Linux

Как избежать сетевых конфликтов с внутренними сетями VPN?

Хотя существует большое разнообразие частных немаршрутизируемых сетей на 192.168/16 или даже 10/8, иногда при внимательном отношении к потенциальному конфликту они все же возникают. Например, однажды я установил OpenVPN с внутренней сетью VPN на 192.168.27. Но является ли это подходящим решением проблемы? Хотя я упоминаю OpenVPN, я бы хотел услышать мнение об этой проблеме в других развертываниях VPN, включая обычный IPSEC.

Ответ 1

Я думаю, что при любом использовании вы рискуете столкнуться с конфликтом. Я бы сказал, что очень немногие сети используют диапазоны ниже 172.16, но у меня нет доказательств, подтверждающих это; просто интуиция подсказывает, что никто не понимает этого. Вы можете использовать общедоступные IP-адреса, но это немного расточительно, и у вас может не хватить свободного времени.

Альтернативой может быть использование IPv6 для вашей VPN. Это потребует настройки IPv6 на каждом узле, к которому вы хотите получить доступ, но вы определенно будете использовать уникальный диапазон, особенно если вы получите 48 бит, выделенный для вашей организации.

Ответ 2

К сожалению, единственный способ гарантировать, что ваш адрес не будет пересекаться с каким-либо другим, это приобрести блок маршрутизируемого публичного IP-адресного пространства. После этого можно попробовать найти менее популярные части адресного пространства RFC 1918. Например, адресное пространство 192.168.x часто используется в жилых и малых бизнес-сетях, возможно, потому, что оно используется по умолчанию на многих сетевых устройствах низкого класса. Я бы предположил, что по крайней мере в 90% случаев люди, использующие адресное пространство 192.168.x, используют его в сетях класса C и обычно начинают адресацию подсетей с 192.168.0.x. Вероятно, вы гораздо реже встретите людей, использующих 192.168.255.x, поэтому это может быть хорошим выбором.

Пространство 10.x.x.x также широко используется, большинство внутренних сетей крупных предприятий, которые я видел, имеют пространство 10.x. Но я редко видел людей, использующих пространство 172.16-31.x. Я готов поспорить, что вы очень редко найдете кого-то, кто уже использует, например, 172.31.255.x.

И, наконец, если вы собираетесь использовать место, не принадлежащее RFC1918, по крайней мере, постарайтесь найти место, которое не принадлежит кому-то другому и вряд ли будет выделено для публичного использования в будущем. На сайте etherealmind.com есть интересная статья, где автор говорит об использовании адресного пространства RFC 3330 192.18.x, зарезервированного для эталонных тестов. 

Ответ 3

  1. Используйте менее распространенные подсети, например, 192.168.254.0/24 вместо 192.168.1.0/24. Домашние пользователи обычно используют блоки 192.168.x.x, а предприятия 10.x.x.x, поэтому вы можете использовать 172.16.0.0/12 без особых проблем.

  2. Используйте меньшие блоки ip-адресов; например, если у вас 10 пользователей VPN, используйте пул из 14 ip-адресов; /28. Если есть два варианта к одной и той же подсети, маршрутизатор будет использовать сначала наиболее специфичный вариант. Наиболее специфичный = наименьшая подсеть.

  3. Используйте соединения «точка-точка»с блоком /30 или /31, чтобы в этом VPN-соединении было только два узла и не было маршрутизации. Это требует отдельного блока для каждого VPN соединения. Я использую версию openVPN от Astaro, и именно так я подключаюсь к своей домашней сети из других мест.

Что касается других развертываний VPN, IPsec хорошо работает на разных сайтах, но его очень сложно настроить, скажем, на ноутбуке с windows. PPTP проще всего настроить, но он редко работает на NAT-соединении и считается наименее безопасным.

 

Схожие статьи

Linux

Gentoo GNU/Linux — установка и настройка. Пошаговая инструкция

Linux

OpenSuse: установка программ, правильная настройка после установки

Linux

Запуск jmap, получение которого невозможно без открытия файла сокета

Что такое сетевой сканер Ubuntu, как его правильно настроить
Linux

Что такое сетевой сканер Ubuntu, как его правильно настроить