Как избежать конфликтов с сетями VPN?

39

Несмотря на то, что в 192.168/16 или даже 10/8 существует большое количество частных сетей без маршрутизации, иногда, будучи внимательными к потенциальному конфликту, это все же происходит. Например, я настроил установку OpenVPN один раз с внутренней сетью VPN на 192.168.27. Это было все хорошо и прекрасно, пока отель не использовал эту подсеть для 27 этажа на их Wi-Fi.

Я переназначил IP-сеть VPN на сеть 172.16, так как она, кажется, практически не используется гостиницами и интернет-кафе. Но является ли это подходящим решением проблемы?

Хотя я упоминаю OpenVPN, мне бы хотелось услышать мысли об этой проблеме в других развертываниях VPN, включая обычный IPSEC.

jtimberman
источник
3
Если вы хотите избежать подсети, которая вряд ли будет использоваться отелями, основывающими свою схему нумерации на этажах, попробуйте использовать xx13 - многие отели пропустят 13 этаж из-за суеверия!
Марк Хендерсон
Хорошая точка зрения! Хотя это может не сработать для интернет-кафе, что, вероятно, более распространено.
Jtimberman
Я использую альтернативный подход к проблеме, меняя маршруты. Эта ссылка объясняет, как подключиться к VPN в той же сети.

Ответы:

14

У нас есть несколько IPSec VPN с нашими партнерами и клиентами, и иногда мы сталкиваемся с конфликтами IP с их сетью. В нашем случае решение состоит в том, чтобы использовать либо источник-NAT, либо пункт назначения-NAT через VPN. Мы используем продукты Juniper Netscreen и SSG, но я предполагаю, что это может быть обработано большинством высокопроизводительных IPSec VPN-устройств.

Дуг Люксем
источник
3
«Грязные натуры», которые я нашел, идут вместе с этим, и, похоже, являются «лучшим рабочим», хотя, вероятно, «самым сложным» решением. nimlabs.org/~nim/dirtynat.html
jtimberman
15

Я думаю, что что бы вы ни использовали, вы рискуете конфликтом. Я бы сказал, что очень немногие сети используют диапазоны ниже 172,16, но у меня нет доказательств, подтверждающих это; просто интуитивное чувство, что никто не может вспомнить это. Вы можете использовать общедоступные IP-адреса, но это пустая трата времени, и у вас может не хватить свободного.

Альтернативой может быть использование IPv6 для вашей VPN. Это потребует настройки IPv6 для каждого хоста, к которому вы хотите получить доступ, но вы определенно будете использовать уникальный диапазон, особенно если вы получите / 48 для своей организации.

Дэвид Пашли
источник
2
Действительно, из того, что я видел: 192.168.0. * И 192.168.1. * Вездесущи, 192.168. * Распространены, 10. * менее распространены и 172. * редки. Конечно, это только уменьшает вероятность столкновения, но при использовании редкого адресного пространства вероятность падает почти до нуля.
Писквор
8

К сожалению, единственный способ гарантировать, что ваш адрес не будет совпадать с чем-то другим, - это купить блок маршрутизируемого публичного пространства IP-адресов.

Сказав, что вы можете попытаться найти части адресного пространства RFC 1918, которые менее популярны. Например, адресное пространство 192.168.x обычно используется в жилых сетях и сетях малого бизнеса, возможно, из-за того, что оно используется по умолчанию на многих сетевых устройствах низкого уровня. Однако я предполагаю, что, по крайней мере, 90% времени люди, использующие адресное пространство 192.168.x, используют его в блоках размера С и обычно начинают адресацию своей подсети с 192.168.0.x. Вероятно, вы с гораздо меньшей вероятностью найдете людей, использующих 192.168.255.x, так что это может быть хорошим выбором.

Пространство 10.xxx также широко используется, большинство крупных внутренних корпоративных сетей, которые я видел, имеют пространство 10.x. Но я редко видел людей, использующих пространство 172.16-31.x. Я был бы готов поспорить, что вы очень редко найдете кого-то, например, уже использующего 172.31.255.x.

И, наконец, если вы собираетесь использовать пространство, отличное от RFC1918, по крайней мере, попытайтесь найти пространство, которое не принадлежит кому-то другому и вряд ли будет выделено для публичного использования в будущем. Там интересная статья здесь на etherealmind.com , где автор говорит об использовании адресного пространства RFC 3330 192.18.x , который зарезервирован для контрольных испытаний. Это, вероятно, будет работать для вашего примера VPN, если, конечно, один из ваших пользователей VPN не работает на компанию, которая производит или тестирует сетевое оборудование. :-)

Боб Маккормик
источник
3

Третий октет нашего класса Public был 0,67, поэтому мы использовали его внутри, то есть 192.168.67.x

Когда мы настраивали нашу DMZ, мы использовали 192.168.68.x

Когда нам был нужен еще один блок адресов, мы использовали .69.

Если бы нам нужно было больше (и мы подошли поближе пару раз), мы собирались перенумеровать и использовать 10., чтобы мы могли дать каждому подразделению компании множество сетей.

Опека - Восстановите Монику
источник
3
  1. используйте менее распространенные подсети, такие как 192.168.254.0/24 вместо 192.168.1.0/24. Домашние пользователи обычно используют блоки 192.168.xx, а предприятия используют 10.xxx, поэтому вы можете использовать 172.16.0.0/12 с очень небольшим количеством проблем.

  2. использовать меньшие блоки IP; например, если у вас 10 пользователей VPN, используйте пул из 14 IP-адресов; а / 28. Если к одной и той же подсети существует два маршрута, маршрутизатор сначала будет использовать наиболее определенный маршрут. Наиболее конкретная = самая маленькая подсеть.

  3. Используйте двухточечные соединения, используя блок / 30 или / 31, чтобы в этом VPN-соединении было только два узла, и маршрутизация не использовалась. Для этого требуется отдельный блок для каждого VPN-соединения. Я использую версию openVPN от Astaro, и таким образом я подключаюсь к своей домашней сети из других мест.

Что касается других развертываний VPN, IPsec хорошо работает на уровне сайта, но его сложно настроить, скажем, на ноутбуке с Windows. PPTP проще всего настроить, но редко работает за NAT-соединением и считается наименее безопасным.

David Oresky
источник
1

Использование чего-то вроде 10.254.231.x / 24 или аналогичного может также заставить вас проскользнуть под радар отеля, поскольку у них редко есть сети 10.x, достаточно большие, чтобы съесть вашу подсеть.

pauska
источник