Làm thế nào để bạn tránh xung đột mạng với mạng nội bộ VPN?


39

Mặc dù có rất nhiều mạng riêng không thể định tuyến trên 192.168 / 16 hoặc thậm chí 10/8, đôi khi vì suy nghĩ về xung đột tiềm ẩn, nó vẫn xảy ra. Ví dụ: tôi đã thiết lập cài đặt OpenVPN một lần với mạng VPN nội bộ vào ngày 192.168.27. Đây là tất cả tốt đẹp và bảnh bao cho đến khi một khách sạn sử dụng mạng con cho tầng 27 trên wifi của họ.

Tôi đã IP lại mạng VPN thành mạng 172.16, vì đó dường như là tất cả nhưng không được sử dụng bởi các khách sạn và quán cà phê internet. Nhưng đó có phải là một giải pháp thích hợp cho vấn đề?

Trong khi tôi đề cập đến OpenVPN, tôi rất muốn nghe những suy nghĩ về vấn đề này trên các triển khai VPN khác, bao gồm cả IPSEC đơn giản.


3
Nếu bạn muốn tránh một mạng con không được các khách sạn sử dụng dựa trên sơ đồ đánh số của họ trên các tầng, hãy thử sử dụng xx13 - rất nhiều khách sạn sẽ bỏ qua Tầng 13 vì mê tín!
Mark Henderson

Điểm tốt! Mặc dù điều đó có thể không hoạt động cho quán cà phê internet, có lẽ phổ biến hơn.
jtimberman

Tôi sử dụng một cách tiếp cận khác cho vấn đề bằng cách thay đổi các tuyến đường. Liên kết này giải thích cách VPN vào cùng một phạm vi mạng.

Câu trả lời:


14

Chúng tôi có một số VPN IPSec với các đối tác và khách hàng của chúng tôi và đôi khi gặp phải xung đột IP với mạng của họ. Giải pháp trong trường hợp của chúng tôi là thực hiện NAT nguồn hoặc NAT đích qua VPN. Chúng tôi đang sử dụng các sản phẩm Juniper Netscreen và SSG, nhưng tôi cho rằng điều này có thể được xử lý bởi hầu hết các thiết bị IPSec VPN cao cấp hơn.


3
Cách làm "bẩn thỉu" mà tôi tìm thấy đi cùng với điều này, và dường như là giải pháp "hoạt động tốt nhất" mặc dù có lẽ là "phức tạp nhất". nimlabs.org/~nim/dentynat.html
jtimberman

15

Tôi nghĩ rằng những gì bạn từng sử dụng, bạn sẽ có nguy cơ xảy ra xung đột. Tôi sẽ nói rằng rất ít mạng sử dụng phạm vi dưới 172,16, nhưng tôi không có bằng chứng để sao lưu điều đó; chỉ là cảm giác ruột mà không ai có thể nhớ được. Bạn có thể sử dụng địa chỉ IP công cộng, nhưng điều đó hơi lãng phí và bạn có thể không đủ dự phòng.

Một cách khác có thể là sử dụng IPv6 cho VPN của bạn. Điều này sẽ yêu cầu thiết lập IPv6 cho mọi máy chủ bạn muốn truy cập, nhưng bạn chắc chắn đang sử dụng một phạm vi duy nhất, đặc biệt là nếu bạn tự cấp / 48 cho tổ chức của mình.


2
Thật vậy, từ những gì tôi đã thấy: 192.168.0. * Và 192.168.1. * Có mặt ở khắp mọi nơi, 192.168. * Là phổ biến, 10. * ít phổ biến hơn và 172. * rất hiếm. Tất nhiên, điều này chỉ làm giảm xác suất va chạm, nhưng sử dụng một không gian địa chỉ hiếm, xác suất giảm gần như bằng không.
Piskvor

8

Thật không may, cách duy nhất để đảm bảo địa chỉ của bạn sẽ không trùng lặp với thứ khác là mua một khối không gian địa chỉ IP công cộng có thể định tuyến.

