it-swarm-vi.com

Làm thế nào để bạn tránh xung đột mạng với mạng nội bộ VPN?

Mặc dù có rất nhiều mạng riêng không thể định tuyến trên 192.168/16 hoặc thậm chí 10/8, đôi khi vì suy nghĩ về xung đột tiềm ẩn, nó vẫn xảy ra. Ví dụ: tôi đã thiết lập cài đặt OpenVPN một lần với mạng VPN nội bộ vào ngày 192.168.27. Đây là tất cả tốt đẹp và cho đến khi một khách sạn sử dụng mạng con cho tầng 27 trên wifi của họ.

Tôi đã IP lại mạng VPN thành mạng 172.16, vì đó dường như là tất cả nhưng không được sử dụng bởi các khách sạn và quán cà phê internet. Nhưng đó có phải là một giải pháp thích hợp cho vấn đề?

Trong khi tôi đề cập đến OpenVPN, tôi rất muốn nghe suy nghĩ về vấn đề này trên các triển khai VPN khác, bao gồm cả IPSEC đơn giản.

41
jtimberman

Chúng tôi có một số VPN IPSec với các đối tác và khách hàng của chúng tôi và đôi khi gặp phải xung đột IP với mạng của họ. Giải pháp trong trường hợp của chúng tôi là thực hiện nguồn-NAT hoặc đích-NAT qua VPN. Chúng tôi đang sử dụng các sản phẩm Juniper Netscreen và SSG, nhưng tôi cho rằng điều này có thể được xử lý bởi hầu hết các thiết bị IPSec VPN cao cấp hơn.

14
Doug Luxem

Tôi nghĩ rằng những gì bạn từng sử dụng, bạn sẽ có nguy cơ xảy ra xung đột. Tôi sẽ nói rằng rất ít mạng sử dụng phạm vi dưới 172,16, nhưng tôi không có bằng chứng để sao lưu điều đó; chỉ là cảm giác ruột mà không ai có thể nhớ được. Bạn có thể sử dụng các địa chỉ IP công cộng, nhưng điều đó hơi lãng phí và bạn có thể không đủ dự phòng.

Một cách khác có thể là sử dụng IPv6 cho VPN của bạn. Điều này sẽ yêu cầu thiết lập IPv6 cho mọi Máy chủ mà bạn muốn truy cập, nhưng bạn chắc chắn đang sử dụng một phạm vi duy nhất, đặc biệt là nếu bạn tự phân bổ/48 cho tổ chức của mình.

15
David Pashley

Thật không may, cách duy nhất để đảm bảo địa chỉ của bạn sẽ không trùng lặp với thứ khác là mua một khối không gian địa chỉ IP công cộng có thể định tuyến.

Phải nói rằng bạn có thể thử tìm các phần của không gian địa chỉ RFC 1918 ít phổ biến hơn. Ví dụ: không gian địa chỉ 192.168.x thường được sử dụng trong các mạng dân cư và doanh nghiệp nhỏ, có thể vì đó là mặc định trên rất nhiều thiết bị mạng cấp thấp. Tôi đoán mặc dù ít nhất 90% số người sử dụng không gian địa chỉ 192.168.x đang sử dụng nó trong các khối có kích thước lớp C và thường bắt đầu địa chỉ mạng con của họ tại 192.168.0.x. Bạn có thể là một rất nhiều ít có khả năng tìm thấy những người sử dụng 192.168.255.x, vì vậy đó có thể là một lựa chọn tốt.

Không gian 10.x.x.x cũng được sử dụng phổ biến, hầu hết các mạng nội bộ doanh nghiệp lớn mà tôi thấy là không gian 10.x. Nhưng tôi hiếm khi thấy mọi người sử dụng không gian 172.16-31.x. Tôi sẵn sàng đặt cược rằng bạn rất hiếm khi tìm thấy ai đó đã sử dụng 172.31.255.x chẳng hạn.

Và cuối cùng, nếu bạn định sử dụng không gian không phải RFC1918, ít nhất hãy cố gắng tìm không gian không thuộc về người khác và không có khả năng được phân bổ cho sử dụng công khai bất cứ lúc nào trong tương lai. Có một bài viết thú vị tại đây tại etherealmind.com nơi tác giả đang nói về việc sử dụng không gian địa chỉ RFC 3330 192,18.x dành riêng cho các bài kiểm tra điểm chuẩn. Điều đó có thể khả thi đối với ví dụ VPN của bạn, trừ khi một trong những người dùng VPN của bạn làm việc cho một công ty sản xuất hoặc điểm chuẩn thiết bị mạng. :-)

8
Bob McCormick
  1. sử dụng các mạng con ít phổ biến hơn như 192.168.254.0/24 thay vì 192.168.1.0/24. Người dùng gia đình thường sử dụng các khối 192.168.x.x và doanh nghiệp sử dụng 10.x.x.x để bạn có thể sử dụng 172.16.0.0/12 với rất ít vấn đề.

  2. sử dụng các khối ip nhỏ hơn; ví dụ: nếu bạn có 10 người dùng VPN, hãy sử dụng nhóm 14 địa chỉ IP; a/28. Nếu có hai tuyến đến cùng một mạng con, bộ định tuyến sẽ sử dụng tuyến cụ thể nhất trước tiên. Cụ thể nhất = mạng con nhỏ nhất.

  3. Sử dụng liên kết điểm tới điểm, sử dụng khối/30 hoặc/31 để chỉ có hai nút trên kết nối VPN đó và không có định tuyến liên quan. Điều này đòi hỏi một khối riêng cho mỗi kết nối VPN. Tôi sử dụng phiên bản openVPN của Astaro và đây là cách tôi kết nối trở lại mạng gia đình từ các địa điểm khác.

Theo như các triển khai VPN khác, IPsec hoạt động tốt trên cơ sở từ trang này sang trang khác nhưng thật khó để cấu hình, một máy tính xách tay windows du lịch. PPTP là dễ cấu hình nhất nhưng hiếm khi hoạt động sau kết nối NAT và được coi là kém an toàn nhất.

3
David Oresky

Octet thứ ba của lớp C công khai của chúng tôi là 0,67, vì vậy chúng tôi đã sử dụng nó bên trong, tức là 192.168.67.x

Khi chúng tôi thiết lập DMZ, chúng tôi đã sử dụng 192.168.68.x

Khi chúng tôi cần một khối địa chỉ khác, chúng tôi đã sử dụng .69.

Nếu chúng tôi cần nhiều hơn (và chúng tôi đã đến gần một vài lần), chúng tôi sẽ đánh số lại và sử dụng 10. để chúng tôi có thể cung cấp cho mọi bộ phận trong công ty rất nhiều mạng.

3

Sử dụng một cái gì đó như 10.254.231.x/24 hoặc tương tự cũng có thể khiến bạn trượt theo radar của khách sạn, vì chúng hiếm khi có mạng 10.x đủ lớn để ăn mạng con của bạn.

1
pauska