Meine Firma hat eine große Industriemaschine mit vielen vernetzten Geräten erhalten. Leider hat der verantwortliche Techniker einen öffentlichen IP-Adressbereich auf der Maschine verwendet. Ich bin in europa Der gewählte Adressbereich gehört einem US-amerikanischen Unternehmen. Nehmen wir an, es ist 143.166.0.0 (was eigentlich zu Dell gehört).
Nehmen wir an, ich verbinde die Maschine (vorerst) nicht mit unserem Firmen-LAN, aber ich verbinde meinen Laptop damit, um ein Gerät zu programmieren - sagen wir 143.166.0.1. Angenommen, mein Laptop-WLAN-Adapter ist mit dem Firmen-LAN und damit mit dem Internet verbunden. Jetzt habe ich zwei mögliche Routen zu zwei Geräten, die sich eine Adresse teilen. Die lokale, die ich möchte, und die Dell-Adresse.
Meine Frage lautet: "Wie besorgt sollte ich sein?" Was soll und würde in diesem Fall passieren? Ich vermute, dass der lokale Computer zuerst reagiert und ich möglicherweise davonkomme, aber irgendwann werde ich gebissen. Übrigens habe ich auch auf anderen Rechnern öffentliche IP-Adressen gesehen. Es scheint, dass die Ingenieure entweder die private Adressierung nicht verstehen oder nicht erwarten, dass ihre Maschine mit der Welt verbunden ist.
Irgendwelche Ideen / Kommentare? (das bedeutet keine Gewalt gegen den Maschinenbauer)?
Epilog
Wir haben ein interessantes Problem gefunden, das uns gezwungen hat, die IP-Adressen in privat zu ändern.
- Eines der Geräte auf dem Computer wird mithilfe einer ActiveX-Komponente über Internet Explorer programmiert. Dieses Gerät versucht, Daten an den ActiveX-Listener zu senden (anstelle des üblichen Browsermodus zum Anfordern von Daten von einem Remoteserver).
- Unsere Active Directory-Konfiguration lädt Sicherheitsrichtlinien bei der Anmeldung auf unsere Computer herunter. In der Richtlinie ist die Liste der vertrauenswürdigen Sites enthalten. Diese schließen ein:
- Genehmigte Firmenadressen.
- Diverse externe Adressen wie unsere Bank.
- Privatadressen 192.168.0.0/16, 172.16.0.0/20 und 10.0.0.0/24.
- Alles andere ist gesperrt.
- Aufgrund der Sicherheitsrichtlinie hat die ActiveX-Komponente niemals Daten empfangen, da der eingehende Datenverkehr durch die Sicherheitsrichtlinie blockiert wird!
Das hat mich gezwungen, die Adressen des Anbieters auf 172.16.0.0 zu ändern. Ich werde leichter schlafen.
Vielen Dank für das Interesse.
Das einzige Problem wird die Unfähigkeit sein, mit den realen (Internet-) Maschinen mit diesen Adressen zu sprechen. Natürlich können Sie eine Firewall ("NAT-Box") zwischen Ihr Netzwerk und dieses Ding stellen, damit es für Ihr Netzwerk wie private Adressen aussieht.
Solche Dinge tauchen schon seit vielen Jahren überall auf, weil die Leute faul sind und "nicht zugewiesene" Adressen für ihre eigenen Zwecke verwenden. Jetzt, wo sie zugewiesen sind, ist dies ein kleines Problem.
[Bearbeiten: Für den Datensatz habe ich mein Heimnetzwerk nie neu nummeriert. Aber ich werde wahrscheinlich nie mit den Leuten sprechen müssen, die jetzt diesen Adressraum haben. 15 Jahre und Zählen ...]
quelle
Nebenbei bemerkt, es geht nicht darum, wer zuerst antwortet. Wenn Sie Ihrem Computer eine Adresse im selben Subnetz zuweisen, wird der Datenverkehr direkt zum Computer geleitet, ohne dass Router beteiligt sind.
Auch wenn Sie Routing verwenden und auf einigen internen Routern in Ihrem Netzwerk eine Route bis 143.166.0.0/16 eingeben, wird diese Route der (Standard-?) Route zum Internet vorgezogen. Dies geschieht, weil die "längste Präfixübereinstimmung" bevorzugt wird, d. H. Die spezifischste Route wird ausgewählt.
Wenn Sie das Nettoergebnis korrigieren, ist der Teil 143.166.0.0/16 des Internets für Sie oder Ihr Netzwerk nicht erreichbar, wenn Sie die Route in Ihren internen Routern installieren. / 16 scheint für dieses Problem ein bisschen zu groß zu sein. Je kleiner das Subnetz ist, zu dem Sie weiterleiten, desto geringer ist die Wahrscheinlichkeit, gebissen zu werden.
quelle
Unten ist meine bearbeitete Antwort - die ursprünglich nicht ergab, dass es sich nicht um "besessenen" IP-Raum handelte, sondern um den Raum eines anderen.
Solange es dein Platz ist, spielt es keine Rolle. Eine IP-Adresse ist eine IP-Adresse. Ihre Anwendungen wissen nicht, was privat und was öffentlich ist. Wenn Sie über ausreichend Speicherplatz verfügen, sind möglicherweise sogar einige Subnetze "intern" und einige "extern" zugänglich - steuerbar mit den üblichen Routing-Steuerelementen, Firewalls usw.
Der gesamte öffentliche Raum im Inneren bedeutet, dass Sie sich keine Gedanken über NAT machen müssen, um in Ihr Netzwerk ein- oder auszusteigen.
Wenn es NICHT Ihr eigener IP-Bereich ist, sondern der eines anderen, kann es technisch funktionieren. Sie werden jedoch niemals in der Lage sein, ihren Speicherplatz ohne viel zusätzlichen Aufwand und zusätzliche Konfiuration zu erreichen - wie zum Beispiel Tunneling, NAT oder Double-NAT oder spezifischeres Routing. Es ist am besten, wenn Sie Ihrem Netzwerk schriftlich eine neue Adresse vorschlagen und detailliert beschreiben, wie es funktioniert, wie es verwaltet werden kann usw. Schreiben Sie es, und wenn es jemals Probleme gibt, können Sie Ihre E-Mail-Nachricht herausziehen ".
Die unten stehenden Abstimmungen stammen aus meiner ursprünglichen Antwort, in der ich die Frage falsch verstanden habe.
Vielen Dank an alle.
quelle