คุณจะหลีกเลี่ยงความขัดแย้งของเครือข่ายกับเครือข่ายภายใน VPN ได้อย่างไร

แม้ว่าจะมีเครือข่ายส่วนตัวที่ไม่สามารถกำหนดเส้นทางได้หลากหลายใน 192.168 / 16 หรือแม้แต่ 10/8 แต่บางครั้งก็มีความขัดแย้งที่อาจเกิดขึ้นได้ ตัวอย่างเช่นฉันตั้งค่าการติดตั้ง OpenVPN หนึ่งครั้งด้วยเครือข่าย VPN ภายในวันที่ 192.168.27 นี่เป็นสิ่งที่ดีและน่าสนใจจนกระทั่งโรงแรมใช้เครือข่ายย่อยนั้นสำหรับชั้น 27 บน wifi ของพวกเขา

ฉันใช้ IP เครือข่าย VPN เป็นเครือข่าย 172.16 อีกครั้งเนื่องจากดูเหมือนว่าจะเป็นทั้งหมด แต่ไม่ได้ใช้โดยโรงแรมและร้านอินเทอร์เน็ตคาเฟ่ แต่นั่นเป็นวิธีแก้ไขปัญหาที่เหมาะสมหรือไม่?

ในขณะที่ฉันพูดถึง OpenVPN ฉันชอบที่จะได้ยินความคิดเกี่ยวกับปัญหานี้ในการปรับใช้ VPN อื่น ๆ รวมถึง IPSEC ธรรมดา ol

เรามี IPSec VPN หลายตัวกับคู่ค้าและลูกค้าของเราและบางครั้งก็พบเจอข้อขัดแย้งด้าน IP กับเครือข่ายของพวกเขา วิธีแก้ปัญหาในกรณีของเราคือการทำแหล่งข้อมูล NATหรือปลายทาง NATผ่าน VPN เราใช้ผลิตภัณฑ์ Juniper Netscreen และ SSG แต่ฉันคิดว่าสิ่งนี้สามารถจัดการได้โดยอุปกรณ์ IPSec VPN ระดับสูงที่สุด

ฉันคิดว่าสิ่งที่คุณเคยใช้คุณจะเสี่ยงต่อความขัดแย้ง ฉันจะบอกว่าเครือข่ายน้อยมากที่ใช้ช่วงภายใต้ 172.16 แต่ฉันไม่มีหลักฐานที่จะสำรองที่; แค่ความรู้สึกที่ไม่มีใครจำได้ คุณสามารถใช้ที่อยู่ IP สาธารณะได้ แต่มันค่อนข้างจะเสียเปล่าและคุณอาจมีไม่เพียงพอที่จะสำรองไว้

อีกทางเลือกหนึ่งคือใช้ IPv6 สำหรับ VPN ของคุณ สิ่งนี้จะต้องมีการตั้งค่า IPv6 ให้กับทุก ๆ โฮสต์ที่คุณต้องการเข้าถึง แต่แน่นอนว่าคุณจะใช้ช่วงที่ไม่ซ้ำกันโดยเฉพาะอย่างยิ่งถ้าคุณได้รับ / 48 จัดสรรให้กับองค์กรของคุณ

น่าเสียดายที่วิธีเดียวที่จะรับประกันที่อยู่ของคุณจะไม่ทับซ้อนกับสิ่งอื่นคือการซื้อบล็อกของที่อยู่ IP สาธารณะที่กำหนดเส้นทางได้

ต้องบอกว่าคุณสามารถลองค้นหาบางส่วนของพื้นที่ที่อยู่ RFC 1918 ที่ได้รับความนิยมน้อยกว่า ตัวอย่างเช่นพื้นที่ที่อยู่ 192.168.x มักใช้ในเครือข่ายที่อยู่อาศัยและธุรกิจขนาดเล็กอาจเป็นเพราะเป็นค่าเริ่มต้นสำหรับอุปกรณ์เครือข่ายระดับต่ำสุดมากมาย ฉันเดาว่าอย่างน้อย 90% ของเวลาที่ผู้ใช้พื้นที่แอดเดรส 192.168.x ใช้ในบล็อกขนาดคลาส C และมักจะเริ่มเครือข่ายย่อยของพวกเขาที่ 192.168.0.x คุณมีโอกาสน้อยมากที่จะพบผู้คนที่ใช้ 192.168.255.x ดังนั้นอาจเป็นตัวเลือกที่ดี

