it-swarm.cn

如何避免与VPN内部网络发生网络冲突?

尽管在192.168/16甚至10/8上有各种各样的私有非路由网络,但有时会考虑潜在的冲突,但它仍然会发生。例如,我使用内部VPN网络在192.168.27上设置了一次安装OpenVPN。一切都很好,还不错,直到一家酒店在其wifi的27层使用该子网。

我将VPN网络重新IP到172.16网络,因为旅馆和网吧似乎几乎没有使用它。但这是解决问题的合适方法吗?

当我提到OpenVPN时,我很乐意听到在其他VPN部署中对此问题的想法,包括普通的IPSEC。

41
jtimberman

我们与合作伙伴和客户有几种IPSec VPN,有时会与其网络发生IP冲突。在我们的案例中,解决方案是通过VPN进行源-NAT目的地-NAT。我们正在使用Juniper Netscreen和SSG产品,但是我认为这可以由大多数高端IPSec VPN设备处理。

14
Doug Luxem

我认为无论您使用什么,都将面临冲突的风险。我会说很少有网络使用172.16以下的范围,但是我没有证据支持这一点。只是那种没有人记得的直觉。您可以使用公共IP地址,但这有点浪费,您可能没有足够的余地。

另一种选择是将IPv6用于您的VPN。这将需要为要访问的每个主机设置IPv6,但是您肯定会使用一个唯一的范围,尤其是当您为组织分配了/ 48时。

15
David Pashley

不幸的是,确保您的地址不会与其他地址重叠的唯一方法是购买一块可路由的公共IP地址空间。

话虽如此,您可以尝试查找RFC 1918地址空间中不那么受欢迎的部分。例如,192.168.x地址空间通常用于住宅和小型企业网络,这可能是因为它是许多低端网络设备上的默认地址。我猜想,至少有90%的时间在使用192.168.x地址空间的人们在C类大小的块中使用它,并且通常在192.168.0.x上开始其子网寻址。您可能lot不太可能找到使用192.168.255.x的用户,因此这可能是一个不错的选择。

10.x.x.x空间也很常用,我见过的大多数大型企业内部网络都是10.x空间。但是我很少看到有人使用172.16-31.x空间。我愿意打赌,您很少会发现有人已经使用了172.31.255.x。

最后,如果您要使用非RFC1918空间,则至少尝试找到不属于其他人并且将来不太可能分配给公共用途的空间。在etherealmind.com上有一篇有趣的文章 这里 ,作者正在谈论使用为基准测试保留的RFC 3330 192.18.x地址空间。对于您的VPN示例,这可能是可行的,除非您的一个VPN用户当然为一家制造或基准网络设备的公司工作。 :-)

8
Bob McCormick
  1. 使用不太常见的子网(例如192.168.254.0/24)而不是192.168.1.0/24。家庭用户通常使用192.168.x.x块,企业用户通常使用10.x.x.x,因此您可以使用172.16.0.0/12,而几乎没有问题。

  2. 使用较小的IP块;例如,如果您有10个VPN用户,则使用14个IP地址的池;/28。如果有两个到同一子网的路由,则路由器将首先使用最特定的路由。最具体=最小的子网。

  3. 使用点对点链接,使用/ 30或/ 31块,因此该VPN连接上只有两个节点,并且不涉及路由。每个VPN连接都需要一个单独的块。我使用Astaro的openVPN版本,这就是我从其他位置连接回我的家庭网络的方式。

至于其他VPN部署,IPsec可以在站点到站点的基础上很好地工作,但是要配置一个运行中的Windows笔记本电脑就很麻烦。 PPTP最容易配置,但很少在NAT连接之后)工作,并且被认为是最不安全的。

3
David Oresky

公共类C的第三个八位字节是.67,因此我们在内部使用了它,即192.168.67.x

设置DMZ时,我们使用192.168.68.x

当我们需要另一个地址块时,我们使用.69。

如果我们需要更多的东西(我们接近两次),我们将重新编号并使用10。这样我们就可以为公司的每个部门提供很多网络。

3

使用10.254.231.x/24之类的东西或类似的东西也可能使您不知所措,因为它们很少有足够大的10.x网络占用您的子网。

1
pauska