41 votos

¿Cómo se puede evitar de la red conflicto con VPN redes internas?

Aunque hay una amplia variedad de privado no enrutable redes a través de 192.168/16 o incluso 10/8, a veces en ser considerado de conflicto potencial, todavía ocurre. Por ejemplo, puedo configurar una instalación de OpenVPN una vez con la interna de la red VPN en 192.168.27. Todo esto era fino y elegante, hasta que un hotel utilizado esa subred para el piso 27 en su wifi.

Me re-IP d la red VPN a una red 172.16, ya que parece ser la de todos, pero no utilizados por los hoteles y cafés internet. Pero es que la solución adecuada para el problema?

Mientras que menciono OpenVPN, me encantaría escuchar los pensamientos acerca de este problema en otras implementaciones de VPN, incluyendo la llanura ol' IPSEC.

14voto

Xcalibur Puntos 111

Tenemos varios IPSec Vpn con nuestros socios y clientes y, ocasionalmente, con conflictos de IP con su red. La solución en nuestro caso es el de hacer de origen-NAT o de destino NAT- a través de la VPN. Estamos utilizando Netscreen de Juniper y SSG productos, pero supongo que esto puede ser manejado por la mayoría de los de más alta gama de VPN IPSec de dispositivos.

6voto

Ward Puntos 8076

El tercer octeto de nuestro Público de clase C fue .67, así que hemos utilizado que en el interior, es decir 192.168.67.x

Cuando hemos creado nuestra DMZ, hemos utilizado 192.168.68.x

Cuando necesitamos otro bloque de direcciones que hemos usado .69.

Si hubiéramos necesitado más (y se nos acercó un par de veces) íbamos a volver a numerar y uso 10. de modo que pudiéramos dar a cada división de la compañía un montón de redes.

4voto

David Pashley Puntos 17011

Creo que lo que nunca se uso, vas a riesgo de un conflicto. Yo diría que muy pocas redes de utilizar rangos bajo 172.16, pero no tengo evidencia para respaldarla; sólo la sensación visceral de que nadie puede recordar. Usted podría utilizar direcciones IP públicas, pero eso es un poco de una pérdida y usted no puede tener suficiente de sobra.

Una alternativa podría ser el uso de IPv6 para su VPN. Esto requeriría la configuración de IPv6 a cada host que te gustaría acceso, pero sin duda sería el uso de una gama única, especialmente si usted consigue un /48 asignado a su organización.

1voto

Bob McCormick Puntos 258

Por desgracia, la única manera de garantizar su dirección no se solapan con algo más es la compra de un bloque de enrutable público del espacio de direcciones IP.

Después de haber dicho que usted podría tratar de encontrar las piezas de la RFC 1918 espacio de direcciones que son menos populares. Por ejemplo, 192.168.x espacio de direcciones se utiliza comúnmente en los sectores residencial y de pequeños negocios de redes, posiblemente porque es el defecto en muchos de gama baja de dispositivos de red. Me imagino a pesar de que al menos el 90% de las personas de tiempo utilizando 192.168.x espacio de direcciones están utilizando en la clase C bloques de tamaño y generalmente están iniciando su subred abordar en 192.168.0.x. Probablemente mucho menos probable encontrar personas utilizando 192.168.255.x, lo que podría ser una buena opción.

10.x.x.x espacio también se utiliza comúnmente, la mayoría de las grandes empresas redes internas de las que he visto son de 10.x el espacio. Pero yo rara vez he visto a la gente el uso de la 172.16-31.x el espacio. Yo estaría dispuesto a apostar que usted había muy rara vez encontrar a alguien ya está usando 172.31.255.x por ejemplo.

Y por último, si usted va a utilizar no RFC1918 espacio de, al menos, tratar de encontrar un espacio que no le pertenece a alguien más y no es probable para ser destinado para uso público en cualquier momento en el futuro. Hay un interesante artículo aquí en etherealmind.com donde el autor está hablando acerca de cómo utilizar el RFC 3330 192.18.x espacio de direcciones reservado para las pruebas de referencia. Que probablemente sería viable para su VPN ejemplo, a menos que por supuesto uno de sus usuarios de VPN trabaja para una empresa de la que hace o puntos de referencia de equipos de red. :-)

1voto

EtienneT Puntos 1552

El uso de algo como 10.254.231.x/24 o similar también podría hacer que usted se desliza en el hotel de radar, ya que pocas veces tienen 10.x redes lo suficientemente grande como para comer de su subred.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: