it-swarm.com.de

Wie vermeiden Sie Netzwerkkonflikte mit internen VPN-Netzwerken?

Obwohl es eine Vielzahl von privaten, nicht routbaren Netzwerken in 192.168/16 oder sogar 10/8 gibt, tritt dies manchmal immer noch auf, wenn man über mögliche Konflikte nachdenkt. Zum Beispiel habe ich einmal eine Installation OpenVPN mit dem internen VPN-Netzwerk auf 192.168.27 eingerichtet. Dies war alles in Ordnung und gut, bis ein Hotel dieses Subnetz für Etage 27 über WLAN nutzte.

Ich habe das VPN-Netzwerk erneut auf ein 172.16-Netzwerk umgestellt, da dies von Hotels und Internetcafés so gut wie nicht genutzt wird. Aber ist das eine angemessene Lösung für das Problem?

Während ich OpenVPN erwähne, würde ich gerne Gedanken zu diesem Problem bei anderen VPN-Bereitstellungen hören, einschließlich der einfachen alten IPSEC.

41
jtimberman

Wir haben mehrere IPSec-VPNs mit unseren Partnern und Kunden und stoßen gelegentlich auf IP-Konflikte mit ihrem Netzwerk. In unserem Fall besteht die Lösung darin, entweder Quell-NAT oder Ziel-NAT über das VPN auszuführen. Wir verwenden Juniper Netscreen- und SSG-Produkte, aber ich gehe davon aus, dass dies von den meisten High-End-IPSec-VPN-Geräten verarbeitet werden kann.

14
Doug Luxem

Ich denke, was auch immer Sie verwenden, Sie werden einen Konflikt riskieren. Ich würde sagen, dass nur sehr wenige Netzwerke Bereiche unter 172,16 verwenden, aber ich habe keine Beweise, um dies zu belegen. nur das Bauchgefühl, dass sich niemand daran erinnern kann. Sie könnten öffentliche IP-Adressen verwenden, aber das ist eine Verschwendung und Sie haben möglicherweise nicht genug übrig.

Eine Alternative könnte darin bestehen, IPv6 für Ihr VPN zu verwenden. Dies würde das Einrichten von IPv6 für jeden Host erfordern, auf den Sie zugreifen möchten, aber Sie würden definitiv einen eindeutigen Bereich verwenden, insbesondere wenn Sie sich eine/48 zuweisen lassen, die Ihrer Organisation zugewiesen ist.

15
David Pashley

Leider besteht die einzige Möglichkeit, sicherzustellen, dass sich Ihre Adresse nicht mit etwas anderem überschneidet, darin, einen Block routbaren öffentlichen IP-Adressraums zu erwerben.

Sie können jedoch versuchen, Teile des RFC 1918-Adressraums zu finden, die weniger beliebt sind. Beispielsweise wird der Adressraum 192.168.x häufig in Netzwerken für Privathaushalte und kleine Unternehmen verwendet, möglicherweise weil er bei so vielen Low-End-Netzwerkgeräten die Standardeinstellung ist. Ich würde jedoch vermuten, dass mindestens 90% der Zeit, in der Personen den Adressraum 192.168.x verwenden, ihn in Blöcken der Klasse C verwenden und ihre Subnetzadressierung normalerweise bei 192.168.0.x beginnen. Es ist wahrscheinlich, dass Sie weniger weniger wahrscheinlich Leute finden, die 192.168.255.x verwenden, daher ist dies möglicherweise eine gute Wahl.

Der 10.x.x.x-Speicherplatz wird ebenfalls häufig verwendet. Die meisten internen Netzwerke großer Unternehmen, die ich gesehen habe, sind 10.x-Speicherplatz. Aber ich habe selten Leute gesehen, die den Raum 172.16-31.x benutzt haben. Ich würde wetten, dass Sie sehr selten jemanden finden würden, der beispielsweise bereits 172.31.255.x verwendet.

Und schließlich, wenn Sie Nicht-RFC1918-Speicherplatz verwenden möchten, versuchen Sie zumindest, Speicherplatz zu finden, der keiner anderen Person gehört und wahrscheinlich in Zukunft nicht mehr für die öffentliche Nutzung zugewiesen wird. Es gibt einen interessanten Artikel hier auf etherealmind.com, in dem der Autor über die Verwendung des Adressraums RFC 3330 192.18.x spricht, der für Benchmark-Tests reserviert ist. Dies wäre wahrscheinlich für Ihr VPN-Beispiel praktikabel, es sei denn, einer Ihrer VPN-Benutzer arbeitet für ein Unternehmen, das Netzwerkgeräte herstellt oder bewertet. :-)

8
Bob McCormick
  1. verwenden Sie weniger gebräuchliche Subnetze wie 192.168.254.0/24 anstelle von 192.168.1.0/24. Heimanwender verwenden normalerweise die Blöcke 192.168.x.x und Unternehmen verwenden 10.x.x.x, sodass Sie den Block 172.16.0.0/12 mit sehr wenigen Problemen verwenden können.

  2. verwenden Sie kleinere IP-Blöcke. Wenn Sie beispielsweise 10 VPN-Benutzer haben, verwenden Sie einen Pool von 14 IP-Adressen. a/28. Wenn es zwei Routen zu demselben Subnetz gibt, verwendet ein Router zuerst die spezifischste Route. Am spezifischsten = kleinstes Subnetz.

  3. Verwenden Sie Punkt-zu-Punkt-Verbindungen mit einem/30- oder/31-Block, sodass sich nur zwei Knoten in dieser VPN-Verbindung befinden und kein Routing erforderlich ist. Dies erfordert einen separaten Block für jede VPN-Verbindung. Ich verwende Astaros Version von openVPN und stelle auf diese Weise von anderen Standorten aus eine Verbindung zu meinem Heimnetzwerk her.

Bei anderen VPN-Bereitstellungen funktioniert IPSec von Standort zu Standort gut, ist jedoch beispielsweise bei einem Windows-Laptop auf Reisen schwierig zu konfigurieren. PPTP ist am einfachsten zu konfigurieren, funktioniert jedoch selten hinter einer NAT -Verbindung und wird als am wenigsten sicher angesehen.

3
David Oresky

Das dritte Oktett unserer öffentlichen Klasse C war .67, also haben wir das im Inneren verwendet, dh 192.168.67.x

Beim Einrichten unserer DMZ haben wir 192.168.68.x verwendet

Als wir einen weiteren Adressblock brauchten, verwendeten wir .69.

Wenn wir mehr gebraucht hätten (und ein paar Mal näher gekommen wären), würden wir 10 neu nummerieren und verwenden, damit wir jeder Abteilung im Unternehmen viele Netzwerke geben könnten.

Wenn Sie so etwas wie 10.254.231.x/24 oder ähnliches verwenden, können Sie auch unter das Radar des Hotels geraten, da dort selten 10.x-Netzwerke vorhanden sind, die groß genug sind, um Ihr Subnetz zu verschlingen.

1
pauska