首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Coding
V2EX  ›  DNS

深信服和 1.1.1.1 什么情况?请帮助

  •  
  •   honeyshine75 · 50 天前 · 9916 次点击
    这是一个创建于 50 天前的主题,其中的信息可能已经有所发展或是发生改变。

    问题如下: 打开 https://1.1.1.1/help 网页之后出现警告,如果忽略警告会出现如下界面:

    ping1.1.1.1 的话也不太正常,返回的时间显示<1ms

    电脑有安装 easyconnect。。。

    请问有同样的问题的吗?应该怎么解决?

    78 回复  |  直到 2019-11-23 21:50:24 +08:00
        1
    temporary   50 天前   ♥ 5
    你们局域网把深信服的服务部署在 1.1.1.1 咯 类似 192.168.1.1
        2
    realpg   50 天前   ♥ 4
    CF 的人傻逼 不了解国际互联网的现状 非得用这个 IP 做 DNS 而已

    楼主这种情况倒是一种内部的误伤

    广域网上的 1.1.1.1 满大街
        3
    honeyshine75   50 天前
    @temporary 感谢,明白了
        4
    honeyshine75   50 天前
    @realpg 感谢
        5
    jinliming2   50 天前 via iPhone
    那就试试 1.0.0.1 呗
        6
    emeab   50 天前   ♥ 12
    @realpg 什么叫广域网的 1.1.1.1 满大街? 世界上广域网的 1.1.1.1 不是只有一个?
    1.1.1.1 是保留地址?
    深信服自己不遵守规矩 喷别人?
        7
    realpg   50 天前   ♥ 2
    @emeab #6
    哦 你开心就好

    这跟遵守不遵守规矩没啥关系
    大部分也不是主观故意
    大部分广域网上的都是残余配置和测试通路导致的 这也是国际惯例,而且国外比国内多……

    广域网上国内这样的不多见……
    而且国外很多 BGP 信任关系更直接而不像国内的严格过滤,还会跨运营商……
        8
    maja   50 天前   ♥ 1
    @emeab 围观暴脾气的弱智
        9
    emeab   50 天前
    @maja :)
        10
    emeab   50 天前
    @maja 1.1.1.1 难道不是保留地址? 不能作为公网 ip 使用?
        11
    phpfpm   50 天前
    @emeab 嗯你说的对也不对

    公共领域的 1111 的服务商只能是 cf 的 dns 服务器,但是可以有多个不同的服务器在多个 bgp 网络内部宣传拥有这个 ip,达到快速触达的目的
        12
    emeab   50 天前   ♥ 11
    @phpfpm 首先 滥用非保留地址是不对的. 第二 对于某些开口就是弱智的人 无法评论
        13
    lydasia   50 天前 via Android
    瞎配置,1.1.1.1 不是保留地址
        14
    miyuki   50 天前
    瞎配置+1,我这联通 2.1.1.1 是城域网
        15
    qyvlik   50 天前   ♥ 1
    1. `1.1.1.1` 被许多运营商、网络维护人员当做保留地址使用(类似内网地址,局域网地址),其实 1.1.1.1 是公网地址(广域网)
    2. ping `1.1.1.1` 的延迟只在 1~2ms,这个是 cloudflare 的特色 anycast,你 ping 1.1.1.1 的时候,不会前往美国,而是到离你最近的 cloudflare 边缘节点。
        16
    honeyshine75   50 天前
    @jinliming2 1.0.0.1 是正常的
        17
    LokiSharp   50 天前
    @realpg #2 说反了吧
        18
    qyvlik   50 天前
    @qyvlik 修正,根据你的秒速,你 ping 1.1.1.1 在 1~2ms 的延迟,大概率内网地址。如果是在海外,例如香港 ping 1.1.1.1 的话,延迟还是很低的,也是 1~2ms。
        19
    honeyshine75   50 天前
    @qyvlik 感觉深信服把这个当作内网了,ping 小于 1ms,感觉不对劲,估计是内网无疑了
        20
    realpg   50 天前   ♥ 6
    @LokiSharp #17
    没说反

    @qyvlik #15
    你这解释错了
    1.1.1.1 不是当保留地址使用
    是 1.1.1.1 在调试、模拟环境,甚至生产环境进行网络排查时候,配置到 loopback 接口上指代公网

