V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
honeyshine75
V2EX  ›  DNS

深信服和 1.1.1.1 什么情况?请帮助

  •  
  •   honeyshine75 · 2019-10-23 09:20:39 +08:00 · 19758 次点击
    这是一个创建于 1860 天前的主题,其中的信息可能已经有所发展或是发生改变。

    问题如下: 打开 https://1.1.1.1/help 网页之后出现警告,如果忽略警告会出现如下界面:

    ping1.1.1.1 的话也不太正常,返回的时间显示<1ms

    电脑有安装 easyconnect。。。

    请问有同样的问题的吗?应该怎么解决?

    81 条回复    2020-10-27 00:06:07 +08:00
    temporary
        1
    temporary  
       2019-10-23 09:23:40 +08:00   ❤️ 5
    你们局域网把深信服的服务部署在 1.1.1.1 咯 类似 192.168.1.1
    realpg
        2
    realpg  
       2019-10-23 09:27:20 +08:00   ❤️ 6
    CF 的人傻逼 不了解国际互联网的现状 非得用这个 IP 做 DNS 而已

    楼主这种情况倒是一种内部的误伤

    广域网上的 1.1.1.1 满大街
    honeyshine75
        3
    honeyshine75  
    OP
       2019-10-23 09:28:21 +08:00
    @temporary 感谢,明白了
    honeyshine75
        4
    honeyshine75  
    OP
       2019-10-23 09:29:17 +08:00
    @realpg 感谢
    jinliming2
        5
    jinliming2  
       2019-10-23 09:32:14 +08:00 via iPhone
    那就试试 1.0.0.1 呗
    2kCS5c0b0ITXE5k2
        6
    2kCS5c0b0ITXE5k2  
       2019-10-23 09:32:56 +08:00   ❤️ 12
    @realpg 什么叫广域网的 1.1.1.1 满大街? 世界上广域网的 1.1.1.1 不是只有一个?
    1.1.1.1 是保留地址?
    深信服自己不遵守规矩 喷别人?
    realpg
        7
    realpg  
       2019-10-23 09:34:44 +08:00   ❤️ 2
    @emeab #6
    哦 你开心就好

    这跟遵守不遵守规矩没啥关系
    大部分也不是主观故意
    大部分广域网上的都是残余配置和测试通路导致的 这也是国际惯例,而且国外比国内多……

    广域网上国内这样的不多见……
    而且国外很多 BGP 信任关系更直接而不像国内的严格过滤,还会跨运营商……
    maja
        8
    maja  
       2019-10-23 09:39:16 +08:00   ❤️ 1
    @emeab 围观暴脾气的弱智
    2kCS5c0b0ITXE5k2
        9
    2kCS5c0b0ITXE5k2  
       2019-10-23 09:41:28 +08:00
    @maja :)
    2kCS5c0b0ITXE5k2
        10
    2kCS5c0b0ITXE5k2  
       2019-10-23 09:42:49 +08:00
    @maja 1.1.1.1 难道不是保留地址? 不能作为公网 ip 使用?
    phpfpm
        11
    phpfpm  
       2019-10-23 09:43:01 +08:00
    @emeab 嗯你说的对也不对

