VPN dahili ağlarıyla ağ çakışmasını nasıl önlersiniz?

39

192.168 / 16 ve hatta 10/8 arasında çok çeşitli özel yönlendirilemeyen ağlar olsa da, bazen potansiyel çatışma konusunda düşünceli olsa da, yine de ortaya çıkar. Örneğin, 192.168.27’de dahili VPN ağı ile bir kez OpenVPN kurulumu kurdum. Bir otel bu wifi için kat 27 için bu alt ağını kullanılana kadar bu tüm güzel ve dandy.

VPN ağını 172.16 ağa yeniden IP'ledim, çünkü hepsi otel ve internet kafe tarafından kullanılmıyor gibi görünüyor. Ama bu soruna uygun bir çözüm mü?

OpenVPN'den bahsetsem de, bu sorun hakkında düşüncelerimi açık IPSEC de dahil olmak üzere diğer VPN dağıtımlarında duymak isterim.

networking  security  vpn  openvpn 
jtimberman
kaynak
3
Numaralandırma düzenini zemine dayalı oteller tarafından kullanılması muhtemel olmayan bir alt ağdan kaçınmak istiyorsanız, xx13 kullanmayı deneyin - birçok otel batıl inanç nedeniyle 13. Kattan atlayacak!
Mark Henderson
İyi bir nokta! Her ne kadar bu muhtemelen daha yaygın olan internet kafe için çalışmayabilir.
jtimberman
Rotaları değiştirerek soruna alternatif bir yaklaşım kullanıyorum. Bu bağlantı VPN'in aynı ağ aralığına nasıl girileceğini açıklar.

Yanıtlar:

14

Ortaklarımız ve müşterilerimizle birlikte birkaç IPSec VPN'imiz var ve zaman zaman ağlarıyla IP çatışması yaşıyoruz. Bizim durumumuzdaki çözüm VPN üzerinden ya kaynak-NAT ya da hedef-NAT yapmaktır . Juniper Netscreen ve SSG ürünlerini kullanıyoruz, ancak bunun en üst seviye IPSec VPN cihazları tarafından kullanılabileceğini varsayıyorum.

Doug Luxem
kaynak
3
Nasıl bulduğum 'kirli nat' bununla devam ediyor ve muhtemelen 'en karmaşık' çözüm olsa da 'en iyi çalışan' gibi görünüyor. nimlabs.org/~nim/dirtynat.html
jtimberman
15

Bence, kullandığın her şeyi, bir çatışma riskini göze alacaksın. Çok az sayıda ağın 172.16'nın altındaki aralıkları kullandığını söyleyebilirim, ancak bunu destekleyecek hiçbir kanıtım yok; Sadece kimsenin hatırlayamadığı hissine kapıl. Genel IP adreslerini kullanabilirsiniz, ancak bu bir miktar boşa harcanır ve saklamak için yeterli olmayabilir.

Bir alternatif, VPN'iniz için IPv6 kullanmak olabilir. Bu, erişmek istediğiniz her ana bilgisayara IPv6 kurulumu yapılmasını gerektirir, ancak özellikle kendinize kuruluşunuza tahsis edilmiş bir a / 48 elde ederseniz, kesinlikle benzersiz bir aralık kullanırsınız.

David Pashley
kaynak
2
Gerçekten, gördüklerimden: 192.168.0. * Ve 192.168.1. * Her yerde, 192.168. * Yaygın, 10. * daha az yaygın ve 172. * nadirdir. Tabii ki, bu sadece çarpışma olasılığını azaltır, ancak nadir bir adres alanı kullanarak, olasılık neredeyse sıfıra düşer.
Piskvor,
8

Ne yazık ki, adresinizi garanti etmenin tek yolu başka bir şeyle örtüşmeyecek, yönlendirilebilir bir genel IP adres alanı bloğu satın almaktır.

