这是一个创建于 1844 天前的主题,其中的信息可能已经有所发展或是发生改变。
问题如下:
打开 https://1.1.1.1/help 网页之后出现警告,如果忽略警告会出现如下界面:
ping1.1.1.1 的话也不太正常,返回的时间显示<1ms
电脑有安装 easyconnect。。。
请问有同样的问题的吗?应该怎么解决?
 |
1
temporary 2019-10-23 09:23:40 +08:00  5
你们局域网把深信服的服务部署在 1.1.1.1 咯 类似 192.168.1.1
|
 |
2
realpg 2019-10-23 09:27:20 +08:00 6
CF 的人傻逼 不了解国际互联网的现状 非得用这个 IP 做 DNS 而已
楼主这种情况倒是一种内部的误伤 广域网上的 1.1.1.1 满大街 |
 |
3
honeyshine75 OP @temporary 感谢,明白了
|
|
4
honeyshine75 OP @realpg 感谢
|
 |
5
jinliming2 2019-10-23 09:32:14 +08:00 via iPhone
那就试试 1.0.0.1 呗
|
 |
6
2kCS5c0b0ITXE5k2 2019-10-23 09:32:56 +08:00 12
|
|
7
realpg 2019-10-23 09:34:44 +08:00 2
@emeab #6
哦 你开心就好 这跟遵守不遵守规矩没啥关系 大部分也不是主观故意 大部分广域网上的都是残余配置和测试通路导致的 这也是国际惯例,而且国外比国内多…… 广域网上国内这样的不多见…… 而且国外很多 BGP 信任关系更直接而不像国内的严格过滤,还会跨运营商…… |
|
9
2kCS5c0b0ITXE5k2 2019-10-23 09:41:28 +08:00
@maja :)
|
|
10
2kCS5c0b0ITXE5k2 2019-10-23 09:42:49 +08:00
@maja 1.1.1.1 难道不是保留地址? 不能作为公网 ip 使用?
|
 |
11
phpfpm 2019-10-23 09:43:01 +08:00
|
|
12
2kCS5c0b0ITXE5k2 2019-10-23 09:46:31 +08:00 12
@phpfpm 首先 滥用非保留地址是不对的. 第二 对于某些开口就是弱智的人 无法评论
|
 |
13
lydasia 2019-10-23 09:47:08 +08:00 via Android
瞎配置,1.1.1.1 不是保留地址
|
 |
14
miyuki 2019-10-23 10:01:29 +08:00
瞎配置+1,我这联通 2.1.1.1 是城域网
|
 |
15
qyvlik 2019-10-23 10:10:30 +08:00 1
1. `1.1.1.1` 被许多运营商、网络维护人员当做保留地址使用(类似内网地址,局域网地址),其实 1.1.1.1 是公网地址(广域网)
2. ping `1.1.1.1` 的延迟只在 1~2ms,这个是 cloudflare 的特色 anycast,你 ping 1.1.1.1 的时候,不会前往美国,而是到离你最近的 cloudflare 边缘节点。 |
|
16
honeyshine75 OP @jinliming2 1.0.0.1 是正常的
|
|
18
qyvlik 2019-10-23 10:13:01 +08:00
@qyvlik 修正,根据你的秒速,你 ping 1.1.1.1 在 1~2ms 的延迟,大概率内网地址。如果是在海外,例如香港 ping 1.1.1.1 的话,延迟还是很低的,也是 1~2ms。
|
|
19
honeyshine75 OP @qyvlik 感觉深信服把这个当作内网了,ping 小于 1ms,感觉不对劲,估计是内网无疑了
|
|
20
realpg 2019-10-23 10:18:22 +08:00 7
|
|
21
qyvlik 2019-10-23 10:18:53 +08:00 1
@honeyshine75 cloudflare 的 1.1.1.1 是有 https 证书的,签发者:DigiCert ECC Secure Server CA。所以你的浏览器提示 https 证书不可信。
|
|
22
qyvlik 2019-10-23 10:21:44 +08:00
@realpg 酱紫,按照这个使用场景以及 APNIC 的承诺,1.1.1.1 这个地址在过去是事实上的内网地址。APNIC 真没节操。
|
 |
23
whileFalse 2019-10-23 10:26:57 +08:00
@Livid maja #8
|
 |
24
LokiSharp 2019-10-23 10:28:58 +08:00 1
@realpg #20 之前承诺不广播,就是因为一堆不负责任的真实 SB 用这个做测试 ip 直接把 APNIC 的服务器打趴。到底没节操的 SB 是谁呢?