    公共领域的 1111 的服务商只能是 cf 的 dns 服务器,但是可以有多个不同的服务器在多个 bgp 网络内部宣传拥有这个 ip,达到快速触达的目的
    2kCS5c0b0ITXE5k2
        12
    2kCS5c0b0ITXE5k2  
       2019-10-23 09:46:31 +08:00   ❤️ 12
    @phpfpm 首先 滥用非保留地址是不对的. 第二 对于某些开口就是弱智的人 无法评论
    lydasia
        13
    lydasia  
       2019-10-23 09:47:08 +08:00 via Android
    瞎配置,1.1.1.1 不是保留地址
    miyuki
        14
    miyuki  
       2019-10-23 10:01:29 +08:00
    瞎配置+1,我这联通 2.1.1.1 是城域网
    qyvlik
        15
    qyvlik  
       2019-10-23 10:10:30 +08:00   ❤️ 1
    1. `1.1.1.1` 被许多运营商、网络维护人员当做保留地址使用(类似内网地址,局域网地址),其实 1.1.1.1 是公网地址(广域网)
    2. ping `1.1.1.1` 的延迟只在 1~2ms,这个是 cloudflare 的特色 anycast,你 ping 1.1.1.1 的时候,不会前往美国,而是到离你最近的 cloudflare 边缘节点。
    honeyshine75
        16
    honeyshine75  
    OP
       2019-10-23 10:11:47 +08:00
    @jinliming2 1.0.0.1 是正常的
    LokiSharp
        17
    LokiSharp  
       2019-10-23 10:12:54 +08:00
    @realpg #2 说反了吧
    qyvlik
        18
    qyvlik  
       2019-10-23 10:13:01 +08:00
    @qyvlik 修正,根据你的秒速,你 ping 1.1.1.1 在 1~2ms 的延迟,大概率内网地址。如果是在海外,例如香港 ping 1.1.1.1 的话,延迟还是很低的,也是 1~2ms。
    honeyshine75
        19
    honeyshine75  
    OP
       2019-10-23 10:13:44 +08:00
    @qyvlik 感觉深信服把这个当作内网了,ping 小于 1ms,感觉不对劲,估计是内网无疑了
    realpg
        20
    realpg  
       2019-10-23 10:18:22 +08:00   ❤️ 7
    @LokiSharp #17
    没说反

    @qyvlik #15
    你这解释错了
    1.1.1.1 不是当保留地址使用
    是 1.1.1.1 在调试、模拟环境,甚至生产环境进行网络排查时候,配置到 loopback 接口上指代公网

    而且 1.1.1.1 的所有方 APNIC 曾经公告承诺 1.1.1.1 不广播,就是干这个用的

    当然,后来因为 CF 给钱多,没节操的 APNIC 又把这个 IP 卖了
    qyvlik
        21
    qyvlik  
       2019-10-23 10:18:53 +08:00   ❤️ 1
    @honeyshine75 cloudflare 的 1.1.1.1 是有 https 证书的,签发者:DigiCert ECC Secure Server CA。所以你的浏览器提示 https 证书不可信。
    qyvlik
        22
    qyvlik  
       2019-10-23 10:21:44 +08:00
    @realpg 酱紫,按照这个使用场景以及 APNIC 的承诺,1.1.1.1 这个地址在过去是事实上的内网地址。APNIC 真没节操。
    whileFalse
        23
    whileFalse  
       2019-10-23 10:26:57 +08:00
    @Livid maja #8
    LokiSharp
        24
    LokiSharp  
       2019-10-23 10:28:58 +08:00   ❤️ 1
    @realpg #20 之前承诺不广播,就是因为一堆不负责任的真实 SB 用这个做测试 ip 直接把 APNIC 的服务器打趴。到底没节操的 SB 是谁呢?
    passerbytiny
        25
    passerbytiny  
       2019-10-23 10:32:41 +08:00   ❤️ 1
    批评及问题
    科技网站称 Cloudflare 使用 1.1.1.1 作为域名解析服务的 IP 地址将导致不符合互联网标准(例如 RFC 1918 )的已有设置问题。虽然 1.1.1.1 并非保留 IP 地址,但它却被许多路由器(大多数由思科系统销售)、托管登录至专用网的企业、退出页或其他用途所使用,导致 1.1.1.1 将无法被手动配置为这些系统的 DNS 服务器。 [6][7]此外,1.1.1.1 被诸多网络及 ISP 所封禁,因为这一简简单单的 IP 地址意味着其先前被用于测试目的与非法使用。这些先前用途使得大量垃圾数据涌入 Cloudflare 的服务器。

