Подключение через VPN, когда локальные и удаленные сети используют идентичные диапазоны адресов
В рамках своей работы я подключаюсь к VPN, которая использует диапазон адресов 192.168.1.* В удаленной сети. Часто я подключаюсь из публичных точек доступа WiFi, которые редко контролируют их конфигурацию. Горячие точки находятся за пределами организации. Это общественные точки доступа, в кафе, отелях и т. Д.
У меня проблема в том, что иногда точка доступа WiFi использует тот же диапазон адресов 192.168.1.*.
Обычно мое решение состоит в том, чтобы вытащить мой телефон и использовать его портативную точку доступа, но это может дорого обойтись, особенно если я в роуминге.
Чтобы не использовать свой телефон, я купил дорожный маршрутизатор и настроил его для предоставления частной подсети с диапазоном IP-адресов 192.168.2.*, Поэтому даже если бы большая точка доступа WiFi была 192.168.1.*, Я бы избежал конфликта.
Даже после того, как я изменил диапазон IP-адресов маршрутизатора на 192.168.2.* Конфликт все еще продолжался. Возможно, сеть, частью которой являлась моя подсеть (192.168.1.*), Как-то конфликтовала с VPN? Я не уверен. И я не мог найти какие-либо ресурсы в Интернете, чтобы помочь мне с этой конкретной проблемой.
С тех пор я потерял этот роутер и собираюсь заменить его. Но прежде чем я это сделаю, я хочу быть уверен, что смогу решить проблему конфликта адресов VPN.
Как я могу подключиться к VPN, которая использует тот же диапазон IP-адресов, что и локальная сеть, из которой я подключаюсь?
РЕДАКТИРОВАТЬ:
- Я использую Mac.
- Я использую предоставленный Org VPN-клиент, SonicWall Mobile Client.
- Я не уверен, какой именно IP-адрес вызывает конфликт. В организации существует куча адресов 192.168.1.*. Как я могу это узнать?
- Я не могу просить, чтобы моя организация изменила свой диапазон VPN на что-то более неясное.
- Маска подсети VPN 255.255.255.0
- Я не захожу в интернет через VPN.
- Я никогда не мог получить доступ к любым ресурсам, которые мне нужны в сети VPN во время конфликта, но возможно, что есть ресурсы, которые все еще доступны, о которых я не знал или не тестировал.
3 ответа
TL;DR
Используйте туристический роутер. Настройте его, чтобы назначить вашему ноутбуку IP-адрес в IP-подсети 10.15.15.0/24, Кроме того, убедитесь, что аренда DHCP, которую он раздает, определяет себя как DNS-сервер.
Nothing Works ™, когда устройство имеет два сетевых интерфейса, подключенных к перекрывающимся IP-подсетям
При подключении к VPN ваш компьютер имеет два сетевых интерфейса:
- Адаптер Wi-Fi
- VPN-адаптер
Проблема, с которой вы столкнулись, вызвана обоими этими интерфейсами, утверждающими, что они являются правильным местом назначения для 192.168.1.0/24 IP подсеть. В типичной конфигурации интерфейс с наименьшей метрикой интерфейса (обычно с самой высокой пропускной способностью) выиграет связь и получит трафик. Это означает, что трафик, который вы хотите отправить через адаптер VPN, фактически отправляется на адаптер Wi-Fi.
Есть случаи, когда нормально иметь два интерфейса, указывающих на одну и ту же сеть. Например, ноутбук, который подключен к определенной сети через проводной и беспроводной интерфейсы, является одной из таких конфигураций. Однако в этом случае сеть назначения остается неизменной независимо от того, какой сетевой адаптер используется для доступа к ней... так что все работает нормально.
Маршрутизатор это хорошая идея
Если вы сможете подключить адаптер Wi-Fi к любой IP-подсети, отличной от той, которая используется удаленной сетью VPN, вы избежите описанной выше проблемы. Обратите внимание, что эта новая сеть никоим образом не может перекрывать сеть VPN, т.е. 192.168.0.0/16 не будет работать, так как это включает в себя 192.168.1.0/24 спектр. К счастью, вы можете контролировать это, сконфигурировав параметры локальной подсети IP-маршрутизатора, чтобы они были чем-то вроде 10.15.15.0/24, Само собой разумеется, но важно, чтобы интерфейс WAN туристического маршрутизатора был подключен к точке доступа Wi-Fi, в противном случае ваш ноутбук все равно будет обмениваться данными напрямую с 192.168.1.0/24 подсеть.
При подключении к вашему туристическому маршрутизатору интерфейс Wi-Fi должен иметь такой IP-адрес, как 10.15.15.2/24, Поэтому соединения с IP-адресами в 192.168.1.0/24 сеть будет подключаться напрямую к адаптеру VPN, поскольку ваш ноутбук не знает, какой диапазон сети существует на стороне интерфейса WAN вашего маршрутизатора.
Последнее требование заключается в том, чтобы ваш маршрутизатор путешествий настраивал ваш ноутбук для использования в качестве DNS-сервера. Маршрутизатор должен передавать DNS-запросы DNS-серверам точки доступа Wi-Fi. Если вы этого не сделаете, ваш ноутбук может получить DNS-сервер, как 192.168.1.1, Как объяснялось ранее, в то время как в VPN ваш ноутбук будет ожидать, что обнаружит это в сети VPN, в результате чего запросы DNS не будут должным образом разрешены.
Вы не посоветовали, какой тип VPN вы используете. Если вы не используете OpenVPN, проблема может заключаться в трансляции сетевых адресов.
Возможно, вам лучше использовать более неясную подсеть - например, 172.18.0.0/24 (это диапазон 172.16.0.0 - 172.31.255.255, которая является менее известным блоком), или даже немного изменить правила, используя 100.64.0,0 / 24 (зарезервировано для NAT операторского класса).
Одна из проблем, с которой вы можете столкнуться при использовании 192.168.2.x, заключается в том, что ваши провайдеры могут использовать 192.168.0.0/16, включая 192.168.2.x. Также возможно (но маловероятно), что ваше старое устройство рассматривало 192.168 как пространство RFC1918 и не использовало трансляцию сетевых адресов.
Третья возможность состоит в том, что горячая точка ограничивает трафик веб-трафиком или общими портами (возможно, в попытке прекратить торрент)? В этом случае вам нужно будет запустить сервер OpenVPN на порту 443 [и, конечно, только откройте его после входа в WIFI, если требуется].
Если вы можете сузить IP-адреса в 192.168.1.x, которые вы хотите получить через VPN, вы можете добавить маршруты хоста на вашем ноутбуке, чтобы они указывали "в туннель". Это работает до тех пор, пока адрес локального шлюза не конфликтует с тем, что вы внутри вашей VPN - например, если ваш локальный /Wi-Fi-шлюз имеет 192.168.1.1, вы не сможете достичь чего-то с тем же адресом внутри вашей VPN.
Ваш мобильный маршрутизатор должен был работать, если вам не нужен доступ к чему-либо еще (включая локальный DNS-сервер) в сети Wi-Fi. В следующий раз, когда вы используете один, запустите netstat -nr и проверьте, на что указывают шлюз и маршруты интерфейса для 192.168.1.0.