Я настроил доступ к домашнему серверу моей семьи через VPN, ограниченный по IP-адресу. Иногда у члена семьи был IP6-адрес (они гуглят "ip") из своего местоположения. Мой брандмауэр (pfsense) принимает IP6-адреса, но VPN отказывается подключаться к их IP6-адресу. Когда я просматриваю журналы моего брандмауэра, я вижу IP4-адрес на определенном порту, пытающийся подключиться к моему брандмауэру. Если я использую этот IP4-адрес, который я нашел в журналах, как источник VPN, VPN начинает работать.
Транслируются ли адреса ip6 в адреса ip4 с определенным портом? В настоящее время я добавляю только часть адреса ip4. Разрешаю ли я большему диапазону ips подключаться к моему брандмауэру, поскольку я не указываю порт?
решение1
Похоже, интернет-провайдер вашей сестры выбрал метод смены IP-адреса, который называется Реализация IP-протокола с двойным стеком.
С помощью этого решения каждое сетевое устройство, сервер, коммутатор, маршрутизатор и брандмауэр в сети интернет-провайдера настраиваются с возможностями подключения как IPv4, так и IPv6 (если он поддерживает последний). Это позволяет интернет-провайдеру обрабатывать трафик данных IPv4 и IPv6 одновременно.
Вот схема того, как это выглядит:
Для вашей сестры это означает, что она сможет пользоваться Интернетом, не беспокоясь о том, что ее соединение прервется из-за несовместимости IP-адресов.
Для вас это означает, что ваша сестра может быть доступна через два IP-адреса. Она может проверить это, зайдя на
Тест двойного стека IPv4/IPv6
перейдите на страницу whatismyipaddress.com, чтобы узнать, есть ли у нее оба адреса.
Если эта ситуация для вас проблематична, ваша сестра может спросить своего интернет-провайдера, есть ли у него возможность получить статический адрес IPv4. Это может быть бесплатная опция, а может и нет.
Она также может отключить IPv6 на своем маршрутизаторе, что заставит его использовать исключительно адрес IPv4. Однако может возникнуть проблема, если у интернет-провайдера возникнет опасность исчерпания адресов IPv4 в назначенном ему адресном пространстве IPv4.
В любом случае, в нашем мире с двойным IP такие случаи будут становиться все более распространенными.
решение2
Вы видите адрес IPv4 в своих журналах, потому что источник, вероятно, имеет как адрес IPv6, так и адрес IPv4. Поскольку IPv6 все еще не очень распространен, устройствам обычно назначают адрес IPv4 вместе с адресом IPv6 для обеспечения совместимости. Вы можете увидеть это на таких сайтах, какhttps://ipleak.net. Адреса v6 и v4 обычно вообще не связаны и могут меняться независимо друг от друга. Я бы посоветовал разрешить только трафик IPv4 через брандмауэр на VPN-сервер, так как, похоже, VPN-сервер предпочтет адрес v6 адресу v4, а это не то, что вам нужно. Кроме того, если вы используете OpenVPN, гораздо проще и безопаснее использовать аутентификацию сертификата, а не аутентификацию по IP.
То, какие порты вы разрешите, не повлияет на то, какие IP-адреса могут подключаться.