    1.1.1.1 与 1.0.0.1 的清除
    1.0.0.0/8 IP 块于 2010 年被分配给 APNIC,[8]在此之前它是一块未分配的空间。[9]然而未分配的空间与私人使用的保留 IP 空间(即保留 IP 地址)不同。[10]例如 AT&T 声称他们正修复其 CPE 硬件中的 CPE 问题[11]。
    shehuizhuyi
        26
    shehuizhuyi  
       2019-10-23 10:33:02 +08:00
    国产傻逼软件 正常
    ech0x
        27
    ech0x  
       2019-10-23 10:37:50 +08:00 via iPhone   ❤️ 14
    看上面给乱配置 ip 辩护的人,真是「我错我有理」喽。
    建议打回去重新学计算机网络。
    ech0x
        28
    ech0x  
       2019-10-23 10:39:57 +08:00 via iPhone   ❤️ 1
    你看这就是 cf 做的一件好事,让原先没人注意到的问题暴露出来了。
    passerbytiny
        29
    passerbytiny  
       2019-10-23 10:40:52 +08:00
    之前不分配,就是这种特殊号码不好分配,结果 APNIC 和 Cloudflare 硬要顶上去,不抽他就说不过去。
    flowfire
        30
    flowfire  
       2019-10-23 11:49:08 +08:00
    可以试试先致电运营商投诉
    不处理再工信部投诉
    dorentus
        31
    dorentus  
       2019-10-23 12:01:24 +08:00 via iPhone
    cloudflare 应该去把 https://1.1.1.1 提交到 HSTS preload list 里面…
    flyfishcn
        32
    flyfishcn  
       2019-10-23 12:19:39 +08:00   ❤️ 1
    @realpg APNIC 是区域互联网注册机构,是一个资源分配机构,分给谁还真是他们说了算的。未分配时候使用就已经违背了地址使用原则。已经分配了还在用难道不是设备厂家和配置人员的问题?未分配, 但不等同于私有保留块使用。
    i0error
        33
    i0error  
       2019-10-23 12:30:55 +08:00
    @dorentus #31 孤陋寡闻了,ip 地址居然也能发 https 证书......
    Love4Taylor
        34
    Love4Taylor  
       2019-10-23 12:34:02 +08:00
    CF 做的挺好的, 最起码提醒了一堆乱写教程, 乱用 IP 的人.
    opengps
        35
    opengps  
       2019-10-23 12:36:50 +08:00 via Android
    电信宽带不给公网 ip,却给分配一个公网段的内网 IP,这操作 6 不 6
    scnace
        36
    scnace  
       2019-10-23 12:43:02 +08:00 via Android
    楼上说 APNIC SB 的,真的是站着说话不腰疼?国内厂家每天都给你 DDoS,换做是谁心里都不好受啊😯
    artandlol
        37
    artandlol  
       2019-10-23 12:48:16 +08:00 via Android
    @i0error 还真可以
    Mac
        38
    Mac  
       2019-10-23 12:50:30 +08:00   ❤️ 1
    看到深信服你还不服?没有它作不起的妖啊。
    lean
        39
    lean  
       2019-10-23 12:54:39 +08:00 via Android   ❤️ 1
    如果是你们公司用了深信服的服务器,我感觉这个 IP 和深信服没啥关系吧,就像你买了路由器给内网分配的是公网的网段,和这路由器的厂商也没啥关系吧,有问题的是设置这服务器的人没把计算机网络学好😂
    lean
        40
    lean  
       2019-10-23 12:56:29 +08:00 via Android
    @lean 补充: 配置这台服务器 ip 地址的人
    flyfishcn
        41
    flyfishcn  
       2019-10-23 13:01:19 +08:00
    @lean 某些设备默认的管理地址就是这个。还不做隔离,直接进了内网路由了。
    bclerdx
        42
    bclerdx  
       2019-10-23 13:14:15 +08:00 via Android
    去深信服把地址改为正规的吧。
    masir
        43
    masir  
       2019-10-23 13:23:32 +08:00 via Android
    一大堆公司把 1.1.1.1 用在内网,之前住假日,有两家的认证 portal 网页就是 1.1.1.1
    azuis
        44
    azuis  
       2019-10-23 13:35:02 +08:00 via iPhone   ❤️ 1
    这个本来就是 apnic debogon project 本身目的所在。把这个 IP 给 cloudflare 也是为了让更多从业人员关注这个问题。以此提升 IPv4 分配的效率。
    lc7029
        45
    lc7029  
       2019-10-23 13:36:07 +08:00   ❤️ 1
    这是个公网地址,但被你们的运维拿到了内网使用。我们也干过 114.114.114.114 和 8.8.8.8 配置在网络设备上。
    bclerdx
        46
    bclerdx  
       2019-10-23 15:02:38 +08:00 via Android
    @lc7029 结果呢。
    lc7029
        47
    lc7029  
       2019-10-23 15:09:26 +08:00
    @bclerdx 结果正常使用。自己的网络设备,做 DNS 迭代查询。
    Tianao
        48
    Tianao  
       2019-10-23 15:16:28 +08:00
    @lc7029 114 还是算了吧,我见过有产品写死用 114DNS 的,还有些写死用的不是 114 但是是别家公共 DNS 的非 UDP53,劫持请求都救不了。
    lc7029
        49
    lc7029  
       2019-10-23 15:35:18 +08:00
    @Tianao 现在我们的套路是全走自己的 DNS,防火墙不给到公网的 UDP53 放行
    bclerdx
        50
    bclerdx  
       2019-10-23 15:57:12 +08:00
    @lc7029 你司也用深信服的防火墙硬件产品?
    csx163
        51
    csx163  
       2019-10-23 20:16:36 +08:00
    1、网管
    2、深信服
    3、Cloudflare

