Подключение через VPN, когда локальные и удаленные сети используют идентичные диапазоны адресов

2183
Matt Alexander

В рамках своей работы я подключаюсь к VPN, которая использует диапазон адресов 192.168.1. * В удаленной сети. Часто я подключаюсь из публичных точек доступа WiFi, которые редко контролируют их конфигурацию. Горячие точки находятся за пределами организации. Это общественные точки доступа, в кафе, отелях и т. Д.

У меня проблема в том, что иногда точка доступа WiFi использует тот же диапазон адресов 192.168.1. *.

Обычно мое решение состоит в том, чтобы вытащить мой телефон и использовать его портативную точку доступа, но это может стать дорогостоящим, особенно если я в роуминге.

Чтобы не использовать свой телефон, я купил дорожный маршрутизатор и настроил его для предоставления частной подсети с диапазоном IP-адресов 192.168.2. *, Поэтому даже если бы большая точка доступа WiFi была 192.168.1. *, Я бы избежал конфликта.

Даже после того, как я изменил диапазон IP-адресов маршрутизатора на 192.168.2. * Конфликт все еще продолжался. Возможно, сеть, частью которой являлась моя подсеть (192.168.1. *), Как-то конфликтовала с VPN? Я не уверен. И я не мог найти какие-либо ресурсы в Интернете, чтобы помочь мне с этой конкретной проблемой.

С тех пор я потерял этот роутер и собираюсь заменить его. Но прежде чем я это сделаю, я хочу быть уверен, что смогу решить проблему конфликта адресов VPN.

Как я могу подключиться к VPN, который использует тот же диапазон IP - адресов в локальной сети я соединительном от ?

РЕДАКТИРОВАТЬ:

  • Я использую Mac.
  • Я использую предоставленный Org VPN-клиент, SonicWall Mobile Client.
  • Я не уверен, какой именно IP-адрес вызывает конфликт. В организации существует куча адресов 192.168.1. *. Как я могу это выяснить?
  • Я не могу просить, чтобы моя организация изменила свой диапазон VPN на что-то более неясное.
  • Маска подсети VPN: 255.255.255.0.
  • Я не захожу в интернет через VPN.
  • Я никогда не мог получить доступ к любым ресурсам, которые мне нужны в сети VPN во время конфликта, но возможно, что есть ресурсы, которые все еще доступны, о которых я не знал или не тестировал.
2
Требуется больше информации: вы используете Windows? Какой у вас VPN-клиент? Какие адреса 192.168.1. * Вызывают конфликт? Вы просто запрашиваете модель маршрутизатора Wi-Fi для путешествий, которая позволяет настраивать диапазон DHCP (почти все это делают)? harrymc 7 лет назад 0
@harrymc Я использую Mac. Я использую предоставленный VPN-клиент, SonicWall Mobile Client. - Я не уверен, какой IP-адрес вызывает конфликт. В организации существует куча адресов 192.168.1. *. Как я могу это выяснить? - Как я объяснил в своем вопросе, я настроил диапазон DHCP, но по какой-то причине он все еще конфликтовал. Matt Alexander 7 лет назад 0

3 ответа на вопрос

1
Twisty Impersonator

TL; DR

Используйте туристический роутер. Настройте его, чтобы назначить вашему ноутбуку IP-адрес в IP-подсети 10.15.15.0/24. Кроме того, убедитесь, что аренда DHCP, которую он раздает, определяет себя как DNS-сервер.

Nothing Works ™, когда устройство имеет два сетевых интерфейса, подключенных к перекрывающимся IP-подсетям

При подключении к VPN ваш компьютер имеет два сетевых интерфейса:

  1. Адаптер Wi-Fi
  2. VPN-адаптер

Проблема, с которой вы столкнулись, вызвана обоими этими интерфейсами, утверждающими, что они являются правильным местом назначения для 192.168.1.0/24подсети IP. В типичной конфигурации интерфейс с наименьшей метрикой интерфейса (обычно с самой высокой пропускной способностью) выиграет связь и получит трафик. Это означает, что трафик, который вы хотите отправить через адаптер VPN, фактически отправляется на адаптер Wi-Fi.

Есть случаи, когда хорошо иметь два интерфейса, указывающих на одну и ту же сеть. Например, ноутбук, который подключен к определенной сети через проводной и беспроводной интерфейсы, является одной из таких конфигураций. Однако в этом случае сеть назначения остается неизменной независимо от того, какой сетевой адаптер используется для доступа к ней ... так что все работает нормально.