RFC 1918 adres alanının daha az popüler olan bölümlerini bulmaya çalışabileceğinizi söylemiştiniz. Örneğin, 192.168.x adres alanı, genellikle çok sayıda düşük uçlu ağ aygıtında varsayılan olduğu için, yerleşim ve küçük işletme ağlarında yaygın olarak kullanılır. 192.168.x adres alanını kullanan kişilerin en az% 90'ının C sınıfı bloklarda kullandığını ve genellikle alt ağ adreslemelerini 192.168.0.x adresinde başlattıklarını sanıyorum. Muhtemelen vardır çok bu iyi bir seçim olabilir, böylece daha az olasıdır 192.168.255.x kullanarak insanları bulmak için.

10.xxx alanı da yaygın olarak kullanılır, gördüğüm en büyük şirket içi ağları 10.x alanıdır. Ama nadiren 172.16-31.x alanını kullanan insanları gördüm. Örneğin 172.31.255.x kullanarak zaten çoktan birisini bulacağınıza bahse girerim.

Ve son olarak, eğer RFC1918 olmayan bir boşluk kullanacaksanız, en azından bir başkasına ait olmayan ve gelecekte herhangi bir zamanda halka açık kullanım için tahsis edilme olasılığı olmayan bir yer bulmaya çalışın. Burada , etherealmind.com'da yazarın RFC 3330 192.18.x adres testini yapmak için ayrılan adres alanını kullanmaktan bahsettiği ilginç bir makale var . Elbette bu, VPN kullanıcılarınızdan biri ağ ekipmanı yapan veya kıyaslayan bir şirket için çalışmadığı sürece VPN örneğiniz için uygulanabilir olacaktır. :-)

Bob McCormick
kaynak
3

C Sınıfımızın üçüncü basamağı C67 .67 idi, bu yüzden onu kullandık, yani 192.168.67.x

DMZ'yi kurduğumuzda, 192.168.68.x kullanıyorduk.

Başka bir adres bloğuna ihtiyacımız olduğunda, .69 kullandık.

Daha fazlasına ihtiyacımız olsaydı (ve birkaç kez yaklaştığımızda) 10 numarayı yeniden numaralandırır ve kullanırdık, böylelikle şirketteki tüm bölümleri çok sayıda ağ kurabilirdik.

Koğuş
kaynak
3

  1. 192.168.1.0/24 yerine 192.168.254.0/24 gibi daha az yaygın olan alt ağları kullanın. Ev kullanıcıları genellikle 192.168.xx bloklarını kullanır ve işletmeler 10.xxx kullanır, böylece 172.16.0.0/12'yi çok az sorunla kullanabilirsiniz.

  2. daha küçük ip blokları kullanın; örneğin, 10 VPN kullanıcınız varsa, 14 ip adresli bir havuz kullanın; a / 28. Aynı alt ağ için iki rota varsa, bir yönlendirici önce en spesifik rotayı kullanır. En belirgin = en küçük alt ağ.

  3. Bir / 30 veya / 31 bloğu kullanarak noktadan noktaya bağlantılar kullanın, böylece bu VPN bağlantısında yalnızca iki düğüm olur ve yönlendirme söz konusu olmaz. Bu, her VPN bağlantısı için ayrı bir blok gerektirir. Astaro'nun openVPN sürümünü kullanıyorum ve bu şekilde ev ağıma diğer konumlardan tekrar bağlanıyorum.

Diğer VPN dağıtımlarına gelince, IPsec site bazında site bazında iyi çalışır, ancak seyahat eden bir dizüstü bilgisayar dizüstü bilgisayarını yapılandırmak için bir acıdır. PPTP yapılandırması en kolay olanıdır, ancak nadiren bir NAT bağlantısının arkasında çalışır ve en az güvenli olduğu kabul edilir.

David Oresky
kaynak
1

10.254.231.x / 24 veya benzeri bir şey kullanmak, nadiren 10.x ağları alt ağınızı yiyebilecek kadar büyük olduklarından, otel radarının altına girmenizi sağlayabilir.

pauska
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.