Wie vermeidet man Netzwerkkonflikte mit VPN-internen Netzwerken?

39

Zwar gibt es eine Vielzahl von privaten, nicht routingfähigen Netzwerken in 192.168 / 16 oder sogar 10/8, doch manchmal tritt dies immer noch auf, wenn man über mögliche Konflikte nachdenkt. Zum Beispiel habe ich einmal eine OpenVPN-Installation mit dem internen VPN-Netzwerk auf 192.168.27 eingerichtet. Das war alles in Ordnung und in Ordnung, bis ein Hotel dieses Subnetz für die 27. Etage seines WLANs nutzte.

Ich habe das VPN-Netzwerk auf ein 172.16-Netzwerk umgestellt, da dies von Hotels und Internetcafés so gut wie nicht genutzt wird. Aber ist das eine angemessene Lösung für das Problem?

Während ich OpenVPN erwähne, würde ich gerne Gedanken über dieses Problem bei anderen VPN-Bereitstellungen hören, einschließlich der einfachen alten IPSEC.

jtimberman
quelle
3
Wenn Sie ein Subnetz vermeiden möchten, das wahrscheinlich nicht von Hotels verwendet wird, deren Nummerierungsschema auf Etagen basiert, versuchen Sie xx13 - viele Hotels überspringen Etage 13 wegen Aberglaubens!
Mark Henderson
Guter Punkt! Dies funktioniert jedoch möglicherweise nicht für Internetcafés, was wahrscheinlich häufiger vorkommt.
jtimberman
Ich benutze eine alternative Herangehensweise an das Problem, indem ich die Routen ändere. Über diesen Link erfahren Sie, wie Sie ein VPN in den gleichen Netzwerkbereich einrichten.

Antworten:

14

Wir haben mehrere IPSec-VPNs mit unseren Partnern und Kunden und stoßen gelegentlich auf IP-Konflikte mit ihrem Netzwerk. In unserem Fall besteht die Lösung darin, entweder Quell-NAT oder Ziel-NAT über das VPN auszuführen. Wir verwenden Juniper Netscreen- und SSG-Produkte, aber ich gehe davon aus, dass dies von den meisten High-End-IPSec-VPN-Geräten verarbeitet werden kann.

Doug Luxem
quelle
3
Das von mir gefundene "dirty nat" -Howto passt dazu und scheint die "am besten funktionierende", aber wahrscheinlich "komplizierteste" Lösung zu sein. nimlabs.org/~nim/dirtynat.html
jtimberman
15

Ich denke, was auch immer Sie verwenden, Sie werden einen Konflikt riskieren. Ich würde sagen, dass nur sehr wenige Netzwerke Bereiche unter 172.16 verwenden, aber ich habe keine Beweise, um dies zu belegen. nur das Bauchgefühl, dass sich niemand daran erinnern kann. Sie könnten öffentliche IP-Adressen verwenden, aber das ist eine Verschwendung, und Sie haben möglicherweise nicht genug übrig.

Eine Alternative könnte sein, IPv6 für Ihr VPN zu verwenden. Dies würde das Einrichten von IPv6 für jeden Host erfordern, auf den Sie zugreifen möchten, aber Sie würden auf jeden Fall einen eindeutigen Bereich verwenden, insbesondere, wenn Sie eine / 48-Zuweisung für Ihre Organisation erhalten.

David Pashley
quelle
2
Nach allem, was ich gesehen habe, sind 192.168.0. * Und 192.168.1. * Allgegenwärtig, 192.168. * Sind häufig, 10. * sind weniger häufig und 172. * sind selten. Dies verringert natürlich nur die Kollisionswahrscheinlichkeit, aber bei Verwendung eines seltenen Adressraums sinkt die Wahrscheinlichkeit fast auf Null.
Piskvor,
8

Die einzige Möglichkeit, um sicherzustellen, dass sich Ihre Adresse nicht mit etwas anderem überschneidet, besteht darin, einen Block routingfähigen öffentlichen IP-Adressraums zu erwerben.

