Como você evita conflitos de rede com redes internas da VPN?

Embora exista uma grande variedade de redes privadas não roteáveis ​​em 192.168 / 16 ou até 10/8, às vezes pensando em possíveis conflitos, isso ainda ocorre. Por exemplo, eu configurei uma instalação OpenVPN uma vez com a rede VPN interna em 192.168.27. Tudo estava ótimo e elegante até que um hotel usou essa sub-rede no andar 27 em seu wifi.

Voltei a IP da rede VPN para uma rede 172.16, uma vez que isso parece não ter sido utilizado pelos hotéis e cibercafés. Mas isso é uma solução apropriada para o problema?

Enquanto mencionei o OpenVPN, adoraria ouvir opiniões sobre esse problema em outras implantações de VPN, incluindo o IPSEC simples.

Temos várias VPNs IPSec com nossos parceiros e clientes e, ocasionalmente, enfrentamos conflitos de IP com sua rede. A solução no nosso caso é fazer NAT de origem ou NAT de destino através da VPN. Estamos usando os produtos Juniper Netscreen e SSG, mas presumo que isso possa ser tratado pela maioria dos dispositivos VPN IPSec de ponta.

Eu acho que o que quer que você use, você vai arriscar um conflito. Eu diria que pouquíssimas redes usam faixas abaixo de 172,16, mas não tenho evidências para fazer backup disso; apenas a sensação de que ninguém consegue se lembrar. Você pode usar endereços IP públicos, mas isso é um desperdício e pode não ter o suficiente.

Uma alternativa poderia ser usar o IPv6 para sua VPN. Isso exigiria a configuração do IPv6 para todos os hosts aos quais você deseja acessar, mas você definitivamente usaria um intervalo exclusivo, especialmente se receber um / 48 alocado para sua organização.

Infelizmente, a única maneira de garantir que seu endereço não se sobreponha a outra coisa é comprar um bloco de espaço de endereço IP público roteável.

Dito isto, você pode tentar encontrar partes do espaço de endereço da RFC 1918 que são menos populares. Por exemplo, o espaço de endereço 192.168.x é comumente usado em redes residenciais e de pequenas empresas, possivelmente por ser o padrão em muitos dispositivos de rede low-end. Eu acho que, pelo menos, 90% das pessoas que usam o espaço de endereço 192.168.x o usam em blocos de tamanho classe C e geralmente estão iniciando o endereçamento de sub-rede em 192.168.0.x. Você provavelmente tem muito menos probabilidade de encontrar pessoas usando 192.168.255.x, portanto essa pode ser uma boa escolha.

O espaço 10.xxx também é comumente usado, a maioria das redes internas de grandes empresas que eu vi são o espaço 10.x. Mas raramente vi pessoas usando o espaço 172.16-31.x. Eu apostaria que você raramente encontrará alguém que já esteja usando o 172.31.255.x, por exemplo.

E, finalmente, se você usar um espaço que não seja RFC1918, tente pelo menos encontrar um espaço que não pertença a outra pessoa e que provavelmente não será alocado para uso público a qualquer momento no futuro. Há um artigo interessante aqui no etherealmind.com em que o autor está falando sobre o uso do espaço de endereço RFC 3330 192.18.x, reservado para testes de benchmark. Isso provavelmente seria viável para o seu exemplo de VPN, a menos que um de seus usuários de VPN trabalhe para uma empresa que fabrica ou faz benchmarks de equipamentos de rede. :-)

O terceiro octeto de nossa classe pública C era 0,67, então usamos esse interior, ou seja, 192.168.67.x

Quando configuramos nossa DMZ, usamos 192.168.68.x

Quando precisávamos de outro bloco de endereços, usamos .69.

Se precisássemos de mais (e chegamos perto algumas vezes), renumeraríamos e usaríamos 10. para que pudéssemos dar a todas as divisões da empresa muitas redes.

1. use sub-redes menos comuns como 192.168.254.0/24 em vez de 192.168.1.0/24. Os usuários domésticos normalmente usam os blocos 192.168.xx e as empresas usam 10.xxx para que você possa usar o 172.16.0.0/12 com pouquíssimos problemas.

2. use blocos de ip menores; por exemplo, se você tiver 10 usuários de VPN, use um pool de 14 endereços IP; a / 28. Se houver duas rotas para a mesma sub-rede, um roteador usará a rota mais específica primeiro. Mais específico = menor sub-rede.

3. Use links ponto a ponto, usando um bloco / 30 ou / 31, para que haja apenas dois nós nessa conexão VPN e que não haja roteamento envolvido. Isso requer um bloco separado para cada conexão VPN. Eu uso a versão do openVPN da Astaro e é assim que me conecto à minha rede doméstica a partir de outros locais.

Em relação a outras implantações de VPN, o IPsec funciona bem site a site, mas é difícil configurá-lo, por exemplo, em um laptop com janelas que viaja. O PPTP é o mais fácil de configurar, mas raramente funciona atrás de uma conexão NAT e é considerado o menos seguro.

Usar algo como 10.254.231.x / 24 ou similar também pode fazer você passar despercebido pelo radar do hotel, pois eles raramente têm redes 10.x grandes o suficiente para consumir sua sub-rede.