    而且 1.1.1.1 的所有方 APNIC 曾经公告承诺 1.1.1.1 不广播,就是干这个用的

    当然,后来因为 CF 给钱多,没节操的 APNIC 又把这个 IP 卖了
        21
    qyvlik   50 天前   ♥ 1
    @honeyshine75 cloudflare 的 1.1.1.1 是有 https 证书的,签发者:DigiCert ECC Secure Server CA。所以你的浏览器提示 https 证书不可信。
        22
    qyvlik   50 天前
    @realpg 酱紫,按照这个使用场景以及 APNIC 的承诺,1.1.1.1 这个地址在过去是事实上的内网地址。APNIC 真没节操。
        23
    whileFalse   50 天前
    @Livid maja #8
        24
    LokiSharp   50 天前   ♥ 1
    @realpg #20 之前承诺不广播,就是因为一堆不负责任的真实 SB 用这个做测试 ip 直接把 APNIC 的服务器打趴。到底没节操的 SB 是谁呢?
        25
    passerbytiny   50 天前   ♥ 1
    批评及问题
    科技网站称 Cloudflare 使用 1.1.1.1 作为域名解析服务的 IP 地址将导致不符合互联网标准(例如 RFC 1918 )的已有设置问题。虽然 1.1.1.1 并非保留 IP 地址,但它却被许多路由器(大多数由思科系统销售)、托管登录至专用网的企业、退出页或其他用途所使用,导致 1.1.1.1 将无法被手动配置为这些系统的 DNS 服务器。 [6][7]此外,1.1.1.1 被诸多网络及 ISP 所封禁,因为这一简简单单的 IP 地址意味着其先前被用于测试目的与非法使用。这些先前用途使得大量垃圾数据涌入 Cloudflare 的服务器。

    1.1.1.1 与 1.0.0.1 的清除
    1.0.0.0/8 IP 块于 2010 年被分配给 APNIC,[8]在此之前它是一块未分配的空间。[9]然而未分配的空间与私人使用的保留 IP 空间(即保留 IP 地址)不同。[10]例如 AT&T 声称他们正修复其 CPE 硬件中的 CPE 问题[11]。
        26
    shehuizhuyi   50 天前
    国产傻逼软件 正常
        27
    ech0x   50 天前 via iPhone   ♥ 12
    看上面给乱配置 ip 辩护的人,真是「我错我有理」喽。
    建议打回去重新学计算机网络。
        28
    ech0x   50 天前 via iPhone   ♥ 1
    你看这就是 cf 做的一件好事,让原先没人注意到的问题暴露出来了。
        29
    passerbytiny   50 天前
    之前不分配,就是这种特殊号码不好分配,结果 APNIC 和 Cloudflare 硬要顶上去,不抽他就说不过去。
        30
    flowfire   50 天前
    可以试试先致电运营商投诉
    不处理再工信部投诉
        31
    dorentus   50 天前 via iPhone
    cloudflare 应该去把 https://1.1.1.1 提交到 HSTS preload list 里面…
        32
    flyfishcn   50 天前   ♥ 1
    @realpg APNIC 是区域互联网注册机构,是一个资源分配机构,分给谁还真是他们说了算的。未分配时候使用就已经违背了地址使用原则。已经分配了还在用难道不是设备厂家和配置人员的问题?未分配, 但不等同于私有保留块使用。
        33
    i0error   50 天前
    @dorentus #31 孤陋寡闻了,ip 地址居然也能发 https 证书......
        34
    Love4Taylor   50 天前
    CF 做的挺好的, 最起码提醒了一堆乱写教程, 乱用 IP 的人.
        35
    opengps   50 天前 via Android
    电信宽带不给公网 ip,却给分配一个公网段的内网 IP,这操作 6 不 6
        36
    scnace   50 天前 via Android
    楼上说 APNIC SB 的,真的是站着说话不腰疼?国内厂家每天都给你 DDoS,换做是谁心里都不好受啊😯
        37
    artandlol   50 天前 via Android
    @i0error 还真可以
        38
    Mac   50 天前   ♥ 1
    看到深信服你还不服?没有它作不起的妖啊。
        39
    lean   50 天前 via Android   ♥ 1
    如果是你们公司用了深信服的服务器,我感觉这个 IP 和深信服没啥关系吧,就像你买了路由器给内网分配的是公网的网段,和这路由器的厂商也没啥关系吧,有问题的是设置这服务器的人没把计算机网络学好😂
        40
    lean   50 天前 via Android
    @lean 补充: 配置这台服务器 ip 地址的人
        41
    flyfishcn   50 天前
    @lean 某些设备默认的管理地址就是这个。还不做隔离,直接进了内网路由了。
        42
    bclerdx   50 天前 via Android
    去深信服把地址改为正规的吧。
        43
    masir   50 天前 via Android
    一大堆公司把 1.1.1.1 用在内网,之前住假日,有两家的认证 portal 网页就是 1.1.1.1
        44
    azuis   50 天前 via iPhone   ♥ 1
    这个本来就是 apnic debogon project 本身目的所在。把这个 IP 给 cloudflare 也是为了让更多从业人员关注这个问题。以此提升 IPv4 分配的效率。
        45
    lc7029   50 天前   ♥ 1
    这是个公网地址,但被你们的运维拿到了内网使用。我们也干过 114.114.114.114 和 8.8.8.8 配置在网络设备上。
        46
    bclerdx   50 天前 via Android
    @lc7029 结果呢。
        47
    lc7029   50 天前
    @bclerdx 结果正常使用。自己的网络设备,做 DNS 迭代查询。
        48
    Tianao   50 天前
    @lc7029 114 还是算了吧,我见过有产品写死用 114DNS 的,还有些写死用的不是 114 但是是别家公共 DNS 的非 UDP53,劫持请求都救不了。
        49
    lc7029   50 天前
    @Tianao 现在我们的套路是全走自己的 DNS,防火墙不给到公网的 UDP53 放行
        50
    bclerdx   50 天前
    @lc7029 你司也用深信服的防火墙硬件产品?
        51
    csx163   49 天前
    1、网管
    2、深信服
    3、Cloudflare

