sviluppo-web-qa.it

Come evitare conflitti di rete con le reti interne VPN?

Sebbene ci sia una grande varietà di reti private non instradabili su 192.168/16 o addirittura 10/8, a volte in considerazione di potenziali conflitti, si verifica ancora. Ad esempio, ho configurato un'installazione OpenVPN una volta con la rete VPN interna su 192.168.27. Tutto è andato bene e dandy fino a quando un hotel non ha usato quella sottorete per il piano 27 sul proprio wifi.

Ho reindirizzato la rete VPN su una rete 172.16, dal momento che sembra essere quasi inutilizzata da hotel e internet café. Ma è una soluzione adeguata al problema?

Mentre menziono OpenVPN, mi piacerebbe sentire le riflessioni su questo problema su altre distribuzioni VPN, incluso il semplice vecchio IPSEC.

41
jtimberman

Abbiamo diverse VPN IPSec con i nostri partner e clienti e occasionalmente incontriamo conflitti IP con la loro rete. La soluzione nel nostro caso è fare source-NAT o destination-NAT tramite la VPN. Stiamo utilizzando Juniper Netscreen e prodotti SSG, ma suppongo che questo possa essere gestito dalla maggior parte dei dispositivi VPN IPSec di fascia più alta.

14
Doug Luxem

Penso che qualunque cosa tu usi, rischierai un conflitto. Direi che pochissime reti usano intervalli inferiori a 172.16, ma non ho prove a sostegno di ciò; solo la sensazione che nessuno possa ricordarlo. Potresti usare indirizzi IP pubblici, ma è un po 'uno spreco e potresti non avere abbastanza da risparmiare.

Un'alternativa potrebbe essere quella di utilizzare IPv6 per la tua VPN. Ciò richiederebbe la configurazione di IPv6 per ogni host a cui desideri accedere, ma sicuramente utilizzeresti un intervallo univoco, soprattutto se ti assegnassi un/48 assegnato alla tua organizzazione.

15
David Pashley

Sfortunatamente, l'unico modo per garantire che il tuo indirizzo non si sovrapponga a qualcos'altro è acquistare un blocco di spazio di indirizzi IP pubblico instradabile.

Detto questo, potresti provare a trovare parti dello spazio degli indirizzi RFC 1918 meno popolari. Ad esempio, lo spazio degli indirizzi 192.168.x viene comunemente utilizzato nelle reti residenziali e di piccole imprese, probabilmente perché è l'impostazione predefinita su così tanti dispositivi di rete di fascia bassa. Immagino però che almeno il 90% delle volte che le persone che utilizzano lo spazio degli indirizzi 192.168.x lo utilizzino in blocchi di classe C e di solito stanno iniziando il loro indirizzamento della subnet a 192.168.0.x. Probabilmente hai lotto meno probabilità di trovare persone che usano 192.168.255.x, quindi potrebbe essere una buona scelta.

Lo spazio 10.x.x.x è anche comunemente usato, la maggior parte delle reti interne aziendali di grandi dimensioni che ho visto sono 10.x spazio. Ma raramente ho visto persone che usano lo spazio 172.16-31.x. Sarei disposto a scommettere che raramente troverai qualcuno che sta già usando 172.31.255.x per esempio.

E infine, se si intende utilizzare uno spazio non RFC1918, almeno provare a trovare spazio che non appartiene a qualcun altro e che probabilmente non verrà allocato per uso pubblico in futuro. C'è un articolo interessante qui su etherealmind.com in cui l'autore sta parlando dell'uso dell'indirizzo RFC 3330 192.18.x riservato ai test di benchmark. Sarebbe probabilmente fattibile per il tuo esempio di VPN, a meno che, ovviamente, uno dei tuoi utenti VPN non lavori per un'azienda che produce o confronta apparecchiature di rete. :-)

8
Bob McCormick
  1. utilizzare sottoreti meno comuni come 192.168.254.0/24 anziché 192.168.1.0/24. Gli utenti domestici utilizzano in genere i blocchi 192.168.x.x e le aziende utilizzano 10.x.x.x in modo da poter utilizzare 172.16.0.0/12 con pochissimi problemi.

  2. utilizzare blocchi IP più piccoli; per esempio se hai 10 utenti VPN, usa un pool di 14 indirizzi IP; a/28. Se esistono due route verso la stessa sottorete, un router utilizzerà prima la route più specifica. Più specifico = sottorete più piccola.

  3. Utilizzare i collegamenti punto a punto, utilizzando un blocco/30 o/31 in modo che vi siano solo due nodi su quella connessione VPN e non vi sia alcun routing. Ciò richiede un blocco separato per ogni connessione VPN. Uso la versione Astaro di openVPN ed è così che mi ricollego alla mia rete domestica da altre posizioni.

Per quanto riguarda le altre distribuzioni VPN, IPsec funziona bene da un sito all'altro, ma è difficile configurare, ad esempio, un laptop Windows in viaggio. PPTP è il più semplice da configurare, ma raramente funziona dietro una connessione NAT ed è considerato il meno sicuro.

3
David Oresky

Il terzo ottetto della nostra classe pubblica C era .67, quindi l'abbiamo usato all'interno, cioè 192.168.67.x

Quando abbiamo impostato la nostra DMZ, abbiamo usato 192.168.68.x

Quando abbiamo bisogno di un altro blocco di indirizzi abbiamo usato .69.

Se avessimo avuto bisogno di più (e ci fossimo avvicinati un paio di volte) avremmo rinumerato e usato 10. per poter dare a ogni divisione dell'azienda molte reti.

L'uso di qualcosa come 10.254.231.x/24 o simili potrebbe anche farti scivolare sotto il radar dell'hotel, poiché raramente hanno reti 10x abbastanza grandi da poter mangiare la tua sottorete.

1
pauska