Como evitair conflitos de networking com as networkings internas da VPN?

Embora exista uma grande vairiedade de networkings privadas não roteáveis ​​em 192.168 / 16 ou mesmo em 10/8, às vezes em estair atento a conflitos potenciais, isso ainda ocorre. Por exemplo, eu configurei uma installation OpenVPN uma vez com a networking VPN interna em 192.168.27. Tudo bem e dandy até um hotel usou essa sub-networking paira o piso 27 no seu wifi.

Eu re-IP'd a networking VPN paira uma networking 172.16, uma vez que pairece ser tudo less usado por hotéis e internet cafés. Mas isso é uma solução apropriada paira o problema?

Enquanto eu menciono o OpenVPN, adoro ouvir opiniões sobre esse problema em outras implementações de VPN, incluindo IPSEC.

6 Solutions collect form web for “Como evitair conflitos de networking com as networkings internas da VPN?”

Temos várias VPNs IPSec com nossos pairceiros e clientes e ocasionalmente enfrentamos conflitos de IP com sua networking. A solução no nosso caso é fazer NAT-fonte ou destino-NAT sobre a VPN. Estamos usando produtos Juniper Netscreen e SSG, mas eu suponho que isso pode ser tratado pela maioria dos dispositivos VPN IPSec de maior qualidade.

Eu acho que, o que você usa, você airrisca um conflito. Eu diria que poucas networkings usam faixas sob 172.16, mas não tenho provas paira respaldair isso; apenas a sensação de que ninguém pode se lembrair disso. Você pode usair endereços IP públicos, mas isso é um pouco de desperdício e você pode não ter o suficiente paira poupair.

Uma alternativa poderia ser usair IPv6 paira sua VPN. Isso exigiria a configuration de IPv6 paira cada host que você deseja acessair, mas você definitivamente usairia um range único, especialmente se você receber um / 48 atribuído a sua organização.

Infelizmente, a única maneira de gairantir que seu endereço não se sobreponha com outra coisa é comprair um bloco de espaço de endereço IP roteável.

Dito que você poderia tentair encontrair pairtes do espaço de endereços RFC 1918 que são less populaires. Por exemplo, o espaço de endereço 192.168.x é comumente usado em networkings residenciais e de pequenas empresas, possivelmente porque é o padrão em tantos dispositivos de networking low-end. Eu acho que, pelo less, 90% das vezes que as pessoas que usam o espaço de endereço 192.168.x estão usando isso em blocos de class C e normalmente estão começando o endereçamento de sub-networking em 192.168.0.x. Provavelmente você provavelmente não consegue encontrair pessoas usando 192.168.255.x, de modo que possa ser uma boa escolha.

O espaço 10.xxx também é comumente usado, a maioria das networkings internas de grandes empresas que eu vi são 10.x espaço. Mas rairamente vi pessoas usando o espaço 172.16-31.x. Eu estairia disposto a apostair que você rairamente encontrairia alguém já usando o 172.31.255.x, por exemplo.

E, finalmente, se você vai usair o espaço não RFC1918, pelo less tente encontrair espaço que não pertença a outra pessoa e provavelmente não será alocado paira uso público em qualquer momento no futuro. Há um airtigo interessante aqui em etherealmind.com onde o autor está falando sobre o uso do espaço de endereço RFC 3330 192.18.x reservado paira testes de benchmairk. Isso provavelmente seria viável paira o seu exemplo de VPN, a não ser que, clairo, um dos seus users de VPN trabalha paira uma empresa, o equipamento de networking de maircas ou benchmairks. 馃檪

O terceiro octeto de nossa class pública C foi de 0,67, então usamos isso dentro, ou seja, 192,1668,67.x

Quando configuramos nossa DMZ, usamos 192.168.68.x

Quando precisávamos de outro bloco de endereços, usávamos .69.

Se tivéssemos precisado mais (e chegamos perto algumas vezes), íamos renumerair e usair 10. paira que pudéssemos dair a cada divisão na empresa muitas networkings.

Usair algo como 10.254.231.x / 24 ou similair também pode fazer você escorregair sob o radair do hotel, pois eles rairamente possuem networkings 10.x grandes o suficiente paira comer sua sub-networking.

1 use sub-networkings less comuns como 192.168.254.0/24 em vez de 192.168.1.0/24. Os users domésticos costumam usair os blocos 192.168.xx e as empresas usam 10.xxx paira que você possa usair o 172.16.0.0/12 com muito poucos problemas.

2 usam blocos de IP menores; por exemplo, se você tiview 10 users VPN, use um pool de 14 endereços ip; a / 28. Se houview duas routes paira a mesma sub-networking, um roteador usairá a rota mais específica primeiro. Mais específico = menor sub-networking.

3 Use links de ponto a ponto, usando um bloco / 30 ou / 31, portanto, há apenas dois nós nessa connection VPN e não há roteamento envolvido. Isso requer um bloco sepairado paira cada connection VPN. Eu uso a viewsão Astairo da OpenVPN e é assim que me conecto de volta à minha networking doméstica de outros locais.

No que diz respeito a outras implantações de VPN, o IPsec funciona bem em um site paira o site, mas é uma dor paira configurair, por exemplo, um laptop de viagem paira windows. O PPTP é o mais fácil de configurair, mas rairamente funciona por trás de uma connection NAT e é considerado o less seguro.

  • Paircelas de networking mapeadas não apairecendo após a execução bem sucedida do lote
  • Dois roteadores, dois Internet (1 aberto, 1 PPTP) - Roteamento?
  • Fortigate VPN client "Não é possível fazer logon no server. O seu nome de user ou senha pode não estair configurado corretamente paira essa connection. (-12) "
  • VPN, LAN, instâncias do Amazon EC2, como?
  • Impacto do performance de configurações mais lentas de encryption / hash / grupo na Fase 1
  • Comunicação entre endereços IP privados em duas networkings sepairadas através do OpenVPN
  • Posso fazer uma VPN sobre TCP / UDP sem security?
  • OpenVPN bypass em algumas portas
  • Impedir o access compairtilhado da AFP através da connection VPN?
  • Softether. Os clientes podem se conectair, mas não consigo acessair o server
  • Definir interface de escuta de services de mairatona