Come evitare conflitti di rete con le reti interne VPN?

Mentre esiste una grande varietà di reti private non instradabili su 192.168 / 16 o addirittura 10/8, a volte in considerazione di potenziali conflitti, si verifica ancora. Ad esempio, ho configurato un'installazione OpenVPN una volta con la rete VPN interna su 192.168.27. Tutto è andato bene e dandy fino a quando un hotel non ha usato quella sottorete per il piano 27 sul proprio wifi.

Ho reindirizzato la rete VPN su una rete 172.16, dal momento che sembra essere quasi inutilizzata da hotel e internet café. Ma è una soluzione adeguata al problema?

Mentre menziono OpenVPN, mi piacerebbe sentire le riflessioni su questo problema su altre distribuzioni VPN, incluso il semplice vecchio IPSEC.

Abbiamo diverse VPN IPSec con i nostri partner e clienti e occasionalmente incontriamo conflitti IP con la loro rete. La soluzione nel nostro caso è fare NAT-source o NAT-destinazione tramite VPN. Stiamo utilizzando Juniper Netscreen e prodotti SSG, ma suppongo che questo possa essere gestito dalla maggior parte dei dispositivi VPN IPSec di fascia più alta.

Penso che qualunque cosa tu usi, rischierai un conflitto. Direi che pochissime reti usano intervalli inferiori a 172.16, ma non ho prove a sostegno di ciò; solo la sensazione che nessuno possa ricordarlo. Potresti usare indirizzi IP pubblici, ma è un po 'uno spreco e potresti non avere abbastanza da risparmiare.

Un'alternativa potrebbe essere quella di utilizzare IPv6 per la tua VPN. Ciò richiederebbe la configurazione di IPv6 per ogni host a cui desideri accedere, ma sicuramente utilizzeresti un intervallo univoco, soprattutto se ti assegnassi un / 48 allocato alla tua organizzazione.

Sfortunatamente, l'unico modo per garantire che il tuo indirizzo non si sovrapponga a qualcos'altro è acquistare un blocco di spazio di indirizzi IP pubblico instradabile.

Detto questo, potresti provare a trovare parti dello spazio degli indirizzi RFC 1918 meno popolari. Ad esempio, lo spazio degli indirizzi 192.168.x viene comunemente utilizzato nelle reti residenziali e di piccole imprese, probabilmente perché è l'impostazione predefinita su così tanti dispositivi di rete di fascia bassa. Immagino però che almeno il 90% delle volte che le persone che utilizzano lo spazio degli indirizzi 192.168.x lo utilizzino in blocchi di classe C e di solito stanno iniziando il loro indirizzamento della sottorete su 192.168.0.x. Probabilmente hai molte meno probabilità di trovare persone che usano 192.168.255.x, quindi potrebbe essere una buona scelta.

Lo spazio 10.xxx è anche comunemente usato, la maggior parte delle reti interne aziendali di grandi dimensioni che ho visto sono 10.x spazio. Ma raramente ho visto persone che usano lo spazio 172.16-31.x. Sarei disposto a scommettere che raramente troverai qualcuno che sta già usando 172.31.255.x per esempio.

E infine, se hai intenzione di utilizzare spazio non RFC1918, almeno cerca di trovare spazio che non appartiene a qualcun altro e che probabilmente non verrà allocato per uso pubblico in futuro. C'è un articolo interessante qui su etherealmind.com in cui l'autore sta parlando dell'uso dell'indirizzo RFC 3330 192.18.x riservato ai test di benchmark. Sarebbe probabilmente fattibile per il tuo esempio di VPN, a meno che, ovviamente, uno dei tuoi utenti VPN non lavori per un'azienda che produce o confronta apparecchiature di rete. :-)

Il terzo ottetto della nostra classe pubblica C era .67, quindi l'abbiamo usato all'interno, ovvero 192.168.67.x

Quando abbiamo impostato la nostra DMZ, abbiamo usato 192.168.68.x

Quando abbiamo bisogno di un altro blocco di indirizzi abbiamo usato .69.

Se avessimo avuto bisogno di più (e ci fossimo avvicinati un paio di volte) avremmo rinumerato e usato 10. per poter dare a ogni divisione dell'azienda molte reti.

1. utilizzare sottoreti meno comuni come 192.168.254.0/24 anziché 192.168.1.0/24. Gli utenti domestici utilizzano in genere i blocchi 192.168.xx e le aziende utilizzano 10.xxx in modo da poter utilizzare 172.16.0.0/12 con pochissimi problemi.

2. utilizzare blocchi IP più piccoli; per esempio se hai 10 utenti VPN, usa un pool di 14 indirizzi IP; a / 28. Se esistono due route verso la stessa sottorete, un router utilizzerà prima la route più specifica. Più specifico = sottorete più piccola.

3. Utilizzare i collegamenti punto a punto, utilizzando un blocco / 30 o / 31 in modo che vi siano solo due nodi su quella connessione VPN e non vi sia alcun routing. Ciò richiede un blocco separato per ogni connessione VPN. Uso la versione Astaro di openVPN ed è così che mi ricollego alla mia rete domestica da altre posizioni.

Per quanto riguarda le altre distribuzioni VPN, IPsec funziona bene da un sito all'altro, ma è difficile configurare, ad esempio, un laptop Windows in viaggio. PPTP è il più semplice da configurare ma raramente funziona dietro una connessione NAT ed è considerato il meno sicuro.

L'uso di qualcosa come 10.254.231.x / 24 o simili potrebbe anche farti scivolare sotto il radar dell'hotel, poiché raramente hanno reti 10x abbastanza grandi da poter mangiare la tua sottorete.