    到底是谁的问题?
        52
    lc7029   49 天前
    @bclerdx 现在用 Cisco,不用深信服。
        53
    wangfei324017   49 天前
    1.1.1.2 也是,深信服的行为管理认证页面
        54
    baobao1270   49 天前
    应该是内网路由配置,把 1.1.1.1 的流量全部导到这台服务器上了
    1.1.1.1 应该是 cf 的地址,也就是说你们公司劫持了这个地址,作为深信服的地址
    你 ping 为 1ms 应该也是因为实际上 ping 的是内网的服务器
    另外,建议楼上讨论 APNIC、网工和 CF 的争端的人另开新帖
        55
    xxq2112   49 天前 via iPhone
    @realpg 不是 CF 傻,CF 和 APNIC 本身已经遇见这个情况了,所以他自己也在更多时候建议使用 1001 来代替
    再说某些厂商不按规定占用公网 IP,是不是也该谴责一下
        56
    CallMeReznov   49 天前
    谁的问题都没有,体量的问题,如果深信服体量作到逼 CF 大,这个帖子的标题和内容就会反过来了
        57
    edsheeran   49 天前 via iPhone
    認為 cloudflare 做錯的請自覺回學校重修
        60
    HandSonic   49 天前
    这个的确就是深信服的问题,深信服默认内置的管理 IP 就是 1.1.1.1
        61
    liyuhang   49 天前
    这个就和 .dev HSTS 有异曲同工之妙了,哈哈。
        62
    txydhr   49 天前 via iPad
    美国国防部也有好几段 ip 没有广播到公网,被各种运营商当内网 ip 乱用。
        63
    Kowloon   49 天前 via iPhone
    @txydhr
    企鹅云还有 9 开头 IP 在他们内网......
        64
    jeblur   49 天前 via Android
    @emeab 兄弟你喷深信服就不对了呀,这个不过是部署的时候把管理地址配置成 1.1.1.1 而已,参考一楼
        65
    hiplon   49 天前
    其实就是
    1.设备管理地址配成了 1.1.1.1
    2.默认路由(或者其他路由)配置
    导致的
        66
    jy02201949   49 天前
    把我逼急了哪天我把 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 给买下来
        67
    davidstonex   49 天前
    这个是公司网管自己修改的 ip。深信服的 NGAF 默认地址是 10.251.251.251
        68
    Diphia   49 天前
    @realpg 「曾经公告承诺 1.1.1.1 不广播」请问这个有消息来源吗?想看看
        69
    flynaj   49 天前 via Android
    这个是你的网络被劫持了,遭遇了中间人攻击,找网管。
        70
    Diphia   49 天前
    @csx163 我认为仅仅是网管的问题。
        71
    tomychen   49 天前
    又是大屁股问题?
    即然 1.1.1.1 不是私有地址,公有化就只是时间的问题。
    就因为早年没被公开化的时候,Cisco 用来当默认 IP 他就不能被视为公有,放到 internet 上就有罪?

