VPN内部ネットワークとのネットワーク競合をどのように回避しますか?
192.168/16または10/8に至るまで、ルーティング不可能なプライベートネットワークは多種多様ですが、競合の可能性を考慮して、まだ発生しています。たとえば、192.168.27の内部VPNネットワークで、インストールOpenVPNを1回セットアップしました。これは、ホテルがWi-Fiの27階にそのサブネットを使用するまでは、すべてうまくいきました。
VPNネットワークを172.16ネットワークに再IPしました。ホテルやインターネットカフェではほとんど使用されていないようです。しかし、それは問題に対する適切な解決策ですか?
OpenVPNについて言及している間、私は他のVPN展開におけるこの問題についての考えを聞きたいです。
パートナーや顧客との間でいくつかのIPSec VPNを使用しており、ネットワークとIPの競合が発生する場合があります。この場合の解決策は、VPN経由でsource-NATまたはdestination-NATを実行することです。ジュニパーのNetscreenおよびSSG製品を使用していますが、これはほとんどのハイエンドIPSec VPNデバイスで処理できると思います。
何を使っても、衝突の危険を冒すことになると思います。 172.16未満の範囲を使用するネットワークはほとんどないと思いますが、それを裏付ける証拠はありません。誰もそれを思い出せないという直感。パブリックIPアドレスを使用することもできますが、それは少し無駄であり、余裕がない場合があります。
代わりに、VPNにIPv6を使用することもできます。これには、アクセスするすべてのホストにIPv6を設定する必要がありますが、特に組織に/ 48を割り当てた場合は、確実に一意の範囲を使用します。
残念ながら、アドレスが他のものと重複しないことを保証する唯一の方法は、ルーティング可能なパブリックIPアドレス空間のブロックを購入することです。
とはいえ、あまり人気のないRFC 1918アドレス空間の部分を見つけてみることもできます。たとえば、192.168.xアドレススペースは、住宅用および小規模ビジネスネットワークで一般的に使用されています。これは、多くのローエンドネットワークデバイスのデフォルトであるためと考えられます。 192.168.xアドレススペースを使用している人の少なくとも90%がクラスCサイズのブロックでそれを使用していて、通常192.168.0.xでサブネットアドレス指定を開始していると思います。あなたはおそらく192.168.255.xを使用している人を見つける可能性がlot少ないので、それが良い選択かもしれません。
10.x.x.xスペースも一般的に使用されています。私が見た大企業の内部ネットワークのほとんどは10.xスペースです。しかし、172.16-31.xスペースを使用している人はめったに見ません。たとえば、すでに172.31.255.xを使用している人をめったに見つけられないことは間違いありません。
そして最後に、RFC1918以外のスペースを使用する場合は、少なくとも他の誰かに属していないスペースを見つけて、将来いつでも公共の使用に割り当てられる可能性が低いスペースを見つけてください。興味深い記事があります here etherealmind.comで、著者はベンチマークテスト用に予約されているRFC 3330 192.18.xアドレススペースの使用について話しています。もちろん、VPNの例では、VPNユーザーの1人がネットワーク機器のメーカーやベンチマーク企業で働いていない限り、これはおそらく機能します。 :-)
192.168.1.0/24ではなく、192.168.254.0/24のようなあまり一般的でないサブネットを使用します。通常、ホームユーザーは192.168.x.xブロックを使用し、企業は10.x.x.xを使用するため、ごくわずかな問題で172.16.0.0/12を使用できます。
より小さいIPブロックを使用します。たとえば、VPNユーザーが10人いる場合は、14個のIPアドレスのプールを使用します。/28。同じサブネットへのルートが2つある場合、ルーターは最も具体的なルートを最初に使用します。最も具体的な=最小のサブネット。
/ 30または/ 31ブロックを使用してポイントツーポイントリンクを使用し、そのVPN接続に2つのノードのみが存在し、ルーティングが含まれないようにします。これには、VPN接続ごとに個別のブロックが必要です。私はAstaroのバージョンのopenVPNを使用しています。これが、他の場所からホームネットワークに接続する方法です。
他のVPN展開に関しては、IPsecはサイト間でうまく機能しますが、たとえば、移動するWindowsラップトップを構成するのは面倒です。 PPTPは設定が最も簡単ですが、NAT接続の背後で動作することはほとんどなく、最も安全性が低いと見なされています。
PublicクラスCの3番目のオクテットは.67だったので、それを内部で使用しました、つまり192.168.67.x
DMZを設定するときは、192.168.68.xを使用しました
別のアドレスブロックが必要な場合は、.69を使用しました。
さらに必要な場合(および数回接近した場合)は、番号を付け直して10を使用し、会社のすべての部門に多くのネットワークを提供できるようにしました。
10.254.231.x/24などを使用すると、ホテルのレーダーの下に潜む可能性があります。サブネットを食べるのに十分な大きさの10.xネットワークはめったにないからです。