    到底是谁的问题?
    lc7029
        52
    lc7029  
       2019-10-23 21:34:02 +08:00
    @bclerdx 现在用 Cisco,不用深信服。
    wangfei324017
        53
    wangfei324017  
       2019-10-23 22:18:36 +08:00
    1.1.1.2 也是,深信服的行为管理认证页面
    baobao1270
        54
    baobao1270  
       2019-10-23 23:04:33 +08:00
    应该是内网路由配置,把 1.1.1.1 的流量全部导到这台服务器上了
    1.1.1.1 应该是 cf 的地址,也就是说你们公司劫持了这个地址,作为深信服的地址
    你 ping 为 1ms 应该也是因为实际上 ping 的是内网的服务器
    另外,建议楼上讨论 APNIC、网工和 CF 的争端的人另开新帖
    xxq2112
        55
    xxq2112  
       2019-10-23 23:55:26 +08:00 via iPhone
    @realpg 不是 CF 傻,CF 和 APNIC 本身已经遇见这个情况了,所以他自己也在更多时候建议使用 1001 来代替
    再说某些厂商不按规定占用公网 IP,是不是也该谴责一下
    CallMeReznov
        56
    CallMeReznov  
       2019-10-24 01:04:16 +08:00
    谁的问题都没有,体量的问题,如果深信服体量作到逼 CF 大,这个帖子的标题和内容就会反过来了
    edsheeran
        57
    edsheeran  
       2019-10-24 01:10:36 +08:00 via iPhone
    認為 cloudflare 做錯的請自覺回學校重修
    HandSonic
        60
    HandSonic  
       2019-10-24 01:42:47 +08:00
    这个的确就是深信服的问题,深信服默认内置的管理 IP 就是 1.1.1.1
    liyuhang
        61
    liyuhang  
       2019-10-24 02:24:21 +08:00
    这个就和 .dev HSTS 有异曲同工之妙了,哈哈。
    txydhr
        62
    txydhr  
       2019-10-24 02:40:19 +08:00 via iPad
    美国国防部也有好几段 ip 没有广播到公网,被各种运营商当内网 ip 乱用。
    Kowloon
        63
    Kowloon  
       2019-10-24 05:46:29 +08:00 via iPhone
    @txydhr
    企鹅云还有 9 开头 IP 在他们内网......
    jeblur
        64
    jeblur  
       2019-10-24 07:39:07 +08:00 via Android
    @emeab 兄弟你喷深信服就不对了呀,这个不过是部署的时候把管理地址配置成 1.1.1.1 而已,参考一楼
    hiplon
        65
    hiplon  
       2019-10-24 08:23:46 +08:00
    其实就是
    1.设备管理地址配成了 1.1.1.1
    2.默认路由(或者其他路由)配置
    导致的
    jy02201949
        66
    jy02201949  
       2019-10-24 08:32:41 +08:00
    把我逼急了哪天我把 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 给买下来
    davidstonex
        67
    davidstonex  
       2019-10-24 08:51:42 +08:00
    这个是公司网管自己修改的 ip。深信服的 NGAF 默认地址是 10.251.251.251
    Diphia
        68
    Diphia  
       2019-10-24 10:20:00 +08:00
    @realpg 「曾经公告承诺 1.1.1.1 不广播」请问这个有消息来源吗?想看看
    flynaj
        69
    flynaj  
       2019-10-24 10:20:29 +08:00 via Android
    这个是你的网络被劫持了,遭遇了中间人攻击,找网管。
    Diphia
        70
    Diphia  
       2019-10-24 10:20:56 +08:00
    @csx163 我认为仅仅是网管的问题。
    tomychen
        71
    tomychen  
       2019-10-24 10:36:56 +08:00
    又是大屁股问题?
    即然 1.1.1.1 不是私有地址,公有化就只是时间的问题。
    就因为早年没被公开化的时候,Cisco 用来当默认 IP 他就不能被视为公有,放到 internet 上就有罪?