    我早年买房的时候车位比较便宜,连包一起买了个车位,但没钱买车,于是邻居都把车停我车位上,多年后,我终于有钱买车了,我开开心心把车停到我自己的车位上,反倒成了罪人了 :-)

    毕竟还是有 RFC 约束的嘛...
        72
    realpg   49 天前   ♥ 3
    @Diphia #67
    具体说并不是 APNIC 的承诺 是 APNIC-LABS 的公开发表信息宣称
    这个问题由来已久,最重要的是广播也没啥卵用,因为以 CISCO 为代表的当年这些 IP 都是有特定意义的测试环境使用 丢到生产环境的太多了
    1.1.1.1 1.1.1.2 1.1.1.254(现在 254 这个用的不多了 场景在现在的广域网下已经不再存在,在 199X 年这个不注意广播出去的也多)
    11.0.0.1 也是这样 不过这个 DOD 的 IP 压根整 A 都没在公网上用,影响不大


    1.1.1.0/24 之前是 APNIC-LABS 所有 看这标准名就知道他跟 APNIC 的关系 以及压根就不是生产网用的东西

    你要来源请求,现在 1.1.1.1 被 CF 用了以后 相关信息就不好搜索了 不是人家去掉了这个信息不让你检索,是全是关于 CF 的东西,而且这些信息并不是互联网新闻索引这么发达以后的事件,是很有历史的。


    最后,我都懒得回复很多看了两本书就觉得怎么怎么样的键盘党。

    INTERNET 是非集中的模型,自己的小网络愿意怎么用怎么用,哪怕我是个很大的网络比如 AS4837 这种规模,只要我能受得了用户抗议以及退费威胁,只要不把非验证所有权的 IP 向其他 AS 广播,我自己爱怎么用怎么用。

    国内其实 1.1.1.1 这种 IP 的错误广播其实范围都比较小,因为国内 ISP 的 filter 过滤很重,loopback 接口的 IP 错误重新在 IGP 内广播,影响顶天是自己的一小片,小片区都会过滤掉。别说地市,甚至大区 BRAS 都不会出。

    国外才是泛滥的地方,因为小 ISP 量大,而且资费问题多选路的信任非常滥用,基本没那么重的 filter,甚至国际互联的关口 filter 都没啥(参见当年巴基斯坦封 GOOGLE IP 因为 HK 的 ISP 不怎么过滤,导致全球各种 ISP 出现局部 google 瘫痪)


    至于楼主的这种情况,根本不是我喷 CF 傻逼的原因,这只影响自己的局域网,喊网管调就完了。


    另外,因为 CF 用了 1.1.1.1,在国外人口密度低,网络用户少,普遍以国家、或者美国俄罗斯这种大国家以大片区为单位的 CDN 下,乱改 DNS 的用户影响比较小,远不如国内的网络分发规模的都是以省甚至视频类以地市为单位分发的影响大,而且小 ISP 的 DNS 远没有国内 CMCC CU CT 的 DNS 可用性可靠,可能自己改 DNS 的用户多一些 促进某些小网络发现 1.1.1.1 的错误广播纠正,CF 启用开始,逐渐国外的 1.1.1.1 的错误广播可能降低到跟国内差不多的规模水平,就是比较函件
        73
    tomychen   49 天前
    @realpg 你说的这些正好是我反感的,而我喷的正是这些无视标准(RFC)的,特别是以屁股大为代表的,为什么部分 ISP 会去 filter 1.1.1.1,还不是思科自己无视标准,自己先挖好的坑,反正老子屁股大,老子就是标准。

    e.g: "internet explorer 6"

    我没记错的话,v2 里还有过一个热贴 9102 年的今天 chrome 已经是标准了吗

    然而,这些都不重要了...
    只不过是因为 1024,偷个闲而已
        74
    Diphia   49 天前
    @realpg 非常感谢这么认真的回复!
        75
    cnrting   46 天前 via iPhone
    网管为了显示自己有多会玩儿罢了
        76
    06_taro   35 天前 via Android
    https://conference.apnic.net/data/37/2014-02-27-prop-109_1393397866.pdf

    另外 Google 搜索"1.1.1.0/24 APNIC-LABS -cloudflare"还有不少更早的漏路由或者异常流量的信息
        77
    fchypzero   18 天前
    @HandSonic 深信服默认的管理 IP 是 10.251.251.251/24 和 10.252.252.252/24 1.1.1.0/24 是内网认证时使用的地址
        78
    fchypzero   18 天前
    1. 打开 https://1.1.1.1/help 会跳转到深信服页面是因为深信服设备做了内网认证,没有通过认证的设备都会跳转到认证 IP,也就是 1.1.1.1。只有启用了认证功能才会出现上诉的情况。
    2. easyconnect 是深信服的 SSLVPN 的 client 软件。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2835 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 25ms · UTC 12:13 · PVG 20:13 · LAX 04:13 · JFK 07:13
    ♥ Do have faith in what you're doing.