พื้นที่ 10.xxx นั้นใช้กันทั่วไปเครือข่ายภายในองค์กรขนาดใหญ่ส่วนใหญ่ที่ฉันเคยเห็นคือพื้นที่ 10.x แต่ฉันไม่ค่อยเห็นคนใช้พื้นที่ 172.16-31.x ฉันยินดีที่จะเดิมพันว่าคุณไม่ค่อยพบคนที่ใช้ 172.31.255.x อยู่แล้ว

และสุดท้ายหากคุณจะใช้พื้นที่ที่ไม่ใช่ RFC1918 อย่างน้อยพยายามหาพื้นที่ที่ไม่ได้เป็นของคนอื่นและไม่น่าจะถูกจัดสรรเพื่อการใช้สาธารณะในอนาคต มีบทความที่น่าสนใจที่นี่ที่ etherealmind.com ซึ่งผู้เขียนกำลังพูดถึงการใช้พื้นที่ที่อยู่ RFC 3330 192.18.x ที่สงวนไว้สำหรับการทดสอบเกณฑ์มาตรฐาน นั่นอาจเป็นไปได้สำหรับตัวอย่าง VPN ของคุณเว้นแต่ผู้ใช้ VPN รายใดรายหนึ่งของ บริษัท จะทำงานให้กับ บริษัท ในเครือข่ายของผู้ผลิตหรือผู้กำหนดมาตรฐาน :-)

กลุ่มที่สามของคลาสสาธารณะของเราคือ. 67 ดังนั้นเราจึงใช้มันข้างในนั่นคือ 192.168.67.x

เมื่อเราตั้งค่า DMZ ของเราเราใช้ 192.168.68.x

เมื่อเราต้องการที่อยู่บล็อกอื่นเราใช้. 69

ถ้าเราต้องการมากกว่านี้ (และเราเข้ามาใกล้กันสองสามครั้ง) เราจะจัดลำดับใหม่และใช้ 10. เพื่อให้เราสามารถให้ทุกแผนกในเครือข่ายของ บริษัท จำนวนมาก

1. ใช้เครือข่ายย่อยทั่วไปที่น้อยกว่าเช่น 192.168.254.0/24 แทน 192.168.1.0/24 ผู้ใช้ตามบ้านมักใช้ 192.168.xx บล็อกและธุรกิจใช้ 10.xxx เพื่อให้คุณสามารถใช้ 172.16.0.0/12 ที่มีปัญหาน้อยมาก

2. ใช้บล็อก ip ที่เล็กลง เช่นหากคุณมีผู้ใช้ VPN 10 คนให้ใช้พูลที่อยู่ 14 แห่ง a / 28 หากมีสองเส้นทางไปยังซับเน็ตเดียวกันเราเตอร์จะใช้เส้นทางเฉพาะที่สุดก่อน ส่วนใหญ่เฉพาะ subnet ที่เล็กที่สุด =

3. ใช้การเชื่อมโยงแบบจุดต่อจุดโดยใช้บล็อก / 30 หรือ / 31 เพื่อให้มีเพียงสองโหนดในการเชื่อมต่อ VPN นั้นและไม่มีการกำหนดเส้นทางที่เกี่ยวข้อง สิ่งนี้ต้องใช้บล็อกแยกต่างหากสำหรับการเชื่อมต่อ VPN แต่ละครั้ง ฉันใช้ openVPN เวอร์ชันของ Astaro และนี่คือวิธีที่ฉันเชื่อมต่อกลับไปยังเครือข่ายภายในบ้านของฉันจากที่อื่น

เท่าที่การใช้งาน VPN อื่น ๆ IPsec ทำงานได้ดีบนไซต์หนึ่งไปยังอีกไซต์หนึ่ง PPTP เป็นวิธีที่ง่ายที่สุดในการกำหนดค่า แต่ไม่ค่อยได้ผลหลังการเชื่อมต่อ NAT และถือว่าปลอดภัยน้อยที่สุด

การใช้บางอย่างเช่น 10.254.231.x / 24 หรือคล้ายกันอาจทำให้คุณลื่นภายใต้เรดาร์ของโรงแรมเนื่องจากไม่ค่อยมีเครือข่าย 10.x ที่ใหญ่พอที่จะกินซับเน็ตของคุณ