Bagaimana Anda menghindari konflik jaringan dengan jaringan internal VPN?


39

Meskipun ada berbagai jaringan pribadi non-routable di 192.168 / 16 atau bahkan 10/8, kadang-kadang dengan mempertimbangkan potensi konflik, masih terjadi. Sebagai contoh, saya mengatur instalasi OpenVPN sekali dengan jaringan VPN internal pada 192.168.27. Ini semua bagus dan keren sampai hotel menggunakan subnet untuk lantai 27 di wifi mereka.

Saya re-IP jaringan VPN ke jaringan 172.16, karena itu tampaknya tidak digunakan oleh hotel dan kafe internet. Tetapi apakah itu solusi yang tepat untuk masalah tersebut?

Sementara saya menyebutkan OpenVPN, saya ingin mendengar pemikiran tentang masalah ini pada penyebaran VPN lainnya, termasuk IPSEC biasa.


3
Jika Anda ingin menghindari subnet yang tidak mungkin digunakan oleh hotel yang mendasarkan skema penomoran mereka di lantai, coba gunakan xx13 - banyak hotel akan melewati Lantai 13 karena takhayul!
Mark Henderson

Poin bagus! Meskipun itu mungkin tidak berfungsi untuk kafe internet, yang mungkin lebih umum.
jtimberman

Saya menggunakan pendekatan alternatif untuk masalah ini dengan mengubah rute. Tautan ini menjelaskan cara VPN ke jangkauan jaringan yang sama.

Jawaban:


14

Kami memiliki beberapa IPSec VPN dengan mitra dan pelanggan kami dan kadang-kadang mengalami konflik IP dengan jaringan mereka. Solusi dalam kasus kami adalah dengan melakukan source-NAT atau destination-NAT melalui VPN. Kami menggunakan Juniper Netscreen dan produk SSG, tetapi saya berasumsi ini dapat ditangani oleh sebagian besar perangkat VPN IPSec kelas atas.


3
Howto 'nat kotor' yang saya temukan sejalan dengan ini, dan tampaknya menjadi 'bekerja terbaik' meskipun mungkin solusi 'paling rumit'. nimlabs.org/~nim/dirtynat.html
jtimberman

15

Saya pikir apa pun yang Anda gunakan, Anda akan berisiko konflik. Saya akan mengatakan bahwa sangat sedikit jaringan yang menggunakan rentang di bawah 172.16, tetapi saya tidak punya bukti untuk mendukungnya; hanya firasat bahwa tidak ada yang bisa mengingatnya. Anda bisa menggunakan alamat IP publik, tapi itu sedikit sia-sia dan Anda mungkin tidak punya cukup cadangan.

Alternatifnya bisa menggunakan IPv6 untuk VPN Anda. Ini membutuhkan pengaturan IPv6 ke setiap host yang ingin Anda akses, tetapi Anda pasti akan menggunakan rentang yang unik, terutama jika Anda mendapatkan / 48 alokasi untuk organisasi Anda.


2
Memang, dari apa yang saya lihat: 192.168.0. * Dan 192.168.1. * Ada di mana-mana, 192.168. * Adalah umum, 10. * kurang umum, dan 172. * jarang. Tentu saja, ini hanya mengurangi kemungkinan tabrakan, tetapi menggunakan ruang alamat yang langka, probabilitas turun hampir ke nol.
Piskvor

8

Sayangnya, satu-satunya cara untuk menjamin alamat Anda tidak akan tumpang tindih dengan hal lain adalah dengan membeli blok ruang alamat IP publik yang dapat dirutekan.

Setelah mengatakan bahwa Anda dapat mencoba menemukan bagian dari ruang alamat RFC 1918 yang kurang populer. Misalnya, ruang alamat 192.168.x umumnya digunakan di jaringan perumahan dan bisnis kecil, mungkin karena ini adalah default pada banyak perangkat jaringan low-end. Saya rasa meskipun setidaknya 90% dari waktu orang menggunakan ruang alamat 192.168.x menggunakannya di blok ukuran kelas C dan biasanya memulai pengalamatan subnet mereka di 192.168.0.x. Anda mungkin jauh lebih sedikit menemukan orang yang menggunakan 192.168.255.x, jadi itu mungkin pilihan yang baik.

Ruang 10.xxx juga biasa digunakan, sebagian besar jaringan internal perusahaan besar yang pernah saya lihat adalah ruang 10.x. Tapi saya jarang melihat orang menggunakan ruang 172.16-31.x. Saya berani bertaruh Anda akan sangat jarang menemukan seseorang yang sudah menggunakan 172.31.255.x misalnya.

Dan akhirnya, jika Anda akan menggunakan ruang non-RFC1918, setidaknya cobalah untuk menemukan ruang yang bukan milik orang lain dan tidak mungkin dialokasikan untuk penggunaan publik kapan saja di masa depan. Ada sebuah artikel menarik di sini di etherealmind.com di mana penulis berbicara tentang menggunakan ruang alamat RFC 3330 192.18.x yang dicadangkan untuk tes benchmark. Itu mungkin bisa diterapkan untuk contoh VPN Anda, kecuali tentu saja salah satu pengguna VPN Anda bekerja untuk perusahaan yang membuat atau membuat tolok ukur peralatan jaringan. :-)


3

Oktet ketiga dari kelas C publik kami adalah 0,67, jadi kami menggunakan itu di dalam, yaitu 192.168.67.x

Ketika kami menyiapkan DMZ kami, kami menggunakan 192.168.68.x

Ketika kami membutuhkan blok alamat lain yang kami gunakan .69.

Jika kami membutuhkan lebih banyak (dan kami mendekati beberapa kali) kami akan memberi nomor baru dan menggunakan 10. sehingga kami dapat memberikan setiap divisi di perusahaan banyak jaringan.


3
  1. gunakan subnet yang kurang umum seperti 192.168.254.0/24 sebagai ganti 192.168.1.0/24. Pengguna rumahan biasanya menggunakan blok 192.168.xx dan bisnis menggunakan 10.xxx sehingga Anda dapat menggunakan 172.16.0.0/12 dengan sedikit masalah.

  2. gunakan blok ip yang lebih kecil; misalnya jika Anda memiliki 10 pengguna VPN, gunakan kumpulan 14 alamat ip; a / 28. Jika ada dua rute ke subnet yang sama, router akan menggunakan rute yang paling spesifik terlebih dahulu. Paling spesifik = subnet terkecil.

  3. Gunakan tautan titik ke titik, menggunakan blok / 30 atau / 31 sehingga hanya ada dua node pada koneksi VPN itu dan tidak ada routing yang terlibat. Ini membutuhkan blok terpisah untuk setiap koneksi VPN. Saya menggunakan OpenVPN versi Astaro dan ini adalah bagaimana saya terhubung kembali ke jaringan rumah saya dari lokasi lain.

Sejauh penyebaran VPN lainnya, IPsec bekerja dengan baik pada basis situs ke situs, tetapi sulit untuk mengkonfigurasi, katakanlah, laptop windows bepergian. PPTP adalah yang paling mudah untuk dikonfigurasi tetapi jarang bekerja di belakang koneksi NAT dan dianggap paling tidak aman.


1

Menggunakan sesuatu seperti 10.254.231.x / 24 atau serupa juga bisa membuat Anda tergelincir di bawah radar hotel, karena mereka jarang memiliki jaringan 10.x yang cukup besar untuk memakan subnet Anda.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.