Phải nói rằng bạn có thể thử tìm các phần của không gian địa chỉ RFC 1918 ít phổ biến hơn. Ví dụ: không gian địa chỉ 192.168.x thường được sử dụng trong các mạng dân cư và doanh nghiệp nhỏ, có thể vì đó là mặc định trên rất nhiều thiết bị mạng cấp thấp. Tôi đoán mặc dù ít nhất 90% số người sử dụng không gian địa chỉ 192.168.x đang sử dụng nó trong các khối có kích thước lớp C và thường bắt đầu địa chỉ mạng con của họ tại 192.168.0.x. Bạn có lẽ một nhiều ít có khả năng tìm thấy những người sử dụng 192.168.255.x, do đó có thể là một lựa chọn tốt.

Không gian 10.xxx cũng được sử dụng phổ biến, hầu hết các mạng nội bộ doanh nghiệp lớn mà tôi thấy là không gian 10.x. Nhưng tôi hiếm khi thấy mọi người sử dụng không gian 172.16-31.x. Tôi sẵn sàng đặt cược rằng bạn rất hiếm khi tìm thấy ai đó đã sử dụng 172.31.255.x chẳng hạn.

Và cuối cùng, nếu bạn định sử dụng không gian không phải RFC1918, ít nhất hãy cố gắng tìm không gian không thuộc về người khác và không có khả năng được phân bổ cho sử dụng công khai bất cứ lúc nào trong tương lai. Có một bài viết thú vị ở đây tại etherealmind.com nơi tác giả đang nói về việc sử dụng không gian địa chỉ RFC 3330 192,18.x dành riêng cho các bài kiểm tra điểm chuẩn. Điều đó có thể khả thi đối với ví dụ VPN của bạn, trừ khi một trong những người dùng VPN của bạn làm việc cho một công ty sản xuất hoặc điểm chuẩn thiết bị mạng. :-)


3

Octet thứ ba của lớp C công khai của chúng tôi là 0,67, vì vậy chúng tôi đã sử dụng nó bên trong, tức là 192.168.67.x

Khi chúng tôi thiết lập DMZ, chúng tôi đã sử dụng 192.168.68.x

Khi chúng tôi cần một khối địa chỉ khác, chúng tôi đã sử dụng .69.

Nếu chúng tôi cần nhiều hơn (và chúng tôi đã đến gần một vài lần), chúng tôi sẽ đánh số lại và sử dụng 10. để chúng tôi có thể cung cấp cho mọi bộ phận trong công ty rất nhiều mạng.


3
  1. sử dụng các mạng con ít phổ biến hơn như 192.168.254.0/24 thay vì 192.168.1.0/24. Người dùng gia đình thường sử dụng các khối 192.168.xx và doanh nghiệp sử dụng 10.xxx để bạn có thể sử dụng 172.16.0.0/12 với rất ít vấn đề.

  2. sử dụng các khối ip nhỏ hơn; ví dụ: nếu bạn có 10 người dùng VPN, hãy sử dụng nhóm 14 địa chỉ IP; a / 28. Nếu có hai tuyến đến cùng một mạng con, bộ định tuyến sẽ sử dụng tuyến cụ thể nhất trước tiên. Cụ thể nhất = mạng con nhỏ nhất.

  3. Sử dụng liên kết điểm tới điểm, sử dụng khối / 30 hoặc / 31 để chỉ có hai nút trên kết nối VPN đó và không có định tuyến liên quan. Điều này đòi hỏi một khối riêng cho mỗi kết nối VPN. Tôi sử dụng phiên bản openVPN của Astaro và đây là cách tôi kết nối trở lại mạng gia đình từ các địa điểm khác.

Theo như các triển khai VPN khác, IPsec hoạt động tốt trên cơ sở từ trang này sang trang khác nhưng thật khó để cấu hình, một máy tính xách tay windows du lịch. PPTP là cấu hình dễ nhất nhưng hiếm khi hoạt động sau kết nối NAT và được coi là kém an toàn nhất.


1

Sử dụng một cái gì đó như 10.254.231.x / 24 hoặc tương tự cũng có thể khiến bạn trượt theo radar của khách sạn, vì chúng hiếm khi có mạng 10.x đủ lớn để ăn mạng con của bạn.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.