Jak uniknąć konfliktu sieciowego z wewnętrznymi sieciami VPN?

Chociaż istnieje szeroka gama prywatnych, nierutowalnych sieci w 192.168 / 16, a nawet 10/8, czasem biorąc pod uwagę potencjalny konflikt, nadal występuje. Na przykład raz skonfigurowałem instalację OpenVPN z wewnętrzną siecią VPN na 192.168.27. Wszystko było w porządku i eleganckie, dopóki hotel nie używał tej podsieci na 27 piętrze w swoim wifi.

Zmieniłem adres IP sieci VPN na sieć 172,16, ponieważ hotele i kawiarnie internetowe wydają się prawie nieużywane. Ale czy jest to właściwe rozwiązanie problemu?

Wspominając o OpenVPN, chciałbym usłyszeć przemyślenia na temat tego problemu w innych wdrożeniach VPN, w tym w zwykłym IPSEC.

Posiadamy kilka VPN IPSec z naszymi partnerami i klientami i czasami spotykamy się z konfliktami IP z ich siecią. W naszym przypadku rozwiązaniem jest zrobienie źródłowego NAT lub docelowego NAT przez VPN. Używamy produktów Juniper Netscreen i SSG, ale zakładam, że można to obsłużyć w przypadku większości wyższej klasy urządzeń IPSec VPN.

Myślę, że cokolwiek użyjesz, ryzykujesz konfliktem. Powiedziałbym, że bardzo niewiele sieci korzysta z zakresów poniżej 172,16, ale nie mam dowodów na poparcie tego; tylko przeczucie, że nikt tego nie pamięta. Możesz użyć publicznych adresów IP, ale to trochę marnotrawstwo i możesz nie mieć ich dość.

Alternatywą może być użycie IPv6 do VPN. Wymagałoby to skonfigurowania protokołu IPv6 dla każdego hosta, do którego chcesz uzyskać dostęp, ale na pewno używałbyś unikalnego zakresu, szczególnie jeśli uzyskasz / 48 przydzielony twojej organizacji.

Niestety jedynym sposobem zagwarantowania, że ​​Twój adres nie będzie się pokrywał z czymś innym, jest zakup bloku dostępnej publicznej przestrzeni adresów IP.

Powiedziawszy, że możesz spróbować znaleźć części przestrzeni adresowej RFC 1918, które są mniej popularne. Na przykład przestrzeń adresowa 192.168.x jest powszechnie używana w sieciach domowych i małych firmach, być może dlatego, że jest ona domyślna w wielu urządzeniach sieciowych klasy niskiej. Sądzę jednak, że co najmniej 90% czasu ludzie używający przestrzeni adresowej 192.168.x używają jej w blokach wielkości C i zwykle zaczynają adresowanie podsieci od 192.168.0.x. Prawdopodobnie znacznie rzadziej znajdziesz osoby korzystające z 192.168.255.x, więc może to być dobry wybór.

Przestrzeń 10.xxx jest również powszechnie używana, większość wewnętrznych sieci dużych przedsiębiorstw, które widziałem, to przestrzeń 10.x. Ale rzadko widuję ludzi korzystających z przestrzeni 172.16-31.x. Byłbym skłonny założyć się, że bardzo rzadko można na przykład znaleźć kogoś, kto już używa 172.31.255.x.

I wreszcie, jeśli zamierzasz korzystać z przestrzeni spoza RFC1918, przynajmniej spróbuj znaleźć przestrzeń, która nie należy do kogoś innego i prawdopodobnie nie zostanie przeznaczona do publicznego użytku w przyszłości. Na etherealmind.com znajduje się interesujący artykuł , w którym autor mówi o wykorzystaniu przestrzeni adresowej RFC 3330 192.18.x, która jest zarezerwowana do testów porównawczych. Prawdopodobnie byłoby to wykonalne na przykładzie VPN, chyba że jeden z użytkowników VPN pracuje dla firmy, która produkuje lub porównuje urządzenia sieciowe. :-)

Trzecim oktetem naszej publicznej klasy C było 0,67, więc użyliśmy tego w środku, tj. 192.168.67.x

Podczas konfigurowania naszej strefy DMZ korzystaliśmy z 192.168.68.x.

Kiedy potrzebowaliśmy kolejnego bloku adresów, użyliśmy .69.

Gdybyśmy potrzebowali więcej (i zbliżyliśmy się kilka razy), zmienilibyśmy numerację i użyliśmy 10., abyśmy mogli dać każdemu oddziałowi w firmie wiele sieci.

1. używaj mniej popularnych podsieci, takich jak 192.168.254.0/24 zamiast 192.168.1.0/24. Użytkownicy domowi zwykle używają bloków 192.168.xx, a firmy używają wersji 10.xxx, dzięki czemu można używać 172.16.0.0/12 z bardzo niewielkimi problemami.

2. używaj mniejszych bloków ip; na przykład, jeśli masz 10 użytkowników VPN, użyj puli 14 adresów IP; a / 28. Jeśli istnieją dwie trasy do tej samej podsieci, router najpierw użyje najbardziej określonej trasy. Najbardziej szczegółowy = najmniejsza podsieć.

3. Użyj łączy punkt-punkt, używając bloku / 30 lub / 31, aby na tym połączeniu VPN były tylko dwa węzły i nie wymagało to routingu. Wymaga to osobnego bloku dla każdego połączenia VPN. Używam wersji openVPN Astaro i w ten sposób łączę się z siecią domową z innych lokalizacji.

Jeśli chodzi o inne wdrożenia VPN, IPsec działa dobrze w poszczególnych lokalizacjach, ale konfiguracja może być na przykład podróżnym laptopem z systemem Windows. PPTP jest najłatwiejszy do skonfigurowania, ale rzadko działa za połączeniem NAT i jest uważany za najmniej bezpieczny.

Korzystanie z czegoś takiego jak 10.254.231.x / 24 lub podobnego może również sprawić, że poślizgniesz się pod hotelowym radarem, ponieważ rzadko mają sieci 10.x wystarczająco duże, aby zjeść podsieć.