    我早年买房的时候车位比较便宜,连包一起买了个车位,但没钱买车,于是邻居都把车停我车位上,多年后,我终于有钱买车了,我开开心心把车停到我自己的车位上,反倒成了罪人了 :-)

    毕竟还是有 RFC 约束的嘛...
    realpg
        72
    realpg  
       2019-10-24 10:39:07 +08:00   ❤️ 4
    @Diphia #67
    具体说并不是 APNIC 的承诺 是 APNIC-LABS 的公开发表信息宣称
    这个问题由来已久,最重要的是广播也没啥卵用,因为以 CISCO 为代表的当年这些 IP 都是有特定意义的测试环境使用 丢到生产环境的太多了
    1.1.1.1 1.1.1.2 1.1.1.254(现在 254 这个用的不多了 场景在现在的广域网下已经不再存在,在 199X 年这个不注意广播出去的也多)
    11.0.0.1 也是这样 不过这个 DOD 的 IP 压根整 A 都没在公网上用,影响不大


    1.1.1.0/24 之前是 APNIC-LABS 所有 看这标准名就知道他跟 APNIC 的关系 以及压根就不是生产网用的东西

    你要来源请求,现在 1.1.1.1 被 CF 用了以后 相关信息就不好搜索了 不是人家去掉了这个信息不让你检索,是全是关于 CF 的东西,而且这些信息并不是互联网新闻索引这么发达以后的事件,是很有历史的。


    最后,我都懒得回复很多看了两本书就觉得怎么怎么样的键盘党。

    INTERNET 是非集中的模型,自己的小网络愿意怎么用怎么用,哪怕我是个很大的网络比如 AS4837 这种规模,只要我能受得了用户抗议以及退费威胁,只要不把非验证所有权的 IP 向其他 AS 广播,我自己爱怎么用怎么用。

