jti*_*man 45 networking security vpn openvpn
虽然在 192.168/16 甚至 10/8 之间有各种各样的私有不可路由网络,但有时考虑到潜在的冲突,它仍然会发生。例如,我在 192.168.27 上使用内部 VPN 网络设置了一次安装 OpenVPN。这一切都很好,直到一家酒店在其 wifi 上使用该子网作为 27 楼。
我将 VPN 网络重新 IP 连接到 172.16 网络,因为这似乎几乎没有被酒店和网吧使用。但这是解决问题的适当方法吗?
虽然我提到了 OpenVPN,但我很想听听其他 VPN 部署中关于这个问题的想法,包括普通的 IPSEC。
Dav*_*ley 15
我认为无论你使用什么,你都会冒着冲突的风险。我会说很少有网络使用 172.16 以下的范围,但我没有证据支持这一点;只是一种没有人能记住它的直觉。您可以使用公共 IP 地址,但这有点浪费,而且您可能没有足够的空间可用。
另一种方法是为您的 VPN 使用 IPv6。这需要为您想要访问的每台主机设置 IPv6,但您肯定会使用唯一的范围,尤其是如果您为自己的组织分配了 /48。
Dou*_*xem 14
我们与合作伙伴和客户有多个 IPSec VPN,偶尔会遇到与他们网络的 IP 冲突。在我们的案例中,解决方案是通过 VPN执行源 NAT或目标 NAT。我们使用的是瞻博网络 Netscreen 和 SSG 产品,但我认为大多数高端 IPSec VPN 设备都可以处理。
不幸的是,保证您的地址不会与其他地址重叠的唯一方法是购买一块可路由的公共 IP 地址空间。
话虽如此,您可以尝试查找 RFC 1918 地址空间中不太受欢迎的部分。例如,192.168.x 地址空间通常用于住宅和小型企业网络,可能是因为它是许多低端网络设备的默认设置。我猜虽然使用 192.168.x 地址空间的人至少有 90% 的时间在 C 类大小的块中使用它,并且通常从 192.168.0.x 开始他们的子网寻址。你可能是很多的不容易找到使用192.168.255.x人,所以这可能是一个不错的选择。
10.xxx空间也比较常用,我见过的大企业内网大部分都是10.x空间。但是我很少看到有人使用 172.16-31.x 空间。例如,我敢打赌你很少会发现有人已经在使用 172.31.255.x。
最后,如果您打算使用非 RFC1918 空间,至少要尝试找到不属于其他人且将来不太可能分配给公共使用的空间。这里有一个有趣的文章,这里在etherealmind.com在这里笔者在谈论使用的保留了基准测试RFC 3330 192.18.x地址空间。这可能适用于您的 VPN 示例,除非您的 VPN 用户之一为制造或基准网络设备的公司工作。:-)
| 归档时间: |
|
| 查看次数: |
65112 次 |
| 最近记录: |