it-swarm-ru.tech

Как избежать конфликтов с сетями VPN?

Несмотря на то, что в 192.168/16 или даже 10/8 существует большое количество частных сетей без маршрутизации, иногда, будучи внимательными к потенциальному конфликту, это все же происходит. Например, я установил OpenVPN один раз с внутренней сетью VPN на 192.168.27. Это было все хорошо и прекрасно, пока отель не использовал эту подсеть для 27 этажа на их Wi-Fi.

Я переназначил IP-сеть VPN на сеть 172.16, так как она, кажется, практически не используется гостиницами и интернет-кафе. Но является ли это подходящим решением проблемы?

Хотя я упоминаю OpenVPN, я хотел бы услышать мысли об этой проблеме в других развертываниях VPN, включая обычный IPSEC.

41
jtimberman

У нас есть несколько IPSec VPN с нашими партнерами и клиентами, и иногда мы сталкиваемся с конфликтами IP с их сетью. В нашем случае решение состоит в том, чтобы сделать source-NAT или destination-NAT через VPN. Мы используем продукты Juniper Netscreen и SSG, но я предполагаю, что это может быть обработано большинством высокопроизводительных IPSec VPN-устройств.

14
Doug Luxem

Я думаю, что что бы вы ни использовали, вы рискуете конфликтом. Я бы сказал, что очень немногие сети используют диапазоны ниже 172,16, но у меня нет доказательств, подтверждающих это; просто интуитивное чувство, что никто не может вспомнить это. Вы можете использовать общедоступные IP-адреса, но это пустая трата времени, и у вас может не хватить свободного.

Альтернативой может быть использование IPv6 для вашей VPN. Это потребует настройки IPv6 для каждого хоста, к которому вы хотите получить доступ, но вы определенно будете использовать уникальный диапазон, особенно если вы получите/48 для своей организации.

15
David Pashley

К сожалению, единственный способ гарантировать, что ваш адрес не будет совпадать с чем-то другим, - это купить блок маршрутизируемого публичного пространства IP-адресов.

Сказав, что вы можете попытаться найти части адресного пространства RFC 1918, которые менее популярны. Например, адресное пространство 192.168.x обычно используется в жилых сетях и сетях малого бизнеса, возможно, из-за того, что оно используется по умолчанию на многих сетевых устройствах низкого уровня. Однако я предполагаю, что, по крайней мере, 90% времени люди, использующие адресное пространство 192.168.x, используют его в блоках размера С и обычно начинают адресацию своей подсети с 192.168.0.x. Вероятно, у вас много меньше шансов найти людей, использующих 192.168.255.x, так что это может быть хорошим выбором.

Пространство 10.x.x.x также широко используется, большинство крупных внутренних корпоративных сетей, которые я видел, имеют пространство 10.x. Но я редко видел людей, использующих пространство 172.16-31.x. Я был бы готов поспорить, что вы очень редко найдете кого-то, например, уже использующего 172.31.255.x.

И, наконец, если вы собираетесь использовать пространство, отличное от RFC1918, по крайней мере попытайтесь найти пространство, которое не принадлежит кому-то другому и вряд ли будет выделено для публичного использования в будущем. Есть интересная статья здесь на etherealmind.com, где автор говорит об использовании адресного пространства RFC 3330 192.18.x, зарезервированного для тестов производительности. Это, вероятно, будет работать для вашего примера VPN, если, конечно, один из ваших пользователей VPN не работает на компанию, которая производит или тестирует сетевое оборудование. :-)

8
Bob McCormick
  1. используйте менее распространенные подсети, такие как 192.168.254.0/24 вместо 192.168.1.0/24. Домашние пользователи обычно используют блоки 192.168.x.x, а предприятия используют 10.x.x.x, поэтому вы можете использовать 172.16.0.0/12 с очень небольшим количеством проблем.

  2. использовать меньшие блоки IP; например, если у вас 10 пользователей VPN, используйте пул из 14 IP-адресов; а/28. Если к одной и той же подсети существует два маршрута, маршрутизатор сначала будет использовать наиболее определенный маршрут. Наиболее конкретная = самая маленькая подсеть.

  3. Используйте двухточечные соединения, используя блок/30 или/31, чтобы в этом VPN-соединении было только два узла, и маршрутизация не использовалась. Для этого требуется отдельный блок для каждого VPN-соединения. Я использую версию openVPN от Astaro, и таким образом я подключаюсь к своей домашней сети из других мест.

Что касается других развертываний VPN, IPsec хорошо работает на уровне сайта, но его сложно настроить, скажем, на ноутбуке с Windows. PPTP проще всего настроить, но редко работает за NAT) и считается наименее безопасным.

3
David Oresky

Третий октет нашего класса Public был 0,67, поэтому мы использовали его внутри, то есть 192.168.67.x

Когда мы настраивали нашу DMZ, мы использовали 192.168.68.x

Когда нам был нужен еще один блок адресов, мы использовали .69.

Если бы нам нужно было больше (и мы подошли поближе пару раз), мы собирались перенумеровать и использовать 10., чтобы мы могли дать каждому подразделению компании множество сетей.

3
Ward - Reinstate Monica

Использование чего-то вроде 10.254.231.x/24 или аналогичного может также заставить вас проскользнуть под радар отеля, поскольку у них редко есть сети 10.x, достаточно большие, чтобы съесть вашу подсеть.

1
pauska