    国内其实 1.1.1.1 这种 IP 的错误广播其实范围都比较小,因为国内 ISP 的 filter 过滤很重,loopback 接口的 IP 错误重新在 IGP 内广播,影响顶天是自己的一小片,小片区都会过滤掉。别说地市,甚至大区 BRAS 都不会出。

    国外才是泛滥的地方,因为小 ISP 量大,而且资费问题多选路的信任非常滥用,基本没那么重的 filter,甚至国际互联的关口 filter 都没啥(参见当年巴基斯坦封 GOOGLE IP 因为 HK 的 ISP 不怎么过滤,导致全球各种 ISP 出现局部 google 瘫痪)


    至于楼主的这种情况,根本不是我喷 CF 傻逼的原因,这只影响自己的局域网,喊网管调就完了。


    另外,因为 CF 用了 1.1.1.1,在国外人口密度低,网络用户少,普遍以国家、或者美国俄罗斯这种大国家以大片区为单位的 CDN 下,乱改 DNS 的用户影响比较小,远不如国内的网络分发规模的都是以省甚至视频类以地市为单位分发的影响大,而且小 ISP 的 DNS 远没有国内 CMCC CU CT 的 DNS 可用性可靠,可能自己改 DNS 的用户多一些 促进某些小网络发现 1.1.1.1 的错误广播纠正,CF 启用开始,逐渐国外的 1.1.1.1 的错误广播可能降低到跟国内差不多的规模水平,就是比较函件
    tomychen
        73
    tomychen  
       2019-10-24 11:06:03 +08:00
    @realpg 你说的这些正好是我反感的,而我喷的正是这些无视标准(RFC)的,特别是以屁股大为代表的,为什么部分 ISP 会去 filter 1.1.1.1,还不是思科自己无视标准,自己先挖好的坑,反正老子屁股大,老子就是标准。

    e.g: "internet explorer 6"

    我没记错的话,v2 里还有过一个热贴 9102 年的今天 chrome 已经是标准了吗

    然而,这些都不重要了...
    只不过是因为 1024,偷个闲而已
    Diphia
        74
    Diphia  
       2019-10-24 11:19:28 +08:00
    @realpg 非常感谢这么认真的回复!
    cnrting
        75
    cnrting  
       2019-10-27 17:38:25 +08:00 via iPhone
    网管为了显示自己有多会玩儿罢了
    06_taro
        76
    06_taro  
       2019-11-07 11:30:38 +08:00 via Android
    https://conference.apnic.net/data/37/2014-02-27-prop-109_1393397866.pdf

    另外 Google 搜索"1.1.1.0/24 APNIC-LABS -cloudflare"还有不少更早的漏路由或者异常流量的信息
    fchypzero
        77
    fchypzero  
       2019-11-23 21:43:04 +08:00
    @HandSonic 深信服默认的管理 IP 是 10.251.251.251/24 和 10.252.252.252/24 1.1.1.0/24 是内网认证时使用的地址
    fchypzero
        78
    fchypzero  
       2019-11-23 21:50:24 +08:00
    1. 打开 https://1.1.1.1/help 会跳转到深信服页面是因为深信服设备做了内网认证,没有通过认证的设备都会跳转到认证 IP,也就是 1.1.1.1。只有启用了认证功能才会出现上诉的情况。
    2. easyconnect 是深信服的 SSLVPN 的 client 软件。
    bclerdx
        79
    bclerdx  
       2020-10-26 23:49:45 +08:00
    @miyuki 投诉走起一波。
    bclerdx
        80
    bclerdx  
       2020-10-27 00:00:58 +08:00
    @Kowloon 何止企鹅,阿里用的更多。
    bclerdx
        81
    bclerdx  
       2020-10-27 00:06:07 +08:00
    @fchypzero 有办法解决深信服的这一错误行为么?比如在深信服行为管理系统内修正错误?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6040 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 43ms · UTC 06:18 · PVG 14:18 · LAX 22:18 · JFK 01:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.