Ich bin ein Netzwerk-Neuling hier. Ich habe einen OpenVPN-Server in meinem Heimnetzwerk eingerichtet, sodass ich über öffentliches WLAN zunächst eine Verbindung zu meinem Heimnetzwerk herstellen und dann das Internet mit einem gewissen Maß an Sicherheit nutzen kann. Zur Einrichtung bin ich diesem Tutorial gefolgt:https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-14-04. Soweit ich das beurteilen kann, handelt es sich um ein sehr einfaches OpenVPN-Setup vom Typ Tunneling. Wenn alles normal läuft, kann ich über diesen OpenVPN-Server auf das Internet zugreifen und mich mit Servern in meinem Heimnetzwerk verbinden.
Mir ist jedoch ein Problem aufgefallen. Der IPv4-Bereich meines Heimnetzwerks ist 10.0.1.0/24, was die Standardeinstellung meines Mac AirPort Extreme-Routers ist. Wenn ich zu einem Freund oder an einen anderen öffentlichen Ort gehe, dessen Router ebenfalls den 10.0.1.0/24IPv4-Bereich verwendet, kann ich zwar eine Verbindung zu meinem Heimnetzwerk herstellen, aber dort auf nichts zugreifen. Der Grund liegt auf der Hand: Das lokale Netzwerk, in dem ich mich befinde, verwendet denselben Bereich und dasselbe Standard-Gateway wie mein Heimnetzwerk.
Ich könnte meinen Netzwerkbereich ändern, würde dann aber jedes Mal auf ein ähnliches Problem stoßen, wenn der lokale IPv4-Netzwerkbereich einer anderen Person derselbe wäre.
Meine Frage ist: Welche Art von Setup benötige ich, um dieses Problem zu vermeiden? Ist das der Grund, ein TAP-Setup anstelle von TUN zu verwenden? Ich suche eher nach einem Ort, an dem ich anfangen kann. Hier ist meine Serverkonfiguration:
/etc/openvpn/server.conf
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
dh dh2048.pem
server 10.8.0.0 255.255.255.0 # IP range for connecting users
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 10.0.1.13" # My local DNS server
push "dhcp-option DNS 10.0.1.1" # My home router DNS
push "dhcp-option DNS 8.8.8.8" # Google public DNS
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
**** BEARBEITEN 1 ****
Ich habe diese Ressourcen gefunden:
https://openvpn.net/index.php/open-source/documentation/howto.html#numbering
Gibt es wirklich keine Möglichkeit, dieses Problem zu umgehen, außer ein weniger genutztes privates IPv4-Subnetz auszuwählen?
Antwort1
Wie @Ecnerwal sagte, können Sie das Problem nicht vermeiden – nur abmildern –, obwohl es einige Tricks gibt, um die Wahrscheinlichkeit einer Kollision VIEL geringer zu machen.
Sie könnten 172.31.xx verwenden (die Leute scheinen kaum zu bemerken, dass 172.16-32.xx auf dieselbe Weise reserviert ist wie 192.168.xx und 10.xxx und daher praktisch nie verwendet wird), oder - wenn Sie die Standards leicht brechen möchten - 100.64.0.x
100.64.0.x sollte nicht in Heimnetzwerken verwendet werden, da es sich um "Carrier Grade NAT" handelt. Da Sie die Endpunkte kapseln, können Sie wahrscheinlich ungestraft gegen die Regeln verstoßen!
Wenn Sie Ihren Bereich angeben, möchten Sie wahrscheinlich den kleinstmöglichen Bereich angeben – bei einem /30-Subnetz (d. h. 4 IP-Adressen in der Mitte des Bereichs) ist die Wahrscheinlichkeit, dass es bestimmte Maschinen hinter NAT stört, viel geringer und es sollte in der Praxis gut funktionieren, da es sich um eine sehr spezifische Route handelt.
Eine andere Lösung wäre natürlich, Ihren Tunnel auf IPV6 umzustellen.