База знаний по Open Source
Авторизация
Поиск по базе знаний

Настройка VPN часто влечет за собой объединение частных сетей (private subnets), расположенных в различных, ингда территориально удаленных помещениях.

Internet Assigned Numbers Authority (IANA) зарезервировала следующие три блока адресного пространства IP для частных сетей (описанные в RFC 1918):

10.0.0.0 10.255.255.255 (префикс 10/8)
172.16.0.0 172.31.255.255 (префикс 172.16/12)
192.168.0.0 192.168.255.255 (префикс 192.168/16)

Хотя адреса из этих блоков, как правило, могут без проблем использоваться в конфигурациях VPN, важно выбрать адреса, которые минимизируют вероятность конфликтов IP-адресов или подсетей между собой. Виды конфликтов, которые необходимо предотвратить:

  • конфликты разных сайтов, подключенных к VPN, которые используют одинаковую нумерацию своих сетей, или
  • подключения удаленного доступа с сайтов, которые используют частные подсети, конфликтующие с вашими VPN-подсетями.

В качестве примера предположим, что вы используете популярный диапазон 192.168.0.0/24 для нумерации вашей частной локальной сети. Вы пытаетесь подключиться к VPN из Интернет-кафе, которое использует те же адреса в своей Wi-Fi сети. У вас получится конфликт в маршрутизации, потому что ваша машина не будет знать к чему относится 192.168.0.1 — к локальному Wi-Fi шлюзу или такому же адресу в VPN.

В качестве другого примера предположим, что вы хотите связать воедино множество сайтов с помощью VPN, но каждый сайт использует для адресации диапазон 192.168.0.0/24. Это не будет работать без добавления прослойки трансляции адресов с помощью NAT, потому что VPN не знает как маршрутизировать пакеты между несколькими сайтами, если эти сайты не используют однозначно идентифицирующие их адреса подсетей.

Наилучшим решением будет избегать использования адресов 10.0.0.0/24 и 192.168.0.0/24 для адресов в частных локальных сетях. Вместо этого используйте те адреса, которые имеют меньшую вероятность быть использованными в Wi-Fi кафе, аэропорте или гостинице, откуда можно было бы ожидать подключения в удаленном режиме. Лучшими кандидатами являются подсети в середине огромного сетевого блока 10.0.0.0/8 (например 10.66.77.0/24).

Чтобы избежать межсайтовых конфликтов с IP-нумерацией, всегда используйте уникальные адреса локальных подсетей.

Еще по теме Общее по VPN