Allerdings könnten Sie versuchen, Teile des Adressraums von RFC 1918 zu finden, die weniger beliebt sind. Beispielsweise wird der Adressraum 192.168.x häufig in privaten und kleinen Unternehmensnetzwerken verwendet, möglicherweise weil er auf so vielen Low-End-Netzwerkgeräten standardmäßig verwendet wird. Ich vermute jedoch, dass mindestens 90% der Benutzer des Adressraums 192.168.x diesen in Blöcken der Klasse C verwenden und ihre Subnetzadressierung normalerweise bei 192.168.0.x beginnen. Es ist wahrscheinlich viel unwahrscheinlicher, dass Sie Leute finden, die 192.168.255.x verwenden, daher ist dies möglicherweise eine gute Wahl.

Der 10.xxx-Speicherplatz wird auch häufig verwendet. Die meisten großen internen Unternehmensnetzwerke, die ich gesehen habe, sind 10.x-Speicherplätze. Aber ich habe selten Leute gesehen, die den Raum 172.16-31.x benutzt haben. Ich würde wetten, dass Sie sehr selten jemanden finden, der zum Beispiel bereits 172.31.255.x verwendet.

Wenn Sie einen Speicherplatz außerhalb von RFC1918 verwenden, sollten Sie zumindest versuchen, Speicherplatz zu finden, der keinem anderen Benutzer gehört und der in Zukunft wahrscheinlich nicht mehr für die öffentliche Nutzung bereitgestellt wird. Hier auf etherealmind.com gibt es einen interessanten Artikel , in dem der Autor über die Verwendung des Adressraums RFC 3330 192.18.x spricht, der für Benchmark-Tests reserviert ist. Das wäre wahrscheinlich für Ihr VPN-Beispiel praktikabel, es sei denn, einer Ihrer VPN-Benutzer arbeitet für ein Unternehmen, das Netzwerkgeräte herstellt oder bewertet. :-)

Bob McCormick
quelle
3

Das dritte Oktett unserer öffentlichen Klasse C war .67, also haben wir das in 192.168.67.x verwendet

Bei der Einrichtung unserer DMZ haben wir 192.168.68.x verwendet

Als wir einen weiteren Adressblock benötigten, verwendeten wir .69.

Wenn wir mehr gebraucht hätten (und uns ein paar Mal näher gekommen wären), würden wir 10 neu nummerieren und verwenden, damit wir jeder Abteilung im Unternehmen viele Netzwerke geben können.

Ward
quelle
3
  1. Verwenden Sie weniger gebräuchliche Subnetze wie 192.168.254.0/24 anstelle von 192.168.1.0/24. Privatanwender verwenden in der Regel die Blöcke 192.168.xx und Unternehmen verwenden 10.xxx, sodass Sie den 172.16.0.0/12 mit sehr wenigen Problemen verwenden können.

  2. Verwenden Sie kleinere IP-Blöcke. Wenn Sie beispielsweise 10 VPN-Benutzer haben, verwenden Sie einen Pool von 14 IP-Adressen. a / 28. Wenn es zwei Routen zu demselben Subnetz gibt, verwendet ein Router zuerst die spezifischste Route. Am spezifischsten = kleinstes Subnetz.

  3. Verwenden Sie Punkt-zu-Punkt-Verbindungen, indem Sie einen / 30- oder / 31-Block verwenden, sodass sich auf dieser VPN-Verbindung nur zwei Knoten befinden und kein Routing erforderlich ist. Dies erfordert einen separaten Block für jede VPN-Verbindung. Ich verwende Astaros Version von openVPN und stelle von anderen Standorten aus eine Verbindung zu meinem Heimnetzwerk her.

In Bezug auf andere VPN-Bereitstellungen funktioniert IPsec von Standort zu Standort gut, die Konfiguration eines Windows-Laptops auf Reisen ist jedoch problematisch. PPTP ist am einfachsten zu konfigurieren, funktioniert jedoch selten hinter einer NAT-Verbindung und gilt als am wenigsten sicher.

David Oresky
quelle
1

Wenn Sie 10.254.231.x / 24 oder ähnliches verwenden, können Sie auch unter das Radar des Hotels geraten, da nur selten 10.x-Netzwerke vorhanden sind, die groß genug sind, um Ihr Subnetz zu belasten.

pauska
quelle