it-swarm-tr.com

VPN dahili ağlarıyla ağ çakışmasını nasıl önlersiniz?

192.168/16 ve hatta 10/8 arasında çok çeşitli özel yönlendirilemeyen ağlar olsa da, bazen potansiyel çatışmayı düşünürken hala gerçekleşmektedir. Örneğin, 192.168.27'de dahili VPN ağı ile bir kez OpenVPN kurulumu kurdum. Bir otel wifi alt katta 27 için bu alt ağ kullanılana kadar bu tüm ince ve züppe oldu.

VPN ağını 172.16 ağına yeniden IP’ledim, çünkü bu oteller ve internet kafeler tarafından kullanılmıyor. Ama bu soruna uygun bir çözüm müdür?

OpenVPN'den bahsetmiş olsam da, bu sorun hakkında, düz ol 'IPSEC de dahil olmak üzere diğer VPN dağıtımlarındaki düşünceleri duymak isterim.

41
jtimberman

Ortaklarımız ve müşterilerimiz ile birkaç IPSec VPN'imiz var ve zaman zaman ağlarıyla IP çakışmalarına giriyoruz. Bizim durumumuzdaki çözüm, VPN üzerinden kaynak-NAT veya hedef-NAT yapmaktır. Juniper Netscreen ve SSG ürünlerini kullanıyoruz, ancak bunun çoğu üst düzey IPSec VPN cihazı tarafından ele alınabileceğini düşünüyorum.

14
Doug Luxem

Bence ne kullanırsan kullan, bir çatışma riski taşıyacaksın. Çok az sayıda ağın 172.16'nın altındaki aralıkları kullandığını söyleyebilirim, ancak bunu destekleyecek hiçbir kanıtım yok; sadece kimsenin hatırlayamadığı bir his. Genel IP adreslerini kullanabilirsiniz, ancak bu biraz israftır ve yedeklemek için yeterli paranız olmayabilir.

Bir alternatif VPN'niz için IPv6 kullanmak olabilir. Bu, erişmek istediğiniz her Ana Bilgisayar için IPv6 ayarlanmasını gerektirir, ancak özellikle kendinize kuruluşunuza bir/48 ayırdığınızda kesinlikle benzersiz bir aralık kullanırsınız.

15
David Pashley

Ne yazık ki, adresinizin başka bir şeyle çakışmayacağını garanti etmenin tek yolu, yönlendirilebilir genel IP adresi alanı bloğu satın almaktır.

RFC 1918 adres alanının daha az popüler olan kısımlarını bulmayı deneyebileceğinizi söyledikten sonra. Örneğin, 192.168.x adres alanı, büyük olasılıkla çok sayıda düşük uç ağ aygıtında varsayılan olması nedeniyle konut ve küçük işletme ağlarında yaygın olarak kullanılmaktadır. 192.168.x adres alanını kullanan kişilerin en az% 90'ının C sınıfı bloklarda kullandıklarını ve genellikle alt ağ adreslerine 192.168.0.x adresinden başladıklarını tahmin ediyorum. Muhtemelen 192.168.255.x kullanan kişileri bulma olasılığınız çoktur , bu iyi bir seçim olabilir.

10.x.x.x alanı da yaygın olarak kullanılmaktadır, gördüğüm en büyük kurumsal iç ağlar 10.x alanıdır. Ancak nadiren 172.16-31.x alanını kullanan insanları gördüm. Örneğin, zaten 172.31.255.x kullanan birini çok nadiren bulacağınıza bahse girerim.

Ve son olarak, RFC1918 dışı alanı kullanacaksanız, en azından başka birine ait olmayan ve gelecekte herhangi bir zamanda kamu kullanımı için tahsis edilmeyen alan bulmaya çalışın. Yazarın karşılaştırma testleri için ayrılmış RFC 3330 192.18.x adres alanını kullanmaktan bahsettiği ilginç bir makale burada etherealmind.com adresinde var. Tabii ki VPN kullanıcılarınızdan biri bir şirket için ağ donanımını yapan veya kıyaslayan bir şirkette çalışmadığı sürece, muhtemelen VPN örneğiniz için uygulanabilir olacaktır. :-)

8
Bob McCormick
  1. 192.168.1.0/24 yerine 192.168.254.0/24 gibi daha az yaygın alt ağlar kullanın. Ev kullanıcıları genellikle 192.168.x.x bloklarını kullanır ve işletmeler 10.x.x.x kullanır, böylece 172.16.0.0/12'yi çok az sorunla kullanabilirsiniz.

  2. daha küçük ip blokları kullanın; örneğin 10 VPN kullanıcınız varsa, 14 ip adresli bir havuz kullanın; a/28. Aynı alt ağa iki yol varsa, yönlendirici önce en spesifik yolu kullanır. En belirgin = en küçük alt ağ.

  3. / 30 veya/31 bloğunu kullanarak noktadan noktaya bağlantıları kullanın, böylece o VPN bağlantısında yalnızca iki düğüm olur ve hiçbir yönlendirme söz konusu değildir. Bu, her VPN bağlantısı için ayrı bir blok gerektirir. Astaro'nun openVPN sürümünü kullanıyorum ve bu şekilde ev ağıma diğer konumlardan nasıl bağlanıyorum.

Diğer VPN dağıtımlarına göre, IPsec bir siteden siteye iyi çalışır, ancak seyahat eden bir Windows dizüstü bilgisayarda yapılandırmak için bir acıdır. PPTP yapılandırması en kolay olanıdır ancak nadiren NAT bağlantısının arkasında çalışır ve en az güvenli olarak kabul edilir).

3
David Oresky

Genel sınıf C'nin üçüncü sekizlisi .67 idi, bu yüzden içeride kullandık, yani 192.168.67.x

DMZ'yi kurduğumuzda 192.168.68.x kullandık

Başka bir adres bloğuna ihtiyacımız olduğunda .69 kullandık.

Eğer daha fazlasına ihtiyacımız olsaydı (ve birkaç kez yaklaştık) yeniden numaralandırıp 10'u kullanacaktık, böylece şirketteki her bölüme birçok ağ verebiliriz.

10.254.231.x/24 ya da benzeri bir şey kullanmak, otel ağının altından geçebilecek kadar büyük 10.x ağları olduğundan, otel radarının altında kaymanızı sağlayabilir.

1
pauska