服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在设置VPN到Azure时与微软在RFC 1918上争论
Intereting Posts
iptables转发问题 由于“在Kerberos数据库中找不到服务器”错误,NFS(与Kerberos)挂载失败 升级RAM时,HP ProLiant ML110 G2停止工作 思科路由器的工作温度 R610与h700怪异的磁盘错误消息 使用DPM 2007备份TFS – 不同的备份时间 中央商店导致gpmc slolwness和当你编辑一个gpo 远程postgres连接 两个CNAMElogging的parsing方式不同(Windows 2003 Server) 域名注册诈骗? 如何获取一个CPU状态思想net-snmp 我是否应该阻止这些相当蹩脚的尝试来攻击我的服务器? 连接到VPN的SSH隧道到虚拟机 AWS EC2 SSL服务器证书与URL不匹配 如何保持自己的Docker镜像中的应用程序是最新的?

在设置VPN到Azure时与微软在RFC 1918上争论

微软拥有一种名为“点对点”VPN的技术。 ( reference1 , reference2 )

我有以下内部类“A”networking定义的前提下:

  • 10.2.0.0/16
  • 10.4.0.0/16
  • 10.40.0.0/16
  • 10.20.0.0/16

我定义了以下Azurenetworking:

  • 10.201.0.0/16
  • 10.202.0.0/16
  • 10.203.0.0/16

我想创build专用于点对点VPN的子网

  • 10.200.0.0 / 16

当我在门户网站中这样做时,VPN客户端将添加10.0.0.0/8的默认路由。 微软的理由是在RFC1918,他们拒绝让我自定义这条路线。 在我看来,他们显然误解了这个RFC不适用于这种情况。

当我将networking掩码更改为168.192.1.0时,将应用B类路由。 这工作,但它是令人讨厌的,我需要偏离我的编号模式,因为Microsoft支持的RFC的误解

在这里输入图像说明

他们的回复:

根据RFC 1918的规定,地址空间必须是私有地址范围,以CIDR表示法10.0.0.0/8,172.16.0.0/12或192.168.0.0/16指定。

请注意,以下路由将分别添加到客户端,以将stream量从本地计算机引导到虚拟networking:10.0.0.0/255.0.0.0,172.16.0.0/255.255.0.0或192.168.0.0/255.255.255.0 。 这意味着,例如,如果您为VPN客户端地址空间指定了10.0.0.0/8,则可能无法联系本地子网上的其他10.0.0.0/8地址。

任何你select以10.xxx开头的地址空间都会导致这个问题(不仅仅是10.0.0.0/8)。 无论您如何select在Azure中定义它(例如:10.1.0.0/24),VPN客户端软件包都会将此VPN地址空间视为A类(255.0.0.0子网掩码)。

所以我们总是要求我们的客户在创build他们的P2S环境时使用192.168.0.0/X范围,并且确保它不与本地可能有的任何子网(其P2S客户端连接的地方)重叠。

  1. 我错了吗?
  2. Microsoft是否应该支持10.x范围的自定义CIDR掩码?
  3. 我怎样才能说服他们呢?

  1. 没有。
  2. 是。
  3. 如果产品有缺陷,与技术支持辩论将无济于事。 目前,你将不得不在他们的产品的限制内工作,或find一个不同的。 你可能不会让他们在合理的时间内改变它。