虽然有192.168 / 16甚至10/8的私有非路由networking,有时在考虑到潜在的冲突时,它仍然会发生。 例如,我使用192.168.27上的内部VPNnetworking设置了一次OpenVPN安装。 这一切都很好,直到一家酒店在他们的wifi上使用27号楼的子网。
我将VPNnetworking重新连接到172.16networking,因为这似乎几乎都没有被酒店和网吧使用。 但是,这是一个适当的解决scheme?
虽然我提到OpenVPN,但是我很想听听其他VPN部署中的这个问题,包括普通的IPSEC。
我们有几个IPSec VPN与我们的合作伙伴和客户,偶尔会遇到与他们networking的IP冲突。 我们的解决scheme是在VPN上执行源NAT或目的NAT 。 我们正在使用Juniper Netscreen和SSG产品,但我认为这可以由大多数高端IPSec VPN设备处理。
我认为,无论你使用什么,你都会冒着冲突的风险。 我想说的是,很less有networking使用172.16下的范围,但是我没有证据支持这一点。 只是没有人能记住它的直觉。 你可以使用公共IP地址,但这有点浪费,你可能没有足够的空间。
另一种方法可能是使用IPv6作为您的VPN。 这将需要为每个你想访问的主机设置IPv6,但是你肯定会使用一个独特的范围,特别是如果你自己把/ 48分配给你的组织。
不幸的是,唯一保证你的地址不会与别的东西重叠的方法就是购买一个可路由的公共IP地址空间块。
话虽如此,你可以尝试find不太受欢迎的RFC 1918地址空间的一部分。 例如,192.168.x地址空间通常用于住宅和小型企业networking,可能是因为它是许多低端networking设备的默认设备。 我猜测,至less有90%的人使用192.168.x的地址空间在C类中使用它,通常是在192.168.0.x开始他们的子网寻址。 你可能不太可能find使用192.168.255.x的人,所以这可能是一个不错的select。
10.xxx空间也很常用,我见过的大多数大型企业内部networking都是10.x空间。 但是我很less见到使用172.16-31.x空间的人。 我愿意打赌,你很less会发现有人已经使用172.31.255.x例如。
最后,如果您打算使用非RFC1918空间,至less会尝试查找不属于他人的空间,并且在将来可能不会随时分配给公共使用。 在etherealmind.com上有一篇有趣的文章,作者正在讨论使用RFC 3330 192.18.x地址空间,这个地址空间是为基准testing保留的。 这对您的VPN示例来说可能是可行的,除非您的VPN用户之一为公司的制造商或基准networking设备工作。 🙂
我们的公共类C的第三个八位字节是.67,所以我们在里面使用,即192.168.67.x
当我们build立我们的DMZ时,我们使用了192.168.68.x
当我们需要另一个地址块时,我们使用.69。
如果我们需要更多的东西(而且我们差不多几次),我们要重新编号和使用10.这样我们就可以给公司中的每个部门提供大量的networking。
使用类似10.254.231.x / 24或类似软件的东西也可能会让你滑下酒店的雷达,因为它们很less有足够大的10.xnetworking来吃掉你的子网。
1使用不常见的子网,如192.168.254.0/24而不是192.168.1.0/24。 家庭用户通常使用192.168.xx块,企业使用10.xxx,因此您可以使用172.16.0.0/12,但问题很less。
2使用较小的IP块; 例如,如果您有10个VPN用户,请使用14个IP地址池; a / 28。 如果有两条路由到同一个子网,路由器将首先使用最具体的路由。 最具体=最小的子网。
3使用点对点链接,使用/ 30或/ 31块,以便该VPN连接上只有两个节点,并且不涉及路由。 这需要每个VPN连接都有一个单独的块。 我使用Astaro的版本的openVPN,这是我从其他地方连接回我的家庭networking。
就其他VPN部署而言,IPsec在站点到站点的基础上运行良好,但是在configurationWindows笔记本电脑上却很麻烦。 PPTP是最容易configuration的,但很less在NAT连接后面工作,被认为是最不安全的。