Маршрутизатор это хорошая идея

Если вы сможете подключить адаптер Wi-Fi к любой IP-подсети, отличной от той, которая используется удаленной сетью VPN, вы избежите описанной выше проблемы. Обратите внимание, что эта новая сеть никоим образом не может перекрывать сеть VPN, т.е. 192.168.0.0/16не будет работать, поскольку она включает 192.168.1.0/24диапазон. К счастью, вы можете контролировать это, настраивая параметры локальной подсети IP-маршрутизатора, чтобы они были примерно такими 10.15.15.0/24. Само собой разумеется, но важно, чтобы интерфейс WAN маршрутизатора был подключен к точке доступа Wi-Fi, в противном случае ваш ноутбук все равно будет напрямую взаимодействовать с 192.168.1.0/24подсетью.

При подключении к маршрутизатору вашего Wi-Fi интерфейс должен иметь такой IP-адрес, как 10.15.15.2/24. Поэтому соединения с IP-адресами в 192.168.1.0/24сети будут идти непосредственно к адаптеру VPN, потому что ваш ноутбук не знает, какой диапазон сети существует на стороне интерфейса WAN вашего маршрутизатора.

Последнее требование заключается в том, чтобы ваш маршрутизатор путешествий настраивал ваш ноутбук для использования в качестве DNS-сервера. Маршрутизатор должен передавать DNS-запросы DNS-серверам точки доступа Wi-Fi. Если вы этого не сделаете, ваш ноутбук может получить DNS-сервер, как 192.168.1.1. Как объяснялось ранее, в то время как в VPN ваш ноутбук будет ожидать, что обнаружит это в сети VPN, в результате чего запросы DNS не будут должным образом разрешены.

На плакате написано, что он уже настроил диапазон DHCP, но это не помогло, что я считаю несколько невозможным. Я не думаю, что у нас достаточно информации для анализа проблемы. harrymc 7 лет назад 0
@harrymc Я согласен, неясно, почему у ОП были проблемы с этим. Тем не менее, это правильное решение и должно быть выдвинуто как таковое. Twisty Impersonator 7 лет назад 0
0
sborsky

Если вы можете сузить IP-адреса в 192.168.1.x, которые вы хотите получить через VPN, вы можете добавить маршруты хоста на вашем ноутбуке, чтобы они указывали «в туннель». Это работает до тех пор, пока адрес локального шлюза не конфликтует с тем, что вы внутри вашей VPN - например, если ваш локальный / Wi-Fi-шлюз имеет 192.168.1.1, вы не сможете достичь чего-то с тем же адресом внутри вашей VPN.

Ваш мобильный маршрутизатор должен был работать, если вам не нужен доступ к чему-либо еще (включая локальный DNS-сервер) в сети Wi-Fi. В следующий раз, когда вы его используете, запустите netstat -nrи проверьте, на что указывают шлюз и маршруты интерфейса для 192.168.1.0.

Как добавить маршруты хоста на мой ноутбук, чтобы он указывал на туннель? Кстати, мне нужно подождать, пока в следующий раз я не окажусь в затруднительном положении, но затем я протестирую и отметлю этот ответ как решенный, если он сработает. Matt Alexander 7 лет назад 0
0
davidgo

Вы не сообщили, какой тип VPN вы используете. Если вы не используете OpenVPN, проблема может заключаться в трансляции сетевых адресов.

Возможно, вам лучше использовать более неясную подсеть - например, 172.18.0.0/24 (это диапазон 172.16.0.0 - 172.31.255.255, которая является менее известным блоком), или даже немного изменить правила с помощью 100.64. 0,0 / 24 (зарезервировано для NAT операторского класса).

Одна из проблем, с которой вы можете столкнуться при использовании 192.168.2.x, заключается в том, что ваши провайдеры могут использовать 192.168.0.0/16, включая 192.168.2.x. Также возможно (но маловероятно), что ваше старое устройство считало 192.168 пространством RFC1918 и не использовало трансляцию сетевых адресов.

Третья возможность состоит в том, что горячая точка ограничивает трафик веб-трафиком или общими портами (возможно, в попытке прекратить торрент)? В этом случае вам нужно будет запустить сервер OpenVPN на порту 443 [и, конечно, только откройте его после того, как вы вошли в WIFI, если требуется].

Как я уже говорил в своем вопросе, у меня нет доступа к конфигурации сети VPN или точек доступа Wi-Fi, которые вызывают конфликт. Matt Alexander 7 лет назад 0

Похожие вопросы