Comment éviter les conflits de réseau avec les réseaux internes VPN?


39

Il existe une grande variété de réseaux privés non routables sur 192.168 / 16 ou même 10/8, parfois en pensant à un conflit potentiel, mais cela se produit toujours. Par exemple, j'ai configuré une installation OpenVPN une fois avec le réseau VPN interne sur 192.168.27. Tout allait bien jusqu'à ce qu'un hôtel utilise ce sous-réseau pour le 27ème étage avec leur wifi.

J'ai re-IP le réseau VPN sur un réseau 172.16, car il semble que les hôtels et les cafés Internet l'utilisent à peine. Mais est-ce une solution appropriée au problème?

Bien que je parle d'OpenVPN, j'aimerais entendre des commentaires sur ce problème lors d'autres déploiements de VPN, notamment IPSEC.


3
Si vous souhaitez éviter un sous-réseau qui risque de ne pas être utilisé par les hôtels qui basent leur système de numérotation sur les étages, utilisez xx13 - de nombreux hôtels passeront à l'étage 13 à cause de la superstition!
Mark Henderson

Bon point! Bien que cela puisse ne pas fonctionner pour les cybercafés, ce qui est probablement plus courant.
jtimberman

J'utilise une approche alternative au problème en modifiant les itinéraires. Ce lien explique comment VPN dans la même gamme de réseau.

Réponses:


14

Nous avons plusieurs VPN IPSec avec nos partenaires et clients et rencontrons parfois des conflits IP avec leur réseau. La solution dans notre cas consiste à effectuer le NAT source ou NAT de destination sur le VPN. Nous utilisons les produits Juniper Netscreen et SSG, mais je suppose que cela peut être géré par la plupart des périphériques VPN IPSec haut de gamme.


3
Le Howto sale que j'ai trouvé va dans le même sens et semble être la solution la plus efficace mais probablement la plus compliquée. nimlabs.org/~nim/dirtynat.html
jtimberman

15

Je pense que quoi que vous utilisiez, vous risqueriez un conflit. Je dirais que très peu de réseaux utilisent des plages inférieures à 172.16, mais je n'ai aucune preuve à l'appui. juste le pressentiment que personne ne peut s'en souvenir. Vous pouvez utiliser des adresses IP publiques, mais c'est un peu un gaspillage et vous n'en avez peut-être pas assez.

Une alternative pourrait être d'utiliser IPv6 pour votre VPN. Cela nécessiterait de configurer IPv6 sur chaque hôte auquel vous souhaitez accéder, mais vous utiliseriez certainement une plage unique, en particulier si vous obteniez un / 48 alloué à votre organisation.


2
En effet, d'après ce que j'ai vu: 192.168.0. * Et 192.168.1. * Sont omniprésents, 192.168. * Sont fréquents, 10. * moins fréquents et 172 * sont rares. Bien sûr, cela ne fait que diminuer la probabilité de collision, mais si vous utilisez un espace d'adressage rare, la probabilité tombe presque à zéro.
Piskvor

8

Malheureusement, la seule façon de garantir que votre adresse ne se chevauchera pas avec quelque chose d'autre est d'acheter un bloc d'espace d'adressage IP public routable.

Cela dit, vous pouvez essayer de trouver des parties de l'espace d'adressage RFC 1918 moins populaires. Par exemple, l'espace d'adressage 192.168.x est couramment utilisé dans les réseaux résidentiels et les petites entreprises, peut-être parce qu'il s'agit du paramètre par défaut pour de nombreux périphériques réseau bas de gamme. Cependant, je suppose qu’au moins 90% des utilisateurs d’espace adresse 192.168.x l’utilisent dans des blocs de classe C et démarrent généralement leur adressage de sous-réseau à 192.168.0.x. Vous êtes probablement beaucoup moins susceptible de trouver des personnes utilisant 192.168.255.x, ce qui pourrait être un bon choix.

L'espace 10.xxx est également couramment utilisé. La plupart des réseaux internes de grandes entreprises que j'ai vus sont des espaces 10.x. Mais j'ai rarement vu des personnes utiliser l'espace 172.16-31.x. Je serais prêt à parier que vous trouverez très rarement quelqu'un utilisant déjà 172.31.255.x par exemple.

Enfin, si vous souhaitez utiliser un espace non-RFC1918, essayez au moins de trouver un espace n'appartenant pas à quelqu'un d'autre et susceptible de ne pas être affecté à un usage public à l'avenir. Il y a un article intéressant ici à etherealmind.com où l'auteur parle en utilisant l'espace d'adressage RFC 3330 192.18.x qui est réservé aux tests de référence. Cela serait probablement réalisable pour votre exemple de réseau privé virtuel, à moins que, bien sûr, l’un de vos utilisateurs de réseau privé virtuel travaille pour une entreprise qui fabrique ou teste l’équipement réseau. :-)


3

Le troisième octet de notre classe publique C était 0,67, nous l'avons donc utilisé à l'intérieur, c'est-à-dire 192.168.67.x

Lorsque nous avons configuré notre zone démilitarisée, nous avons utilisé 192.168.68.x

Lorsque nous avions besoin d’un autre bloc d’adresses, nous avons utilisé 0,69.

Si nous avions besoin de plus (et nous nous sommes approchés plusieurs fois), nous allions numéroter et utiliser 10. afin de pouvoir attribuer à chaque division de la société de nombreux réseaux.


3
  1. utilisez des sous-réseaux moins communs tels que 192.168.254.0/24 au lieu de 192.168.1.0/24. Les utilisateurs particuliers utilisent généralement les blocs 192.168.xx et les entreprises utilisent 10.xxx, ce qui vous permet d'utiliser 172.16.0.0/12 avec très peu de problèmes.

  2. utilisez des blocs ip plus petits; Par exemple, si vous avez 10 utilisateurs VPN, utilisez un pool de 14 adresses IP; a / 28. S'il existe deux routes vers le même sous-réseau, un routeur utilisera d'abord la route la plus spécifique. Plus spécifique = plus petit sous-réseau.

  3. Utilisez des liaisons point à point, en utilisant un bloc / 30 ou / 31 afin qu'il n'y ait que deux nœuds sur cette connexion VPN et qu'aucun routage ne soit impliqué. Cela nécessite un bloc distinct pour chaque connexion VPN. J'utilise la version d'openVPN d'Astaro et c'est ainsi que je me connecte à mon réseau domestique à partir d'autres emplacements.

En ce qui concerne les autres déploiements VPN, IPsec fonctionne bien site par site, mais il est difficile de configurer, par exemple, un ordinateur portable Windows itinérant. Le protocole PPTP est le plus facile à configurer mais fonctionne rarement derrière une connexion NAT et est considéré comme le moins sécurisé.


1

Utiliser quelque chose comme 10.254.231.x / 24 ou similaire pourrait également vous faire passer sous le radar de l’hôtel, car ils ont rarement des réseaux 10.x assez grands pour manger votre sous-réseau.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.