Frage Wie vermeiden Sie Netzwerkkonflikte mit internen VPN-Netzwerken?


Zwar gibt es eine Vielzahl von privaten nicht-routable Netzwerke über 192.168 / 16 oder sogar 10/8, manchmal im Hinblick auf mögliche Konflikte, tritt es immer noch auf. Zum Beispiel habe ich einmal eine Installation von OpenVPN mit dem internen VPN-Netzwerk auf 192.168.27 eingerichtet. Das war alles in Ordnung und Dandy, bis ein Hotel dieses Subnetz für Etage 27 auf ihrem Wifi verwendet.

Ich habe das VPN-Netzwerk zu einem 172.16-Netzwerk umgetauft, da das von Hotels und Internetcafés anscheinend nicht genutzt wird. Aber ist das eine angemessene Lösung für das Problem?

Während ich OpenVPN erwähne, würde ich gerne Gedanken über dieses Problem bei anderen VPN-Bereitstellungen hören, einschließlich der einfachen alten IPSEC.


33
2018-06-07 06:48


Ursprung


Wenn Sie ein Subnetz vermeiden möchten, das wahrscheinlich nicht von Hotels verwendet wird, die ihr Nummerierungsschema auf Stockwerken aufbauen, versuchen Sie x.x.13 zu verwenden - viele Hotels werden wegen Aberglaubens die 13. Etage überspringen! - Mark Henderson♦
Guter Punkt! Obwohl das vielleicht nicht für Internetcafés funktioniert, was wahrscheinlich häufiger ist. - jtimberman
Ich verwende einen alternativen Ansatz für das Problem, indem ich die Routen ändere. Diese Verknüpfung erklärt, wie VPN in den gleichen Netzwerkbereich VPN.


Antworten:


Wir haben mehrere IPSec-VPNs mit unseren Partnern und Kunden und stoßen gelegentlich auf IP-Konflikte mit ihrem Netzwerk. Die Lösung in unserem Fall ist beides zu tun Quell-NAT oder Ziel-NAT über das VPN. Wir verwenden Juniper Netscreen und SSG-Produkte, aber ich nehme an, dass dies von den meisten High-End-IPSec-VPN-Geräten gehandhabt werden kann.


10
2018-06-12 16:57



Das "schmutzige nat", wie ich es gefunden habe, geht damit einher und scheint die "am besten funktionierende", wenn auch wahrscheinlich "komplizierteste" Lösung zu sein. nimlabs.org/~nim/dirtynat.html - jtimberman


Ich denke, was auch immer Sie verwenden, Sie riskieren einen Konflikt. Ich würde sagen, dass sehr wenige Netzwerke Bereiche unter 172.16 verwenden, aber ich habe keine Beweise, um das zu bestätigen; nur das Bauchgefühl, dass sich niemand daran erinnern kann. Sie könnten öffentliche IP-Adressen verwenden, aber das ist eine Verschwendung, und Sie haben möglicherweise nicht genug zu verschwenden.

Eine Alternative könnte die Verwendung von IPv6 für Ihr VPN sein. Dazu müssten Sie IPv6 für jeden Host einrichten, auf den Sie zugreifen möchten, aber Sie würden auf jeden Fall einen eindeutigen Bereich verwenden, insbesondere wenn Sie Ihrer Organisation eine / 48 zugewiesen bekommen.


14
2018-06-07 07:04



In der Tat, von dem, was ich gesehen habe: 192.168.0. * Und 192.168.1. * Sind ubiquitär, 192.168. * Sind üblich, 10. * sind seltener, und 172. * sind selten. Natürlich verringert dies nur die Wahrscheinlichkeit einer Kollision, aber unter Verwendung eines seltenen Adreßraums sinkt die Wahrscheinlichkeit fast auf Null. - Piskvor


Leider ist die einzige Möglichkeit, Ihre Adresse zu garantieren, dass sie sich nicht mit etwas anderem überschneidet, ein Block für routingfähigen öffentlichen IP-Adressraum zu kaufen.

