Несмотря на то, что в 192.168/16 или даже 10/8 существует большое количество частных сетей без маршрутизации, иногда, будучи внимательными к потенциальному конфликту, это все же происходит. Например, я настроил установку OpenVPN один раз с внутренней сетью VPN на 192.168.27. Это было все хорошо и прекрасно, пока отель не использовал эту подсеть для 27 этажа на их Wi-Fi.
Я переназначил IP-сеть VPN на сеть 172.16, так как она, кажется, практически не используется гостиницами и интернет-кафе. Но является ли это подходящим решением проблемы?
Хотя я упоминаю OpenVPN, мне бы хотелось услышать мысли об этой проблеме в других развертываниях VPN, включая обычный IPSEC.
networking
security
vpn
openvpn
jtimberman
источник
источник
Ответы:
У нас есть несколько IPSec VPN с нашими партнерами и клиентами, и иногда мы сталкиваемся с конфликтами IP с их сетью. В нашем случае решение состоит в том, чтобы использовать либо источник-NAT, либо пункт назначения-NAT через VPN. Мы используем продукты Juniper Netscreen и SSG, но я предполагаю, что это может быть обработано большинством высокопроизводительных IPSec VPN-устройств.
источник
Я думаю, что что бы вы ни использовали, вы рискуете конфликтом. Я бы сказал, что очень немногие сети используют диапазоны ниже 172,16, но у меня нет доказательств, подтверждающих это; просто интуитивное чувство, что никто не может вспомнить это. Вы можете использовать общедоступные IP-адреса, но это пустая трата времени, и у вас может не хватить свободного.
Альтернативой может быть использование IPv6 для вашей VPN. Это потребует настройки IPv6 для каждого хоста, к которому вы хотите получить доступ, но вы определенно будете использовать уникальный диапазон, особенно если вы получите / 48 для своей организации.
источник
К сожалению, единственный способ гарантировать, что ваш адрес не будет совпадать с чем-то другим, - это купить блок маршрутизируемого публичного пространства IP-адресов.
Сказав, что вы можете попытаться найти части адресного пространства RFC 1918, которые менее популярны. Например, адресное пространство 192.168.x обычно используется в жилых сетях и сетях малого бизнеса, возможно, из-за того, что оно используется по умолчанию на многих сетевых устройствах низкого уровня. Однако я предполагаю, что, по крайней мере, 90% времени люди, использующие адресное пространство 192.168.x, используют его в блоках размера С и обычно начинают адресацию своей подсети с 192.168.0.x. Вероятно, вы с гораздо меньшей вероятностью найдете людей, использующих 192.168.255.x, так что это может быть хорошим выбором.
Пространство 10.xxx также широко используется, большинство крупных внутренних корпоративных сетей, которые я видел, имеют пространство 10.x. Но я редко видел людей, использующих пространство 172.16-31.x. Я был бы готов поспорить, что вы очень редко найдете кого-то, например, уже использующего 172.31.255.x.
И, наконец, если вы собираетесь использовать пространство, отличное от RFC1918, по крайней мере, попытайтесь найти пространство, которое не принадлежит кому-то другому и вряд ли будет выделено для публичного использования в будущем. Там интересная статья здесь на etherealmind.com , где автор говорит об использовании адресного пространства RFC 3330 192.18.x , который зарезервирован для контрольных испытаний. Это, вероятно, будет работать для вашего примера VPN, если, конечно, один из ваших пользователей VPN не работает на компанию, которая производит или тестирует сетевое оборудование. :-)
источник
Третий октет нашего класса Public был 0,67, поэтому мы использовали его внутри, то есть 192.168.67.x
Когда мы настраивали нашу DMZ, мы использовали 192.168.68.x
Когда нам был нужен еще один блок адресов, мы использовали .69.
Если бы нам нужно было больше (и мы подошли поближе пару раз), мы собирались перенумеровать и использовать 10., чтобы мы могли дать каждому подразделению компании множество сетей.
источник
используйте менее распространенные подсети, такие как 192.168.254.0/24 вместо 192.168.1.0/24. Домашние пользователи обычно используют блоки 192.168.xx, а предприятия используют 10.xxx, поэтому вы можете использовать 172.16.0.0/12 с очень небольшим количеством проблем.
использовать меньшие блоки IP; например, если у вас 10 пользователей VPN, используйте пул из 14 IP-адресов; а / 28. Если к одной и той же подсети существует два маршрута, маршрутизатор сначала будет использовать наиболее определенный маршрут. Наиболее конкретная = самая маленькая подсеть.
Используйте двухточечные соединения, используя блок / 30 или / 31, чтобы в этом VPN-соединении было только два узла, и маршрутизация не использовалась. Для этого требуется отдельный блок для каждого VPN-соединения. Я использую версию openVPN от Astaro, и таким образом я подключаюсь к своей домашней сети из других мест.
Что касается других развертываний VPN, IPsec хорошо работает на уровне сайта, но его сложно настроить, скажем, на ноутбуке с Windows. PPTP проще всего настроить, но редко работает за NAT-соединением и считается наименее безопасным.
источник
Использование чего-то вроде 10.254.231.x / 24 или аналогичного может также заставить вас проскользнуть под радар отеля, поскольку у них редко есть сети 10.x, достаточно большие, чтобы съесть вашу подсеть.
источник