|
 |
25
passerbytiny 2019-10-23 10:32:41 +08:00 1
批评及问题
科技网站称 Cloudflare 使用 1.1.1.1 作为域名解析服务的 IP 地址将导致不符合互联网标准(例如 RFC 1918 )的已有设置问题。虽然 1.1.1.1 并非保留 IP 地址,但它却被许多路由器(大多数由思科系统销售)、托管登录至专用网的企业、退出页或其他用途所使用,导致 1.1.1.1 将无法被手动配置为这些系统的 DNS 服务器。 [6][7]此外,1.1.1.1 被诸多网络及 ISP 所封禁,因为这一简简单单的 IP 地址意味着其先前被用于测试目的与非法使用。这些先前用途使得大量垃圾数据涌入 Cloudflare 的服务器。 1.1.1.1 与 1.0.0.1 的清除 1.0.0.0/8 IP 块于 2010 年被分配给 APNIC,[8]在此之前它是一块未分配的空间。[9]然而未分配的空间与私人使用的保留 IP 空间(即保留 IP 地址)不同。[10]例如 AT&T 声称他们正修复其 CPE 硬件中的 CPE 问题[11]。 |
 |
26
shehuizhuyi 2019-10-23 10:33:02 +08:00
国产傻逼软件 正常
|
 |
27
ech0x 2019-10-23 10:37:50 +08:00 via iPhone 14
看上面给乱配置 ip 辩护的人,真是「我错我有理」喽。
建议打回去重新学计算机网络。 |
|
28
ech0x 2019-10-23 10:39:57 +08:00 via iPhone 1
你看这就是 cf 做的一件好事,让原先没人注意到的问题暴露出来了。
|
|
29
passerbytiny 2019-10-23 10:40:52 +08:00
之前不分配,就是这种特殊号码不好分配,结果 APNIC 和 Cloudflare 硬要顶上去,不抽他就说不过去。
|
 |
30
flowfire 2019-10-23 11:49:08 +08:00
可以试试先致电运营商投诉
不处理再工信部投诉 |
 |
31
dorentus 2019-10-23 12:01:24 +08:00 via iPhone
cloudflare 应该去把 https://1.1.1.1 提交到 HSTS preload list 里面…
|
 |
32
flyfishcn 2019-10-23 12:19:39 +08:00 1
@realpg APNIC 是区域互联网注册机构,是一个资源分配机构,分给谁还真是他们说了算的。未分配时候使用就已经违背了地址使用原则。已经分配了还在用难道不是设备厂家和配置人员的问题?未分配, 但不等同于私有保留块使用。
|
 |
34
Love4Taylor 2019-10-23 12:34:02 +08:00
CF 做的挺好的, 最起码提醒了一堆乱写教程, 乱用 IP 的人.
|
 |
35
opengps 2019-10-23 12:36:50 +08:00 via Android
电信宽带不给公网 ip,却给分配一个公网段的内网 IP,这操作 6 不 6
|
 |
36
scnace 2019-10-23 12:43:02 +08:00 via Android
楼上说 APNIC SB 的,真的是站着说话不腰疼?国内厂家每天都给你 DDoS,换做是谁心里都不好受啊😯
|
 |
38
Mac 2019-10-23 12:50:30 +08:00 1
看到深信服你还不服?没有它作不起的妖啊。
|
 |
39
lean 2019-10-23 12:54:39 +08:00 via Android 1
如果是你们公司用了深信服的服务器,我感觉这个 IP 和深信服没啥关系吧,就像你买了路由器给内网分配的是公网的网段,和这路由器的厂商也没啥关系吧,有问题的是设置这服务器的人没把计算机网络学好😂
|
 |
42
bclerdx 2019-10-23 13:14:15 +08:00 via Android
去深信服把地址改为正规的吧。
|
 |
43
masir 2019-10-23 13:23:32 +08:00 via Android
一大堆公司把 1.1.1.1 用在内网,之前住假日,有两家的认证 portal 网页就是 1.1.1.1
