VPN 내부 네트워크와의 네트워크 충돌을 어떻게 방지합니까?


39

192.168 / 16 또는 심지어 10/8에 걸쳐 광범위한 사설 비 라우트 네트워크가 있지만 때로는 잠재적 인 충돌을 고려하고 있지만 여전히 발생합니다. 예를 들어 192.168.27의 내부 VPN 네트워크를 사용하여 OpenVPN 설치를 한 번 설정했습니다. 호텔이 Wi-Fi의 27 층에 해당 서브넷을 사용할 때까지 이것은 훌륭하고 멋졌습니다.

VPN 네트워크를 172.16 네트워크로 다시 IP로 연결했습니다. 호텔과 인터넷 카페에서는 사용하지 않는 것 같습니다. 그러나 이것이 문제에 대한 적절한 해결책입니까?

OpenVPN을 언급하는 동안 일반 IPSEC를 포함한 다른 VPN 배포에서이 문제에 대한 의견을 듣고 싶습니다.


3
번호 매기기 구성표를 기반으로하는 호텔에서 사용하지 않을 서브넷을 피하려면 xx13을 사용해보십시오. 미신 때문에 많은 호텔이 13 층을 건너 뜁니다!
Mark Henderson

좋은 지적! 인터넷 카페에서는 작동하지 않을 수도 있지만 아마도 더 일반적 일 것입니다.
jtimberman 2016 년

경로를 변경하여 문제에 대한 다른 접근법을 사용합니다. 이 링크 는 동일한 네트워크 범위로 VPN하는 방법을 설명합니다.

답변:


14

파트너 및 고객과 여러 IPSec VPN을 보유하고 있으며 때때로 네트워크와 IP 충돌이 발생합니다. 우리의 경우 솔루션 은 VPN을 통해 source-NAT 또는 destination-NAT 를 수행하는 것입니다. 우리는 Juniper Netscreen 및 SSG 제품을 사용하고 있지만 대부분의 고급 IPSec VPN 장치에서이를 처리 할 수 ​​있다고 가정합니다.


3
내가 찾은 '더티 나트'하우투도 이와 함께 진행되며 아마도 '가장 복잡한'해결책이지만 '최고의 작업'인 것처럼 보입니다. nimlabs.org/~nim/dirtynat.html
jtimberman

15

나는 당신이 무엇을 사용하든 갈등의 위험이 있다고 생각합니다. 172.16 미만의 범위를 사용하는 네트워크는 거의 없지만,이를 뒷받침 할 증거는 없습니다. 아무도 그것을 기억할 수 없다는 직감. 퍼블릭 IP 주소를 사용할 수 있지만 약간의 낭비이며 여유가 충분하지 않을 수 있습니다.

대안으로 VPN에 IPv6을 사용할 수 있습니다. 액세스하려는 모든 호스트에 IPv6을 설정해야하지만, 특히 조직에 / 48을 할당 할 경우 고유 한 범위를 사용해야합니다.


2
실제로, 내가 본 것에서 : 192.168.0. * 및 192.168.1. *는 어디에나 있고, 192.168. *는 일반적이며, 10. *는 덜 일반적이며 172. *는 드물다. 물론 이것은 충돌 확률 만 감소 시키지만, 드문 주소 공간을 사용하면 확률은 거의 0으로 떨어집니다.
Piskvor

8

안타깝게도 주소가 다른 주소와 겹치지 않도록하는 유일한 방법은 라우팅 가능한 공용 IP 주소 공간 블록을 구입하는 것입니다.

RFC 1918 주소 공간에서 덜 인기있는 부분을 찾을 수 있다고 말했습니다. 예를 들어, 192.168.x 주소 공간은 주거용 및 소규모 비즈니스 네트워크에서 일반적으로 사용됩니다. 많은 저급 네트워크 장치의 기본값이기 때문일 수 있습니다. 192.168.x 주소 공간을 사용하는 사람들이 클래스 C 크기 블록에서 사용하는 시간의 적어도 90 %가 일반적으로 192.168.0.x에서 서브넷 주소 지정을 시작한다고 생각합니다. 당신은 아마 있습니다 많은 그 좋은 선택이 될 수 있도록, 덜 192.168.255.x를 사용하는 사람들을 찾을 수 있습니다.

10.xxx 공간도 일반적으로 사용되며 내가 본 대부분의 대기업 내부 네트워크는 10.x 공간입니다. 그러나 나는 사람들이 172.16-31.x 공간을 사용하는 것을 거의 보지 못했습니다. 예를 들어 이미 172.31.255.x를 사용하는 사람을 거의 찾을 수 없을 것입니다.

마지막으로, 비 RFC1918 공간을 사용하려는 경우 최소한 다른 사람이 아닌 향후에 언제라도 공용으로 사용할 수없는 공간을 찾으십시오. etherealmind.com에 흥미로운 기사가 있는데 , 여기서 저자는 벤치 마크 테스트 용으로 예약 된 RFC 3330 192.18.x 주소 공간 사용에 대해 이야기하고 있습니다. VPN 사용자 중 한 명이 네트워크 장비를 만들거나 벤치 마크하는 회사에서 일하지 않는 한 VPN 예제에서 작동 할 수 있습니다. :-)


3

Public 클래스 C의 세 번째 옥텟은 .67이므로 내부에서 192.168.67.x를 사용했습니다.

DMZ를 설정할 때 192.168.68.x를 사용했습니다.

다른 주소 블록이 필요할 때 .69를 사용했습니다.

우리가 더 많은 것을 필요로한다면 (그리고 우리는 몇 번 가까워 졌다면) 우리는 번호를 매기고 10을 사용할 것입니다. 그래서 우리는 회사의 모든 부서에 많은 네트워크를 줄 수있었습니다.


3
  1. 192.168.1.0/24 대신 192.168.254.0/24와 같이 덜 일반적인 서브넷을 사용하십시오. 개인 사용자는 일반적으로 192.168.xx 블록을 사용하고 기업은 10.xxx를 사용하므로 문제가 거의없이 172.16.0.0/12를 사용할 수 있습니다.

  2. 더 작은 IP 블록을 사용하십시오. 예를 들어 10 명의 VPN 사용자가있는 경우 14 개의 IP 주소 풀을 사용하십시오. / 28. 동일한 서브넷에 두 개의 경로가있는 경우 라우터는 가장 구체적인 경로를 먼저 사용합니다. 가장 구체적 = 가장 작은 서브넷.

  3. / 30 또는 / 31 블록을 사용하여 지점 간 링크를 사용하여 해당 VPN 연결에 두 개의 노드 만 있고 라우팅이 필요하지 않습니다. VPN 연결마다 별도의 블록이 필요합니다. Astaro의 openVPN 버전을 사용하는데 다른 위치에서 홈 네트워크에 다시 연결하는 방법입니다.

다른 VPN 배포의 경우 IPsec은 사이트마다 잘 작동하지만 여행용 Windows 랩톱과 같이 구성하기가 어렵습니다. PPTP는 구성하기가 가장 쉽지만 NAT 연결에서 거의 작동하지 않으며 가장 안전하지 않은 것으로 간주됩니다.


1

10.254.231.x / 24 또는 이와 유사한 것을 사용하면 서브넷을 먹을 정도로 10.x 네트워크가 거의 없기 때문에 호텔 레이더 아래로 미끄러질 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.