Nachdem Sie gesagt haben, dass Sie versuchen könnten, Teile des RFC-1918-Adressraums zu finden, die weniger populär sind. Beispielsweise wird 192.168.x-Adressraum häufig in Heim- und Kleinunternehmensnetzwerken verwendet, möglicherweise, weil dies der Standard für so viele Low-End-Netzwerkgeräte ist. Ich nehme an, dass mindestens 90% der Benutzer, die den Adressraum 192.168.x verwenden, ihn in Blöcken der Klasse C verwenden und ihre Subnetzadressierung normalerweise bei 192.168.0.x beginnen. Du bist wahrscheinlich ein Menge weniger wahrscheinlich, Leute zu finden, die 192.168.255.x verwenden, also könnte das eine gute Wahl sein.

Der 10.x.x.x-Speicherplatz wird auch häufig verwendet, die meisten großen internen Unternehmensnetzwerke, die ich gesehen habe, sind 10.x-Speicherplatz. Aber ich habe selten Leute gesehen, die 172.16-31.x benutzt haben. Ich würde wetten, dass Sie sehr selten jemanden finden würden, der zum Beispiel 172.31.255.x benutzt.

Und schließlich, wenn Sie nicht-RFC1918-Speicherplatz verwenden möchten, versuchen Sie zumindest, Speicherplatz zu finden, der keiner anderen Person gehört und wahrscheinlich nicht in Zukunft für die öffentliche Nutzung zugewiesen wird. Es gibt einen interessanten Artikel Hier Bei Etheralmind.com, wo der Autor spricht über die Verwendung der RFC 3330 192.18.x Adressraum, der für Benchmark-Tests reserviert ist. Das wäre wahrscheinlich für Ihr VPN-Beispiel praktikabel, es sei denn, einer Ihrer VPN-Benutzer arbeitet für ein Unternehmen, das die Netzwerkgeräte herstellt oder testet. :-)


6
2018-06-12 16:50





Das dritte Oktett unserer öffentlichen Klasse C war 0,67, also verwendeten wir das innerhalb von 192,168.67.x

Als wir unsere DMZ eingerichtet haben, haben wir 192.168.68.x verwendet

Als wir einen weiteren Adressenblock brauchten, verwendeten wir .69.

Wenn wir mehr gebraucht hätten (und wir kamen ein paar Mal zu nahe), würden wir umnumerieren und 10. verwenden, damit wir jeder Abteilung in der Firma viele Netzwerke geben könnten.


2
2018-06-07 07:51





  1. Verwenden Sie weniger häufige Subnetze wie 192.168.254.0/24 anstelle von 192.168.1.0/24. Heimanwender verwenden normalerweise die Blöcke 192.168.x.x und Unternehmen verwenden 10.x.x.x, sodass Sie die 172.16.0.0/12 mit sehr wenigen Problemen verwenden können.

  2. Verwenden Sie kleinere IP-Blöcke; Wenn Sie beispielsweise 10 VPN-Benutzer haben, verwenden Sie einen Pool von 14 IP-Adressen. a / 28. Wenn es zwei Routen zu demselben Subnetz gibt, verwendet ein Router zuerst die spezifischste Route. Am spezifischsten = das kleinste Subnetz.

  3. Verwenden Sie Punkt-zu-Punkt-Verbindungen, indem Sie einen / 30 oder / 31-Block verwenden, sodass nur zwei Knoten in dieser VPN-Verbindung vorhanden sind und kein Routing beteiligt ist. Dies erfordert einen separaten Block für jede VPN-Verbindung. Ich benutze Astaros Version von openVPN und so verbinde ich mich von anderen Orten mit meinem Heimnetzwerk.

Soweit andere VPN-Bereitstellungen funktionieren, funktioniert IPsec auf einer Site-zu-Site-Basis gut, aber es ist ein Problem, es zu konfigurieren, zum Beispiel auf einem Windows-Laptop. PPTP ist am einfachsten zu konfigurieren, funktioniert aber selten hinter einer NAT-Verbindung und gilt als am wenigsten sicher.


2
2018-06-12 16:54





Wenn Sie etwas wie 10.254.231.x / 24 oder ähnliches verwenden, können Sie unter dem Radar des Hotels untergehen, da sie selten über 10.x-Netzwerke verfügen, die groß genug sind, um Ihr Subnetz zu nutzen.


0