Linux

Как избежать сетевых конфликтов с внутренними сетями VPN?

Хотя существует большое разнообразие частных немаршрутизируемых сетей на 192.168/16 или даже 10/8, иногда при внимательном отношении к потенциальному конфликту они все же возникают. Например, однажды я установил OpenVPN с внутренней сетью VPN на 192.168.27. Но является ли это подходящим решением проблемы? Хотя я упоминаю OpenVPN, я бы хотел услышать мнение об этой проблеме в других развертываниях VPN, включая обычный IPSEC.

Ответ 1

Я думаю, что при любом использовании вы рискуете столкнуться с конфликтом. Я бы сказал, что очень немногие сети используют диапазоны ниже 172.16, но у меня нет доказательств, подтверждающих это; просто интуиция подсказывает, что никто не понимает этого. Вы можете использовать общедоступные IP-адреса, но это немного расточительно, и у вас может не хватить свободного времени.

Альтернативой может быть использование IPv6 для вашей VPN. Это потребует настройки IPv6 на каждом узле, к которому вы хотите получить доступ, но вы определенно будете использовать уникальный диапазон, особенно если вы получите 48 бит, выделенный для вашей организации.

Ответ 2

К сожалению, единственный способ гарантировать, что ваш адрес не будет пересекаться с каким-либо другим, это приобрести блок маршрутизируемого публичного IP-адресного пространства. После этого можно попробовать найти менее популярные части адресного пространства RFC 1918. Например, адресное пространство 192.168.x часто используется в жилых и малых бизнес-сетях, возможно, потому, что оно используется по умолчанию на многих сетевых устройствах низкого класса. Я бы предположил, что по крайней мере в 90% случаев люди, использующие адресное пространство 192.168.x, используют его в сетях класса C и обычно начинают адресацию подсетей с 192.168.0.x. Вероятно, вы гораздо реже встретите людей, использующих 192.168.255.x, поэтому это может быть хорошим выбором.

Пространство 10.x.x.x также широко используется, большинство внутренних сетей крупных предприятий, которые я видел, имеют пространство 10.x. Но я редко видел людей, использующих пространство 172.16-31.x. Я готов поспорить, что вы очень редко найдете кого-то, кто уже использует, например, 172.31.255.x.

И, наконец, если вы собираетесь использовать место, не принадлежащее RFC1918, по крайней мере, постарайтесь найти место, которое не принадлежит кому-то другому и вряд ли будет выделено для публичного использования в будущем. На сайте etherealmind.com есть интересная статья, где автор говорит об использовании адресного пространства RFC 3330 192.18.x, зарезервированного для эталонных тестов. 

Ответ 3

  1. Используйте менее распространенные подсети, например, 192.168.254.0/24 вместо 192.168.1.0/24. Домашние пользователи обычно используют блоки 192.168.x.x, а предприятия 10.x.x.x, поэтому вы можете использовать 172.16.0.0/12 без особых проблем.

  2. Используйте меньшие блоки ip-адресов; например, если у вас 10 пользователей VPN, используйте пул из 14 ip-адресов; /28. Если есть два варианта к одной и той же подсети, маршрутизатор будет использовать сначала наиболее специфичный вариант. Наиболее специфичный = наименьшая подсеть.

  3. Используйте соединения «точка-точка»с блоком /30 или /31, чтобы в этом VPN-соединении было только два узла и не было маршрутизации. Это требует отдельного блока для каждого VPN соединения. Я использую версию openVPN от Astaro, и именно так я подключаюсь к своей домашней сети из других мест.

Что касается других развертываний VPN, IPsec хорошо работает на разных сайтах, но его очень сложно настроить, скажем, на ноутбуке с windows. PPTP проще всего настроить, но он редко работает на NAT-соединении и считается наименее безопасным.

 

Схожие статьи

Linux

Почему аутентификация по паролю SSH представляет угрозу безопасности?

Linux

Команда df в Linux не показывает правильное свободное пространство после удаления файла

Linux

Как выбрать, какой Apache MPM использовать?

Linux

Недостатки и уязвимости использования LVM