Як уникнути конфлікту в мережі з внутрішніми мережами VPN?

Незважаючи на те, що в 192.168 / 16 або навіть 10/8 існує широка різноманітність приватних непрацюючих мереж, іноді замислюючись про потенційний конфлікт, він все-таки виникає. Наприклад, я встановив установку OpenVPN один раз із внутрішньою мережею VPN на 192.168.27. Це було все чудово і денді, поки готель не використав цю підмережу для поверху 27 на своєму wifi.

Я повторно застосував мережу VPN до мережі 172.16, оскільки, здається, це все, окрім готелів та Інтернет-кафе, не використовується. Але це відповідне рішення проблеми?

Хоча я згадую OpenVPN, я хотів би почути думки про цю проблему в інших розгортаннях VPN, включаючи IPSEC.

У нас є кілька VPN-серверів IPSec з нашими партнерами та клієнтами, а також періодично виникають конфлікти IP з їх мережею. Рішення в нашому випадку - робити або джерело-NAT, або призначення-NAT через VPN. Ми використовуємо продукти Juniper Netscreen та SSG, але я припускаю, що це може вирішуватися більшістю пристроїв VPN IPSec вищого класу.

Я думаю, що що б ти не використовував, ти ризикуєш конфліктом. Я б сказав, що дуже мало мереж використовують діапазони під 172.16, але я не маю доказів, які б підтверджували це; просто відчуття кишки, що його ніхто не може згадати. Ви можете використовувати загальнодоступні IP-адреси, але це трохи марно, і, можливо, вам не вистачить запасних.

Альтернативою може бути використання IPv6 для вашої VPN. Для цього знадобиться налаштувати IPv6 для кожного хоста, до якого ви хочете отримати доступ, але ви напевно використовуєте унікальний діапазон, особливо якщо ви отримаєте собі / 48, виділену вашій організації.

На жаль, єдиний спосіб гарантувати, що ваша адреса не збігатиметься з чимось іншим, - придбати блок маршрутизованого публічного простору IP-адрес.

Сказавши, що ви можете спробувати знайти менш популярні частини адресного простору RFC 1918. Наприклад, адресний простір 192.168.x зазвичай використовується в житлових і малих бізнес-мережах, можливо, тому, що це за замовчуванням для багатьох мережевих пристроїв низького рівня. Я б припустив, що принаймні 90% часу люди, які використовують адресний простір 192.168.x, використовують його у блоках розміру класу C і зазвичай починають свою підмережу в адресі 192.168.0.x. Ви, ймовірно, набагато рідше знайдете людей, які використовують 192.168.255.x, так що це може бути хорошим вибором.

Простір 10.xxx також часто використовується, більшість внутрішніх мереж великих підприємств, які я бачив, - це простір 10.x. Але я рідко бачив людей, які використовують простір 172.16-31.x. Я б хотів зробити ставку, що ви дуже рідко знайдете когось, наприклад, вже використовуючи 172.31.255.x.

І нарешті, якщо ви збираєтесь використовувати простір не-RFC1918, принаймні намагайтеся знайти простір, який не належить комусь іншому і, ймовірно, не буде виділений для публічного використання в будь-який час у майбутньому. Там цікава стаття тут на etherealmind.com , де автор говорить про використання адресного простору RFC 3330 192.18.x , який зарезервований для контрольних випробувань. Це, ймовірно, може бути корисним для вашого прикладу VPN, якщо, звичайно, один з ваших користувачів VPN не працює для компанії, яка виробляє або орієнтує мережеве обладнання. :-)

Третім октетом нашого загальнодоступного класу С був .67, тому ми використовували його всередині, тобто 192.168.67.x

Коли ми встановлювали DMZ, ми використовували 192.168.68.x

Коли нам потрібен був ще один блок адрес, який ми використовували .69.

Якщо б нам було потрібно більше (і ми підійшли близько декількох разів), ми збиралися перенумерувати і використовувати 10. щоб ми могли дати кожному підрозділу в компанії безліч мереж.

1. використовувати менш поширені підмережі, наприклад 192.168.254.0/24 замість 192.168.1.0/24. Домашні користувачі, як правило, використовують блоки 192.168.xx, а компанії використовують 10.xxx, тому ви можете використовувати 172.16.0.0/12 з дуже невеликими проблемами.

2. використовувати менші блоки ip; наприклад, якщо у вас є 10 користувачів VPN, використовуйте пул із 14 ip-адресами; а / 28. Якщо до однієї підмережі є два маршрути, маршрутизатор спочатку використовує найбільш конкретний маршрут. Найбільш конкретна = найменша підмережа.

3. Використовуйте посилання "точка-точка", використовуючи блок / 30 або / 31, так що у цьому VPN-з'єднанні є лише два вузли, і маршрутизація не бере участь. Для цього потрібен окремий блок для кожного VPN-з'єднання. Я використовую версію openVPN Astaro, і ось так я підключаюсь до своєї домашньої мережі з інших місць.

Що стосується інших розгортань VPN, IPsec добре працює від сайту до сайту, але це налаштування, скажімо, на ноутбуці, що подорожує Windows. PPTP є найпростішим у налаштуванні, але рідко працює за NAT-з'єднанням і вважається найменш захищеним.

Використання чогось типу 10.254.231.x / 24 або подібного також може змусити вас проскочити під радари готелю, оскільки вони рідко мають мережі 10х, достатньо великі, щоб поїсти вашу підмережу.