Debate com a Microsoft no RFC 1918 ao configurar uma VPN para o Azure

Navegue suas respostas
1

A Microsoft possui uma tecnologia chamada VPN "ponto a site". ( reference1 , reference2 )

Eu tenho as seguintes redes internas de classe "A" definidas na premissa:

  • 10.2.0.0/16
  • 10.4.0.0/16
  • 10.40.0.0/16
  • 10.20.0.0/16

Eu tenho as seguintes redes do Azure definidas:

  • 10.201.0.0/16
  • 10.202.0.0/16
  • 10.203.0.0/16

Eu quero criar uma sub-rede para o uso exclusivo da VPN Point to Site

  • 10.200.0.0 / 16

Quando faço isso no portal, o cliente VPN adicionará uma rota padrão para 10.0.0.0/8. A justificativa da Microsoft para isso está no RFC1918 e eles se recusam a permitir que eu personalize essa rota. Na minha opinião, eles claramente não entendem que este RFC não se aplica neste caso.

Quando eu mudo a máscara de rede para 168.192.1.0, uma rota de Classe B é aplicada. Isso funciona, mas é irritante que eu precise desviar do meu padrão de numeração por causa da má interpretação do suporte da Microsoft do RFC

Sua resposta:

As specified by RFC 1918 , Address space must be a private address range, specified in CIDR notation 10.0.0.0/8, 172.16.0.0/12, or 192.168.0.0/16.

Note that the following routes will be added to the client, respectively, for directing traffic from the local machine to the virtual network: 10.0.0.0/255.0.0.0, 172.16.0.0/255.255.0.0, or 192.168.0.0/255.255.255.0. This means that, for example, you may not be able to contact other 10.0.0.0/8 addresses on your local subnet if you have specified 10.0.0.0/8 for your VPN client address space.

Any address space which you chose to starts with 10.x.x.x will result with this problem (not just 10.0.0.0/8). The VPN client package will treat this VPN address space as a Class A (255.0.0.0 subnet mask) regardless of how the you chooses to define it in Azure (for ex : 10.1.0.0/24).

So we always ask our customers to use a 192.168.0.0/X range when creating their P2S environment, and to make sure it doesn’t overlap with any subnet they may have on-premises (where their P2S clients are connecting from).

Pergunta

  1. Estou errado?
  2. A Microsoft deve oferecer suporte a uma máscara CIDR personalizada para o intervalo 10.x?
  3. Como posso persuadi-los de outra forma?
por random65537 02.12.2016 / 17:01

1 resposta

3

  1. Não.
  2. Sim.
  3. Se o produto tiver falhas, debater com o suporte técnico não ajudará. Por enquanto, você terá que trabalhar dentro das limitações do seu produto ou encontrar um diferente. Você provavelmente não vai conseguir que eles mudem em um período de tempo razoável.
por 02.12.2016 / 17:21

Tags

Os logs de eventos registram cópias de arquivos e são movidos no Windows Server 2012 R2? Collectd e exec: linha 1329 perto de 'newline': erro de sintaxe, EOL inesperado