Comment éviter les conflits de réseau avec les réseaux internes VPN ?

Je pense que quelle que soit la méthode utilisée, vous risquez d'être confronté à un conflit. Je dirais que très peu de réseaux utilisent des plages inférieures à 172.16, mais je n'ai aucune preuve à l'appui ; juste l'intuition que personne ne peut s'en souvenir. Vous pourriez utiliser des adresses IP publiques, mais c'est un peu du gaspillage et vous risquez de ne pas en avoir assez.

Une autre solution consiste à utiliser l'IPv6 pour votre VPN. Cela nécessiterait de configurer l'IPv6 pour chaque hôte auquel vous voudriez accéder, mais vous utiliseriez certainement une plage unique, surtout si vous obtenez un /48 alloué à votre organisation.

Malheureusement, le seul moyen de garantir que votre adresse n'empiétera pas sur une autre est d'acheter un bloc d'adresses IP publiques routables.

Cela dit, vous pouvez essayer de trouver des parties de l'espace d'adressage RFC 1918 qui sont moins populaires. Par exemple, l'espace d'adressage 192.168.x est couramment utilisé dans les réseaux résidentiels et les réseaux de petites entreprises, peut-être parce qu'il s'agit de l'adresse par défaut de nombreux périphériques réseau bas de gamme. Je suppose cependant qu'au moins 90 % des personnes qui utilisent l'espace d'adressage 192.168.x l'utilisent dans des blocs de taille classe C et commencent généralement leur adressage de sous-réseau à 192.168.0.x. Vous êtes probablement une lot Il y a moins de chances de trouver des gens qui utilisent 192.168.255.x, ce qui pourrait être un bon choix.

L'espace 10.x.x.x est également couramment utilisé, la plupart des réseaux internes des grandes entreprises que j'ai vus sont dans l'espace 10.x. Mais j'ai rarement vu des gens utiliser l'espace 172.16-31.x. Je suis prêt à parier que vous trouverez très rarement quelqu'un qui utilise déjà 172.31.255.x par exemple.

Enfin, si vous devez utiliser un espace non RFC1918, essayez au moins de trouver un espace qui n'appartient pas à quelqu'un d'autre et qui n'est pas susceptible d'être alloué à un usage public à l'avenir. Il existe un article intéressant aquí sur etherealmind.com où l'auteur parle de l'utilisation de l'espace d'adressage RFC 3330 192.18.x qui est réservé aux tests de référence. Cela pourrait probablement fonctionner pour votre exemple de VPN, à moins bien sûr que l'un de vos utilisateurs de VPN ne travaille pour une société qui fabrique ou teste des équipements de réseau :-)

Le troisième octet de notre classe C publique était .67, nous l'avons donc utilisé à l'intérieur, c'est-à-dire 192.168.67.x.

Lorsque nous avons mis en place notre DMZ, nous avons utilisé 192.168.68.x

Lorsque nous avons eu besoin d'un autre bloc d'adresses, nous avons utilisé .69.

Si nous avions eu besoin de plus (et nous avons failli le faire à plusieurs reprises), nous allions renuméroter et utiliser 10. afin de pouvoir donner à chaque division de l'entreprise un grand nombre de réseaux.

1. utilisent des sous-réseaux moins courants comme 192.168.254.0/24 au lieu de 192.168.1.0/24. Les particuliers utilisent généralement les blocs 192.168.x.x et les entreprises 10.x.x.x. Vous pouvez donc utiliser le bloc 172.16.0.0/12 sans trop de problèmes.

2. utiliser des blocs d'adresses IP plus petits ; par exemple, si vous avez 10 utilisateurs VPN, utilisez un pool de 14 adresses IP ; un /28. S'il existe deux routes vers le même sous-réseau, un routeur utilisera d'abord la route la plus spécifique. La plus spécifique = le plus petit sous-réseau.

3. Utilisez des liaisons point à point, en utilisant un bloc /30 ou /31 afin qu'il n'y ait que deux nœuds sur cette connexion VPN et qu'il n'y ait pas de routage. Cela nécessite un bloc séparé pour chaque connexion VPN. J'utilise la version d'Astaro d'openVPN et c'est ainsi que je me connecte à mon réseau domestique depuis d'autres endroits.

En ce qui concerne les autres déploiements VPN, IPsec fonctionne bien d'un site à l'autre, mais c'est une véritable plaie à configurer, par exemple, sur un ordinateur portable Windows en déplacement. Le PPTP est le plus facile à configurer mais fonctionne rarement derrière une connexion NAT et est considéré comme le moins sûr.