В нашей среде Windows наши клиенты регистрируют собственный DNS. У нас есть локальные DNS-серверы Windows и брандмауэр, который назначает отдельный диапазон для VPN-подключений.
Недавно мы наблюдали, как одна из наших машин регистрирует в DNS два списка: один в правильном диапазоне для VPN, а другой - с IP-адресом «100.91.47.x». Википедия перечисляет этот диапазон как:
Используется для связи между поставщиком услуг и его абонентами при использовании NAT операторского уровня [3]
Описание этого не имеет смысла для меня и не имеет значения, почему это происходит. Этот адрес не входит ни в какие диапазоны, которые мы назначаем через DHCP, и мы никогда раньше не видели его ни на одной другой машине. Речь идет о планшете с картой подключения 4G, которая может иметь какое-то отношение к этому.
Есть идеи, почему эта машина дважды появляется в DNS со вторым IP-адресом "100.x.x.x"? Любопытно узнать причину.
Недостаточно IPv4-адресов.
Давно не хватало, поэтому развернули NAT. Ваш компьютер не получает общедоступный адрес, ваш интернет-маршрутизатор и ваш компьютер использует его адрес. Ваш компьютер обычно получает адрес из диапазонов частных адресов RFC1918:
192.168.0.0/16
172.16.0.0/12
10.0.0.0/8
Эти адреса не уникальны в глобальном масштабе, и каждый из них может использоваться несколькими устройствами, если они находятся в разных частных сетях, поэтому проблема решена, по крайней мере, пока мы не подключим всех к IPv6. Но на это уходит много времени, а пока что всем в мире нужен мобильный телефон, каждый с адресом от интернет-провайдера. Существует около четырех миллиардов адресов IPv4 и более семи миллиардов человек, так что это невозможно.
В результате операторы связи вынуждены делать то же самое и с NAT для телефонов. Но они не могут использовать адреса RFC1918, потому что они могут конфликтовать с тем, что используется клиентом, поэтому они попросили свой собственный диапазон адресов для этого. Похоже, что их использует провайдер 4G.
Похоже на политику NAT и брандмауэра, которая разрешает "любой" вход из VPN, хотя на самом деле этого не должно быть. Когда политика брандмауэра разрешает источник "любого" через брандмауэр, его адрес NAT также будет разрешен для прохождения после аутентификации и будет отображаться в DNS в качестве опции, потому что он попадает на сервер до того, как NAT принимает место, но уровень 3 не существует в отношении маршрутизации к этому адресу 100.x, так что это не имеет большого значения.