|
 |
44
azuis 2019-10-23 13:35:02 +08:00 via iPhone 1
这个本来就是 apnic debogon project 本身目的所在。把这个 IP 给 cloudflare 也是为了让更多从业人员关注这个问题。以此提升 IPv4 分配的效率。
|
 |
45
lc7029 2019-10-23 13:36:07 +08:00 1
这是个公网地址,但被你们的运维拿到了内网使用。我们也干过 114.114.114.114 和 8.8.8.8 配置在网络设备上。
|
 |
48
Tianao 2019-10-23 15:16:28 +08:00
@lc7029 114 还是算了吧,我见过有产品写死用 114DNS 的,还有些写死用的不是 114 但是是别家公共 DNS 的非 UDP53,劫持请求都救不了。
|
 |
51
csx163 2019-10-23 20:16:36 +08:00
1、网管
2、深信服 3、Cloudflare 到底是谁的问题? |
 |
53
wangfei324017 2019-10-23 22:18:36 +08:00
1.1.1.2 也是,深信服的行为管理认证页面
|
 |
54
baobao1270 2019-10-23 23:04:33 +08:00
应该是内网路由配置,把 1.1.1.1 的流量全部导到这台服务器上了
1.1.1.1 应该是 cf 的地址,也就是说你们公司劫持了这个地址,作为深信服的地址 你 ping 为 1ms 应该也是因为实际上 ping 的是内网的服务器 另外,建议楼上讨论 APNIC、网工和 CF 的争端的人另开新帖 |
 |
55
xxq2112 2019-10-23 23:55:26 +08:00 via iPhone
@realpg 不是 CF 傻,CF 和 APNIC 本身已经遇见这个情况了,所以他自己也在更多时候建议使用 1001 来代替
再说某些厂商不按规定占用公网 IP,是不是也该谴责一下 |
 |
56
CallMeReznov 2019-10-24 01:04:16 +08:00
谁的问题都没有,体量的问题,如果深信服体量作到逼 CF 大,这个帖子的标题和内容就会反过来了
 |
 |
57
edsheeran 2019-10-24 01:10:36 +08:00 via iPhone
認為 cloudflare 做錯的請自覺回學校重修
|
 |
60
HandSonic 2019-10-24 01:42:47 +08:00
这个的确就是深信服的问题,深信服默认内置的管理 IP 就是 1.1.1.1
|
 |
61
liyuhang 2019-10-24 02:24:21 +08:00
这个就和 .dev HSTS 有异曲同工之妙了,哈哈。
|
 |
62
txydhr 2019-10-24 02:40:19 +08:00 via iPad
美国国防部也有好几段 ip 没有广播到公网,被各种运营商当内网 ip 乱用。
|
 |
64
jeblur 2019-10-24 07:39:07 +08:00 via Android
@emeab 兄弟你喷深信服就不对了呀,这个不过是部署的时候把管理地址配置成 1.1.1.1 而已,参考一楼
|
 |
65
hiplon 2019-10-24 08:23:46 +08:00
其实就是
1.设备管理地址配成了 1.1.1.1 2.默认路由(或者其他路由)配置 导致的 |
 |
66
jy02201949 2019-10-24 08:32:41 +08:00
把我逼急了哪天我把 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 给买下来 |
 |
67
davidstonex 2019-10-24 08:51:42 +08:00
这个是公司网管自己修改的 ip。深信服的 NGAF 默认地址是 10.251.251.251
|
 |
69
flynaj 2019-10-24 10:20:29 +08:00 via Android
这个是你的网络被劫持了,遭遇了中间人攻击,找网管。
|
 |
71
tomychen 2019-10-24 10:36:56 +08:00
又是大屁股问题?
