it-swarm-id.com

Bagaimana Anda menghindari konflik jaringan dengan jaringan internal VPN?

Meskipun ada berbagai jaringan pribadi non-routable di 192.168/16 atau bahkan 10/8, kadang-kadang dengan mempertimbangkan potensi konflik, masih terjadi. Sebagai contoh, saya mengatur instalasi OpenVPN sekali dengan jaringan VPN internal pada 192.168.27. Ini semua bagus dan keren sampai hotel menggunakan subnet untuk lantai 27 di wifi mereka.

Saya re-IP jaringan VPN ke jaringan 172.16, karena itu tampaknya tidak digunakan oleh hotel dan kafe internet. Tetapi apakah itu solusi yang tepat untuk masalah tersebut?

Sementara saya menyebutkan OpenVPN, saya ingin mendengar pemikiran tentang masalah ini pada penyebaran VPN lainnya, termasuk IPSEC biasa.

41
jtimberman

Kami memiliki beberapa IPSec VPN dengan mitra dan pelanggan kami dan terkadang mengalami konflik IP dengan jaringan mereka. Solusi dalam kasus kami adalah melakukan (source-NAT atau destination-NAT melalui VPN. Kami menggunakan produk Juniper Netscreen dan SSG, tetapi saya menganggap ini dapat ditangani oleh sebagian besar perangkat IPSec VPN kelas atas.

14
Doug Luxem

Saya pikir apa pun yang Anda gunakan, Anda akan berisiko konflik. Saya akan mengatakan bahwa sangat sedikit jaringan menggunakan rentang di bawah 172.16, tetapi saya tidak punya bukti untuk mendukungnya; hanya firasat bahwa tidak ada yang bisa mengingatnya. Anda bisa menggunakan alamat IP publik, tapi itu sedikit sia-sia dan Anda mungkin tidak punya cukup cadangan.

Alternatifnya bisa menggunakan IPv6 untuk VPN Anda. Ini membutuhkan pengaturan IPv6 ke setiap Host yang ingin Anda akses, tetapi Anda pasti akan menggunakan rentang unik, terutama jika Anda mendapatkan alokasi anggaran untuk organisasi Anda.

15
David Pashley

Sayangnya, satu-satunya cara untuk menjamin alamat Anda tidak akan tumpang tindih dengan hal lain adalah dengan membeli blok ruang alamat IP publik yang dapat dirutekan.

Setelah mengatakan bahwa Anda dapat mencoba menemukan bagian dari ruang alamat RFC 1918 yang kurang populer. Misalnya, ruang alamat 192.168.x umumnya digunakan di jaringan perumahan dan bisnis kecil, mungkin karena itu adalah default pada banyak perangkat jaringan low-end. Saya rasa meskipun setidaknya 90% dari waktu orang menggunakan ruang alamat 192.168.x menggunakannya di blok ukuran kelas C dan biasanya memulai pengalamatan subnet mereka di 192.168.0.x. Anda mungkin banyak lebih sedikit untuk menemukan orang yang menggunakan 192.168.255.x, jadi itu mungkin pilihan yang baik.

Ruang 10.x.x.x juga biasa digunakan, sebagian besar jaringan internal perusahaan besar yang saya lihat adalah ruang 10x. Tapi saya jarang melihat orang menggunakan ruang 172.16-31.x. Saya berani bertaruh Anda akan jarang menemukan seseorang sudah menggunakan 172.31.255.x misalnya.

Dan akhirnya, jika Anda akan menggunakan ruang non-RFC1918, setidaknya cobalah untuk menemukan ruang yang bukan milik orang lain dan tidak mungkin dialokasikan untuk penggunaan publik kapan saja di masa depan. Ada artikel yang menarik di sini di etherealmind.com di mana penulis berbicara tentang menggunakan ruang alamat RFC 3330 192.18.x yang dicadangkan untuk tes benchmark. Itu mungkin bisa diterapkan untuk contoh VPN Anda, kecuali tentu saja salah satu pengguna VPN Anda bekerja untuk perusahaan yang membuat atau membuat tolok ukur peralatan jaringan. :-)

8
Bob McCormick
  1. gunakan subnet yang kurang umum seperti 192.168.254.0/24 bukan 192.168.1.0/24. Pengguna rumahan biasanya menggunakan blok 192.168.x.x dan bisnis menggunakan 10.x.x.x sehingga Anda dapat menggunakan 172.16.0.0/12 dengan sedikit masalah.

  2. gunakan blok ip yang lebih kecil; misalnya jika Anda memiliki 10 pengguna VPN, gunakan kumpulan 14 alamat ip; a/28. Jika ada dua rute ke subnet yang sama, router akan menggunakan rute yang paling spesifik terlebih dahulu. Paling spesifik = subnet terkecil.

  3. Gunakan tautan titik ke titik, menggunakan blok/30 atau/31 sehingga hanya ada dua node pada koneksi VPN itu dan tidak ada routing yang terlibat. Ini membutuhkan blok terpisah untuk setiap koneksi VPN. Saya menggunakan OpenVPN versi Astaro dan ini adalah bagaimana saya terhubung kembali ke jaringan rumah saya dari lokasi lain.

Sejauh penyebaran VPN lainnya, IPsec bekerja dengan baik pada basis situs ke situs, tetapi sulit untuk mengkonfigurasi, katakanlah, laptop windows bepergian. PPTP adalah yang termudah untuk dikonfigurasikan tetapi jarang bekerja di belakang koneksi NAT dan dianggap sebagai yang paling tidak aman).

3
David Oresky

Oktet ketiga kelas Publik C kami adalah 0,67, jadi kami menggunakannya di dalam, yaitu 192.168.67.x

Saat kami menyiapkan DMZ kami, kami menggunakan 192.168.68.x

Ketika kami membutuhkan blok alamat lain yang kami gunakan .69.

Jika kami membutuhkan lebih banyak (dan kami mendekati beberapa kali) kami akan memberi nomor baru dan menggunakan 10. sehingga kami dapat memberikan setiap divisi di perusahaan banyak jaringan.

Menggunakan sesuatu seperti 10.254.231.x/24 atau yang serupa juga bisa membuat Anda tergelincir di bawah radar hotel, karena mereka jarang memiliki jaringan 10.x yang cukup besar untuk memakan subnet Anda.

1
pauska