Um novato em redes aqui. Configurei um servidor OpenVPN na minha rede doméstica para poder usar o Wi-Fi público para primeiro me conectar à minha rede doméstica e depois usar a Internet com algum grau de segurança. Segui este tutorial para configurá-lo:https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-14-04. Até onde eu sei, é uma configuração OpenVPN do tipo túnel muito simples. Ao trabalhar normalmente, posso acessar a Internet através deste servidor OpenVPN, bem como conectar-me aos servidores da minha rede doméstica.
No entanto, notei um problema. Meu alcance de rede IPv4 doméstico é 10.0.1.0/24, que é o padrão fornecido com meu roteador Mac AirPort Extreme. Quando vou à casa de um amigo, ou outro local público cujo roteador também utilize a 10.0.1.0/24faixa IPv4, consigo me conectar à minha rede doméstica, mas não consigo acessar nada lá. O motivo é óbvio: a rede local em que estou usa o mesmo alcance e gateway padrão da minha configuração doméstica.
Eu poderia alterar meu alcance de rede, mas encontraria um problema semelhante sempre que o alcance de rede IPv4 local de alguém fosse o mesmo.
Minha pergunta é: que tipo de configuração eu precisaria para evitar esse problema? Este é o motivo para usar uma configuração TAP em vez de TUN? Estou mais procurando um lugar para começar. Aqui está a configuração do meu servidor:
/etc/openvpn/server.conf
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
dh dh2048.pem
server 10.8.0.0 255.255.255.0 # IP range for connecting users
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 10.0.1.13" # My local DNS server
push "dhcp-option DNS 10.0.1.1" # My home router DNS
push "dhcp-option DNS 8.8.8.8" # Google public DNS
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
**** EDITAR 1 ****
Encontrei estes recursos:
https://openvpn.net/index.php/open-source/documentation/howto.html#numbering
https://serverfault.com/questions/21399/how-do-you-avoid-network-conflict-with-vpn-internal-networks
Não há realmente nenhuma maneira de contornar esse problema, exceto escolher uma sub-rede IPv4 privada menos usada?
Responder1
Como disse @Ecnerwal, você não pode evitar o problema - apenas mitigá-lo - embora existam alguns truques para tornar a probabilidade de colisão MUITO menor.
Você poderia usar 172.31.xx (as pessoas raramente parecem perceber que 172.16-32.xx é reservado da mesma forma que 192.168.xx e 10.xxx são e, portanto, praticamente nunca são usados) ou - se você quiser quebrar um pouco os padrões, 100.64 .0.x
100.64.0.x não deve ser usado em redes domésticas como seu "NAT de grau de operadora". Como você está encapsulando os endpoints, provavelmente poderá quebrar as regras!
Ao especificar seu intervalo, você provavelmente desejará especificar o menor intervalo possível - uma sub-rede /30 (ou seja, 4 endereços IP no meio do intervalo) tem muito menos probabilidade de interferir em máquinas específicas atrás de nat e deve funcionar bem em prática porque é uma rota muito específica.
Claro, outra solução seria mudar o seu túnel para IPV6.