10.8.0.1。 如果将连接路由到其他4(上行5)上行链路,则问题不会发生。 由于这个“说海盗”10.8.0.1答复每一个即时拒绝港口,一切都closures,我认为这可能是一个路由器。 我只是想知道,如果ISP是违反了RFC 1918或者怎么可能,我可以从公网私人地址空间ping IP!
—编辑2
问题: 由于客户觉得这种意外的行为已经损害了他们的业务,他们能否提到任何文件,如RFC,说明ISP违反了提供互联网服务的任何服务规则?
RFC1918私有地址空间可以被ISP使用,通常它对客户是透明的,看起来他们的防火墙/ ACLconfiguration错误,因为这些地址对于客户是不可见的。
联系运营商,或者从networkingWhois的NOC联系或者通过客户支持。 我不知道可以采取任何法律行动。
RFC 6598(100.64.0.0/10)被划分为CGN / NAT444空间供ISP向IPv6空间过渡。 每个ISP都是自己的东西,标准不是法律。
如果没有其他的东西,你可以configuration你的客户防火墙把未使用的专用ISP空间放到广域网,这可能需要更好的路由器/防火墙或第三方软件(DDRWRT)。