IP-адрес на стороне клиента отображается как ip4: адрес порта на брандмауэре

469
SILENT

Я настраиваю доступ к домашнему серверу моей семьи через VPN, ограниченный IP-адресом. Иногда член семьи может иметь адрес ip6 (они Google "ip") от их местоположения. Мой брандмауэр (pfsense) принимает IP-адреса, но VPN отказывается подключаться к их IP-адресу. Когда я просматриваю логи своего брандмауэра, я вижу адрес ip4 на конкретном порту, который пытается подключиться к моему брандмауэру. Если я использую тот IP-адрес, который я нашел в журналах, в качестве источника VPN, VPN начинает работать.

Преобразуются ли адреса ip6 в адрес ip4 с определенного порта? В настоящее время я только добавляю часть адреса ip4. Я позволяю большему диапазону ips соединяться с моим брандмауэром, так как я не указываю порт?

2
Адреса IPv6 глобальные или частные? Адрес IPv4 принадлежит тому же провайдеру? Можете ли вы предоставить не скрытые адреса здесь? grawity 5 лет назад 0
@ grawity Я предполагаю, что IPv6-адрес общедоступен, так как он предоставлен провайдером моей сестры. Мы используем разные интернет-провайдеры. SILENT 5 лет назад 0
1) К сожалению, вы не можете предполагать публичность только на основании этого - даже для IPv6. IPv6-адреса вашей семьи начинаются с «2» или с «f»? Грубо говоря, первое является публичным, а второе - нет. 2) Я просил сравнить адрес v4, который вы видите, и адрес v6, который вы ожидали увидеть, т.е. оба с одной и той же стороны. grawity 5 лет назад 0
@grawity Извините за задержку. Мысль этот вопрос был мертв. IP-адрес моей сестренки начинается с 2. Та же сторона? Моя сестра использует ее собственный интернет на ее месте. Она прислала мне снимок экрана. SILENT 5 лет назад 0
Вы должны задать этот вопрос провайдеру, который его генерирует. Если адрес иногда приходит как IPv6, а иногда как IPv4, то, возможно, этот провайдер использует оба. Например, он может предпочесть IPv4, так как некоторые клиенты не поддерживают IPv6, но должны использовать IPv6, когда у него заканчиваются адреса IPv4. Если это вас беспокоит, вы можете спросить у интернет-провайдера, есть ли у него опция для статического IPv4-адреса (что может стоить дороже). harrymc 5 лет назад 0

2 ответа на вопрос

1
harrymc

Интернет-провайдер вашей сестры, похоже, выбрал метод перехода по IP-адресу, называемый реализацией IP с двумя стеками .

Благодаря этому решению каждое сетевое устройство, сервер, коммутатор, маршрутизатор и брандмауэр в сети интернет-провайдера настраиваются с возможностью подключения как по IPv4, так и по IPv6 (если оно поддерживает более позднюю версию). Это позволяет интернет-провайдеру обрабатывать трафик данных IPv4 и IPv6 одновременно.

Это диаграмма того, как это выглядит:

Dual-stack IP implementation

Для вашей сестры это означает, что она сможет выходить в Интернет, не задумываясь, перестанет ли работать ее соединение из-за несовместимости IP-адресов.

Для вас это означает, что с вашей сестрой можно связаться через два IP-адреса. Она может проверить эту точку, зайдя на страницу IPv4 / IPv6 Dual Stack Test,whatismyipaddress.com чтобы узнать, есть ли у нее оба адреса.

Если эта ситуация для вас проблематична, ваша сестра может спросить своего интернет-провайдера, есть ли у него опция для статического адреса IPv4. Это может быть бесплатным вариантом или нет.

Она также может отключить IPv6 на своем маршрутизаторе, что приведет к использованию исключительно IPv4-адреса. Однако может возникнуть проблема, если интернет-провайдер рискует исчерпать адреса IPv4 в назначенном им адресном пространстве IPv4.

В любом случае, в нашем мире двойного IP такие случаи будут становиться все более и более распространенными.

-1
wispi

Вы видите IPv4-адрес в своих журналах, потому что источник, вероятно, имеет как IPv6, так и IPv4-адрес. Поскольку IPv6 все еще не очень широко распространен, устройствам обычно назначают адрес IPv4 вместе с адресом IPv6 для обеспечения совместимости. Вы можете увидеть это на таких сайтах, как https://ipleak.net . Адреса v6 и v4 обычно вообще не связаны и могут изменяться независимо друг от друга. Мой совет - разрешать трафик IPv4 только через межсетевой экран на сервер VPN, поскольку кажется, что сервер VPN предпочтет адрес v6, а не адрес v4, а это не то, что вам нужно. Кроме того, если вы используете OpenVPN, гораздо проще и безопаснее использовать проверку подлинности сертификата, чем проверку подлинности по IP.

Какие порты вы разрешите, не повлияет на то, какие IP-адреса могут подключаться.

Я читал о том, что ipv4 создается для обратной совместимости с ipv6. Тем не менее я успешно получаю запросы ipv6 для других сайтов, но почему ipv4 отображается вместо ipv6 для моей сестренки? Для двунаправленного трафика я предпочитаю комбинацию как ip, так и сертификата. Как я могу получить vpn-запрос на вход в качестве ipv6-запроса? SILENT 5 лет назад 1
@SILENT IPv6 предназначен для максимально удобной игры с IPv4, однако все еще есть несколько сбоев. Почти весь трафик с IPv6-адресом будет иметь IPv4-адрес, поэтому сервер или брандмауэр, вероятно, настроены на запись только одного типа адреса, поэтому вы видите оба типа. Вам, вероятно, придется настроить свой сервер для аутентификации на основе типа адреса, который вы хотите. Вы, вероятно, не захотите использовать IPv6 для аутентификации, поскольку устройства в одной сети обычно имеют один и тот же общедоступный адрес IPv6, в отличие от IPv4, где многие устройства используют один и тот же адрес, используя NAT. wispi 5 лет назад 0

Похожие вопросы