即然 1.1.1.1 不是私有地址,公有化就只是时间的问题。 就因为早年没被公开化的时候,Cisco 用来当默认 IP 他就不能被视为公有,放到 internet 上就有罪? 我早年买房的时候车位比较便宜,连包一起买了个车位,但没钱买车,于是邻居都把车停我车位上,多年后,我终于有钱买车了,我开开心心把车停到我自己的车位上,反倒成了罪人了 :-) 毕竟还是有 RFC 约束的嘛... |
|
72
realpg 2019-10-24 10:39:07 +08:00 4
@Diphia #67
具体说并不是 APNIC 的承诺 是 APNIC-LABS 的公开发表信息宣称 这个问题由来已久,最重要的是广播也没啥卵用,因为以 CISCO 为代表的当年这些 IP 都是有特定意义的测试环境使用 丢到生产环境的太多了 1.1.1.1 1.1.1.2 1.1.1.254(现在 254 这个用的不多了 场景在现在的广域网下已经不再存在,在 199X 年这个不注意广播出去的也多) 11.0.0.1 也是这样 不过这个 DOD 的 IP 压根整 A 都没在公网上用,影响不大 1.1.1.0/24 之前是 APNIC-LABS 所有 看这标准名就知道他跟 APNIC 的关系 以及压根就不是生产网用的东西 你要来源请求,现在 1.1.1.1 被 CF 用了以后 相关信息就不好搜索了 不是人家去掉了这个信息不让你检索,是全是关于 CF 的东西,而且这些信息并不是互联网新闻索引这么发达以后的事件,是很有历史的。 最后,我都懒得回复很多看了两本书就觉得怎么怎么样的键盘党。 INTERNET 是非集中的模型,自己的小网络愿意怎么用怎么用,哪怕我是个很大的网络比如 AS4837 这种规模,只要我能受得了用户抗议以及退费威胁,只要不把非验证所有权的 IP 向其他 AS 广播,我自己爱怎么用怎么用。 国内其实 1.1.1.1 这种 IP 的错误广播其实范围都比较小,因为国内 ISP 的 filter 过滤很重,loopback 接口的 IP 错误重新在 IGP 内广播,影响顶天是自己的一小片,小片区都会过滤掉。别说地市,甚至大区 BRAS 都不会出。 国外才是泛滥的地方,因为小 ISP 量大,而且资费问题多选路的信任非常滥用,基本没那么重的 filter,甚至国际互联的关口 filter 都没啥(参见当年巴基斯坦封 GOOGLE IP 因为 HK 的 ISP 不怎么过滤,导致全球各种 ISP 出现局部 google 瘫痪) 至于楼主的这种情况,根本不是我喷 CF 傻逼的原因,这只影响自己的局域网,喊网管调就完了。 另外,因为 CF 用了 1.1.1.1,在国外人口密度低,网络用户少,普遍以国家、或者美国俄罗斯这种大国家以大片区为单位的 CDN 下,乱改 DNS 的用户影响比较小,远不如国内的网络分发规模的都是以省甚至视频类以地市为单位分发的影响大,而且小 ISP 的 DNS 远没有国内 CMCC CU CT 的 DNS 可用性可靠,可能自己改 DNS 的用户多一些 促进某些小网络发现 1.1.1.1 的错误广播纠正,CF 启用开始,逐渐国外的 1.1.1.1 的错误广播可能降低到跟国内差不多的规模水平,就是比较函件 |
|
73
tomychen 2019-10-24 11:06:03 +08:00
@realpg 你说的这些正好是我反感的,而我喷的正是这些无视标准(RFC)的,特别是以屁股大为代表的,为什么部分 ISP 会去 filter 1.1.1.1,还不是思科自己无视标准,自己先挖好的坑,反正老子屁股大,老子就是标准。
e.g: "internet explorer 6" 我没记错的话,v2 里还有过一个热贴 9102 年的今天 chrome 已经是标准了吗 然而,这些都不重要了... 只不过是因为 1024,偷个闲而已 |
 |
75
cnrting 2019-10-27 17:38:25 +08:00 via iPhone
网管为了显示自己有多会玩儿罢了
|
 |
76
06_taro 2019-11-07 11:30:38 +08:00 via Android
https://conference.apnic.net/data/37/2014-02-27-prop-109_1393397866.pdf
另外 Google 搜索"1.1.1.0/24 APNIC-LABS -cloudflare"还有不少更早的漏路由或者异常流量的信息 |
 |
77
fchypzero 2019-11-23 21:43:04 +08:00
@HandSonic 深信服默认的管理 IP 是 10.251.251.251/24 和 10.252.252.252/24 1.1.1.0/24 是内网认证时使用的地址
|
|
78
fchypzero 2019-11-23 21:50:24 +08:00
1. 打开 https://1.1.1.1/help 会跳转到深信服页面是因为深信服设备做了内网认证,没有通过认证的设备都会跳转到认证 IP,也就是 1.1.1.1。只有启用了认证功能才会出现上诉的情况。
2. easyconnect 是深信服的 SSLVPN 的 client 软件。 |
Select Language