Хотя существует большое количество частных немаршрутизируемых сетей через 192.168 / 16 или даже 10/8, иногда, учитывая потенциальный конфликт, он все же возникает. Например, я настроил установку OpenVPN один раз с внутренней сетью VPN на 192.168.27. Все было хорошо и красиво, пока отель не использовал эту подсеть для 27 этажа в своем Wi-Fi.
Я переподключил сеть VPN к сети 172.16, поскольку она, похоже, почти не используется отелями и интернет-кафе. Но является ли это подходящим решением проблемы?
Хотя я упоминаю OpenVPN, мне бы хотелось услышать мысли об этой проблеме в других развертываниях VPN, включая простой IPSEC.
Я думаю, что что бы вы ни использовали, вы рискуете конфликтом. Я бы сказал, что очень немногие сети используют диапазоны ниже 172,16, но у меня нет доказательств, подтверждающих это; просто интуитивное ощущение, что никто не может этого вспомнить. Вы можете использовать общедоступные IP-адреса, но это немного бесполезно, и вам может не хватить лишнего.
Альтернативой может быть использование IPv6 для вашей VPN. Для этого потребуется настроить IPv6 для каждого хоста, к которому вы хотите получить доступ, но вы определенно будете использовать уникальный диапазон, особенно если вы выделите / 48 для своей организации.
У нас есть несколько IPSec VPN с нашими партнерами и клиентами, и мы иногда сталкиваемся с IP-конфликтами в их сетях. Решение в нашем случае - сделать либо источник-NAT или назначение-NAT через VPN. Мы используем продукты Juniper Netscreen и SSG, но я предполагаю, что с этим может справиться большинство высокопроизводительных устройств IPSec VPN.
К сожалению, единственный способ гарантировать, что ваш адрес не будет пересекаться с чем-то еще, - это купить блок маршрутизируемого пространства общедоступных IP-адресов.
При этом вы можете попробовать найти менее популярные части адресного пространства RFC 1918. Например, адресное пространство 192.168.x обычно используется в частных сетях и сетях малого бизнеса, возможно, потому, что оно используется по умолчанию на многих сетевых устройствах низкого уровня. Я предполагаю, что по крайней мере 90% времени люди, использующие адресное пространство 192.168.x, используют его в блоках размера класса C и обычно начинают адресацию своей подсети с адреса 192.168.0.x. Вы вероятно много меньше вероятность найти людей, использующих 192.168.255.x, так что это может быть хорошим выбором.
Пространство 10.x.x.x также широко используется, большинство крупных корпоративных внутренних сетей, которые я видел, - это пространство 10.x. Но я редко видел, чтобы люди использовали пространство 172.16-31.x. Я готов поспорить, что вы очень редко встретите кого-то, кто уже использует, например, 172.31.255.x.
И, наконец, если вы собираетесь использовать пространство, отличное от RFC1918, по крайней мере, попытайтесь найти пространство, которое не принадлежит кому-то другому и вряд ли будет выделено для публичного использования в будущем. Есть интересная статья Вот на etherealmind.com, где автор говорит об использовании адресного пространства RFC 3330 192.18.x, зарезервированного для тестов производительности. Это, вероятно, подойдет для вашего примера с VPN, если, конечно, один из ваших пользователей VPN не работает в компании, которая производит или тестирует сетевое оборудование. :-)
Третий октет нашего публичного класса C был 0,67, поэтому мы использовали его внутри, т.е. 192.168.67.x
Когда мы настраивали нашу DMZ, мы использовали 192.168.68.x
Когда нам понадобился еще один блок адресов, мы использовали 0,69.
Если бы нам нужно было больше (а мы были близки к этому пару раз), мы бы изменили нумерацию и использовали 10, чтобы дать каждому подразделению компании множество сетей.
используйте менее распространенные подсети, например 192.168.254.0/24 вместо 192.168.1.0/24. Домашние пользователи обычно используют блоки 192.168.x.x, а предприятия используют 10.x.x.x, поэтому вы можете использовать 172.16.0.0/12 с очень небольшими проблемами.
используйте меньшие блоки IP; например, если у вас 10 пользователей VPN, используйте пул из 14 IP-адресов; а / 28. Если есть два маршрута к одной и той же подсети, маршрутизатор сначала будет использовать наиболее конкретный маршрут. Самая конкретная = самая маленькая подсеть.
Используйте ссылки «точка-точка», используя блок / 30 или / 31, чтобы в этом VPN-соединении было только два узла и не использовалась маршрутизация. Для этого требуется отдельный блок для каждого VPN-соединения. Я использую версию openVPN от Astaro, и именно так я подключаюсь к своей домашней сети из других мест.
Что касается других развертываний VPN, IPsec хорошо работает на межсайтовом уровне, но его сложно настроить, скажем, на переносном ноутбуке с Windows. PPTP проще всего настроить, но он редко работает через NAT-соединение и считается наименее безопасным.
Использование чего-то вроде 10.254.231.x / 24 или аналогичного также может сделать вас незаметным для отеля, поскольку они редко имеют сети 10.x, достаточно большие, чтобы съесть вашу подсеть.