it-swarm-fr.com

Comment éviter les conflits de réseau avec les réseaux internes VPN?

Bien qu'il existe une grande variété de réseaux privés non routables sur 192.168/16 ou même 10/8, parfois en pensant à un conflit potentiel, il se produit toujours. Par exemple, j'ai configuré une installation d'OpenVPN une fois avec le réseau VPN interne sur 192.168.27. Tout allait bien et dandy jusqu'à ce qu'un hôtel utilise ce sous-réseau pour l'étage 27 sur leur wifi.

J'ai ré-IP'd le réseau VPN à un réseau 172.16, car cela semble être presque inutilisé par les hôtels et les cybercafés. Mais est-ce une solution appropriée au problème?

Bien que je mentionne OpenVPN, j'aimerais entendre des réflexions sur ce problème sur d'autres déploiements VPN, y compris IPSEC.

41
jtimberman

Nous avons plusieurs VPN IPSec avec nos partenaires et clients et nous rencontrons parfois des conflits IP avec leur réseau. La solution dans notre cas est de faire source-NAT ou destination-NAT via le VPN. Nous utilisons les produits Juniper Netscreen et SSG, mais je suppose que cela peut être géré par la plupart des périphériques VPN IPSec haut de gamme.

14
Doug Luxem

Je pense que quoi que vous utilisiez, vous allez risquer un conflit. Je dirais que très peu de réseaux utilisent des plages inférieures à 172.16, mais je n'ai aucune preuve à l'appui; juste le sentiment profond que personne ne s'en souvient. Vous pouvez utiliser des adresses IP publiques, mais c'est un peu un gaspillage et vous pourriez ne pas en avoir assez.

Une alternative pourrait être d'utiliser IPv6 pour votre VPN. Cela nécessiterait de configurer IPv6 pour chaque hôte auquel vous souhaitez accéder, mais vous utiliseriez certainement une plage unique, surtout si vous vous allouez un/48 alloué à votre organisation.

15
David Pashley

Malheureusement, la seule façon de garantir que votre adresse ne chevauchera pas avec autre chose est d'acheter un bloc d'espace d'adressage IP public routable.

Cela dit, vous pouvez essayer de trouver des parties de l'espace d'adressage RFC 1918 qui sont moins populaires. Par exemple, l'espace d'adressage 192.168.x est couramment utilisé dans les réseaux résidentiels et les petites entreprises, probablement parce que c'est la valeur par défaut sur de nombreux périphériques réseau bas de gamme. Je suppose cependant qu'au moins 90% du temps, les gens qui utilisent l'espace d'adressage 192.168.x l'utilisent dans des blocs de taille C et commencent généralement leur adressage de sous-réseau à 192.168.0.x. Vous êtes probablement beaucoup moins susceptible de trouver des personnes utilisant 192.168.255.x, donc cela pourrait être un bon choix.

L'espace 10.x.x.x est également couramment utilisé, la plupart des réseaux internes de grandes entreprises que j'ai vus sont des espaces 10.x. Mais j'ai rarement vu des gens utiliser l'espace 172.16-31.x. Je serais prêt à parier que vous trouveriez très rarement quelqu'un qui utilise déjà 172.31.255.x par exemple.

Et enfin, si vous souhaitez utiliser un espace non RFC1918, essayez au moins de trouver un espace qui n'appartient à personne d'autre et qui ne sera probablement pas alloué à un usage public à tout moment à l'avenir. Il y a un article intéressant ici sur etherealmind.com où l'auteur parle d'utiliser l'espace d'adressage RFC 3330 192.18.x qui est réservé pour les tests de référence. Cela serait probablement réalisable pour votre exemple VPN, à moins bien sûr que l'un de vos utilisateurs VPN travaille pour une entreprise qui fabrique ou compare des équipements réseau. :-)

8
Bob McCormick
  1. utilisez des sous-réseaux moins courants comme 192.168.254.0/24 au lieu de 192.168.1.0/24. Les utilisateurs à domicile utilisent généralement les blocs 192.168.x.x et les entreprises utilisent 10.x.x.x, vous pouvez donc utiliser le 172.16.0.0/12 avec très peu de problèmes.

  2. utiliser des blocs ip plus petits; par exemple, si vous avez 10 utilisateurs VPN, utilisez un pool de 14 adresses IP; a/28. S'il y a deux routes vers le même sous-réseau, un routeur utilisera d'abord la route la plus spécifique. Plus spécifique = plus petit sous-réseau.

  3. Utilisez des liaisons point à point, en utilisant un bloc/30 ou/31 afin qu'il n'y ait que deux nœuds sur cette connexion VPN et qu'il n'y ait aucun routage impliqué. Cela nécessite un bloc distinct pour chaque connexion VPN. J'utilise la version Astaro d'OpenVPN et c'est ainsi que je me reconnecte à mon réseau domestique à partir d'autres emplacements.

En ce qui concerne les autres déploiements VPN, IPsec fonctionne bien sur un site à site, mais est difficile à configurer, par exemple, un ordinateur portable Windows itinérant. PPTP est le plus facile à configurer mais fonctionne rarement derrière une connexion NAT et est considéré comme le moins sécurisé).

3
David Oresky

Le troisième octet de notre classe C publique était 0,67, nous l'avons donc utilisé à l'intérieur, c'est-à-dire 192.168.67.x

Lorsque nous avons configuré notre DMZ, nous avons utilisé 192.168.68.x

Lorsque nous avions besoin d'un autre bloc d'adresses, nous avons utilisé 0,69.

Si nous en avions besoin de plus (et nous nous sommes rapprochés à quelques reprises), nous allions renuméroter et utiliser 10. afin de pouvoir donner à chaque division de l'entreprise de nombreux réseaux.

L'utilisation de quelque chose comme 10.254.231.x/24 ou similaire pourrait également vous faire glisser sous le radar de l'hôtel, car ils ont rarement des réseaux 10.x assez grands pour manger votre sous-réseau.

1
pauska