VPN内部ネットワークとのネットワーク競合をどのように回避しますか?


39

192.168 / 16または10/8にまたがるさまざまなプライベートルーティング不可能なネットワークがありますが、潜在的な競合を考慮することもありますが、それでも発生します。たとえば、192.168.27の内部VPNネットワークでOpenVPNを1回インストールしました。ホテルがWiFiのフロア27にそのサブネットを使用するまで、これはすべてうまくいきました。

VPNネットワークを172.16ネットワークに再IP化しました。これは、ホテルやインターネットカフェではほとんど使用されていないようです。しかし、それは問題の適切な解決策ですか?

OpenVPNに言及している間、私はプレーンオールIPSECを含む他のVPN展開でこの問題についての意見を聞きたいです。


3
フロアに番号付け方式を採用しているホテルで使用される可能性が低いサブネットを回避する場合は、xx13を使用してみてください。迷信のために多くのホテルがフロア13をスキップします。
マークヘンダーソン

いい視点ね!それはインターネットカフェではうまくいかないかもしれませんが、これはおそらくより一般的です。
jtimberman

ルートを変更することで、この問題に対する代替アプローチを使用します。このリンクは、同じネットワーク範囲にVPN 接続する方法を説明しています。

回答:


14

パートナーおよび顧客といくつかのIPSec VPNを使用しており、ネットワークとIPの競合が発生する場合があります。この場合の解決策は、VPN上で送信元NATまたは宛先NATを実行することです。ジュニパーネットスクリーンおよびSSG製品を使用していますが、これはほとんどのハイエンドIPSec VPNデバイスで処理できると思います。


3
私が見つけた「ダーティナット」ハウツーはこれに沿っており、おそらく「最も複雑な」ソリューションですが、「ベストワーキング」のようです。nimlabs.org/~nim/dirtynat.html
jtimberman

15

使用するものが何であれ、競合のリスクがあると思います。172.16未満の範囲を使用するネットワークは非常に少ないと言えますが、それを裏付ける証拠はありません。誰もそれを思い出せないという直感です。パブリックIPアドレスを使用できますが、それは少し無駄であり、十分な余裕がないかもしれません。

別の方法は、VPNにIPv6を使用することです。これには、アクセスするすべてのホストにIPv6を設定する必要がありますが、特に組織に/ 48が割り当てられている場合は、一意の範囲を確実に使用することになります。


2
実際、192.168.0。*と192.168.1。*は普遍的であり、192.168。*は一般的であり、10。*はあまり一般的ではなく、172。*はまれです。もちろん、これは衝突の確率を下げるだけですが、まれなアドレス空間を使用すると、確率はほとんどゼロになります。
-Piskvor

8

残念ながら、アドレスが他のものと重複しないことを保証する唯一の方法は、ルーティング可能なパブリックIPアドレススペースのブロックを購入することです。

RFC 1918のアドレス空間の中であまり人気のない部分を見つけてみることができると言った。たとえば、192.168.xアドレススペースは、一般的に住宅および小規模ビジネスネットワークで使用されます。これは、非常に多くのローエンドネットワークデバイスのデフォルトであるためと思われます。ただし、192.168.xアドレス空間を使用している人々の少なくとも90%がクラスCサイズのブロックで使用し、通常は192.168.0.xでサブネットアドレス指定を開始していると思います。192.168.255.xを使用している人を見つける可能性ははるかに低いため、これが適切な選択である可能性があります。

10.xxxスペースも一般的に使用されており、私が見た大企業の内部ネットワークのほとんどは10.xスペースです。しかし、172.16〜31.xスペースを使用している人はほとんどいません。たとえば、すでに172.31.255.xを使用しているユーザーを見つけることはほとんどありません。

最後に、RFC1918以外のスペースを使用する場合は、少なくとも他の誰かに属しておらず、将来いつでも公共の使用に割り当てられる可能性が低いスペースを見つけてください。興味深い記事がありますここで著者は、ベンチマーク・テストのために予約されますRFC 3330 192.18.xアドレス空間を使用して話しているetherealmind.comでは。もちろん、VPNユーザーの1人がネットワーク機器を製造またはベンチマークする会社で働いていない限り、VPNの例ではおそらく実行可能です。:-)


3

PublicクラスCの3番目のオクテットは.67だったので、内部でそれを使用しました(192.168.67.x)

DMZをセットアップするとき、192.168.68.xを使用しました

別のアドレスブロックが必要な場合は、.69を使用しました。

さらに必要な場合(数回近くなりました)、10の番号を付け直して使用し、社内のすべての部門に多くのネットワークを提供できるようにしました。


3
  1. 192.168.1.0/24の代わりに192.168.254.0/24などのあまり一般的でないサブネットを使用します。通常、ホームユーザーは192.168.xxブロックを使用し、企業は10.xxxを使用するので、172.16.0.0 / 12をほとんど問題なく使用できます。

  2. より小さなipブロックを使用します。たとえば、10人のVPNユーザーがいる場合、14個のIPアドレスのプールを使用します。/ 28。同じサブネットへのルートが2つある場合、ルーターは最も具体的なルートを最初に使用します。最も具体的な=最小のサブネット。

  3. / 30または/ 31ブロックを使用してポイントツーポイントリンクを使用して、そのVPN接続に2つのノードのみが存在し、ルーティングが含まれないようにします。これには、VPN接続ごとに個別のブロックが必要です。AstaroのopenVPNバージョンを使用しています。これが、他の場所からホームネットワークに接続する方法です。

他のVPN展開に関しては、IPsecはサイト間でうまく機能しますが、たとえば旅行用のWindowsラップトップで設定するのは苦痛です。PPTPは設定が最も簡単ですが、NAT接続の背後で機能することはほとんどなく、安全性が最も低いと考えられています。


1

10.254.231.x / 24などのようなものを使用すると、サブネットを食い尽くすのに十分な大きさの10.xネットワークがめったにないため、ホテルのレーダーの下に潜り込む可能性があります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.