Подключение через VPN, когда локальные и удаленные сети используют идентичные диапазоны адресов

Question

В рамках своей работы я подключаюсь к VPN, которая использует диапазон адресов 192.168.1. * В удаленной сети. Часто я подключаюсь из публичных точек доступа WiFi, которые редко контролируют их конфигурацию. Горячие точки находятся за пределами организации. Это общественные точки доступа, в кафе, отелях и т.д.

У меня проблема в том, что иногда точка доступа WiFi использует тот же диапазон адресов 192.168.1. *.

Обычно мое решение состоит в том, чтобы вытащить мой телефон и использовать его портативную точку доступа, но это может стать дорогостоящим, особенно если я в роуминге.

Чтобы не использовать свой телефон, я купил дорожный маршрутизатор и настроил его для предоставления частной подсети с диапазоном IP-адресов 192.168.2. * Даже если большая точка доступа WiFi была 192.168.1.* Я бы избежал конфликта.

Даже после того, как я изменил диапазон IP-адресов маршрутизатора на 192.168.2. * Конфликт все еще продолжался. Возможно, сеть, частью которой являлась моя подсеть (192.168.1. *), Как-то конфликтовала с VPN? Я не уверен. И я не мог найти какие-либо ресурсы в Интернете, чтобы помочь мне с этой конкретной проблемой.

С тех пор я потерял этот роутер и собираюсь заменить его. Но прежде чем я это сделаю, я хочу быть уверен, что смогу решить проблему конфликта адресов VPN.

Как я могу подключиться к VPN , который использует тот же диапазон IP - адресов в локальной сети я подключаетесь?

РЕДАКТИРОВАТЬ:

• Я использую Mac.
• Я использую предоставленный Org VPN-клиент, SonicWall Mobile Client.
• Я не уверен, какой именно IP-адрес вызывает конфликт. В организации существует куча адресов 192.168.1. *. Как я могу это выяснить?
• Я не могу просить, чтобы моя организация изменила свой диапазон VPN на что-то более неясное.
• Маска подсети VPN: 255.255.255.0.
• Я не захожу в интернет через VPN.
• Я никогда не мог получить доступ к каким-либо ресурсам, которые мне нужны в сети VPN во время конфликта, но возможно, что есть ресурсы, которые все еще доступны, о которых я не знал или не тестировал.

Answer 1

TL; DR

Используйте туристический роутер. Сконфигурируйте его для назначения вашему ноутбуку IP-адреса в подсети IP 10.15.15.0/24 . Кроме того, убедитесь, что аренда DHCP, которую он раздает, определяет себя как DNS-сервер.

---

Nothing Works ™, когда устройство имеет два сетевых интерфейса, подключенных к перекрывающимся IP-подсетям

При подключении к VPN ваш компьютер имеет два сетевых интерфейса:

1. Адаптер Wi-Fi
2. VPN-адаптер

Проблема, с которой вы столкнулись, вызвана обоими этими интерфейсами, утверждающими, что они являются правильным местом назначения для подсети IP 192.168.1.0/24 . В типичной конфигурации интерфейс с наименьшей метрикой интерфейса (обычно с самой высокой пропускной способностью) выиграет связь и получит трафик. Это означает, что трафик, который вы хотите отправить через адаптер VPN, фактически отправляется на адаптер Wi-Fi.

Есть случаи, когда хорошо иметь два интерфейса, указывающих на одну и ту же сеть. Например, ноутбук, который подключен к определенной сети через проводной и беспроводной интерфейсы, является одной из таких конфигураций. Однако в этом случае сеть назначения остается неизменной независимо от того, какой сетевой адаптер используется для доступа к ней ... так что все работает нормально.

Маршрутизатор это хорошая идея

Если вы сможете подключить адаптер Wi-Fi к любой IP-подсети, отличной от той, которая используется удаленной сетью VPN, вы избежите описанной выше проблемы. Обратите внимание, что эта новая сеть никоим образом не может перекрывать сеть VPN, то есть 192.168.0.0/16 не будет работать, поскольку включает диапазон 192.168.1.0/24 . К счастью, вы можете контролировать это, сконфигурировав параметры локальной подсети IP-маршрутизатора, например, 10.15.15.0/24 . Само собой разумеется, но важно, чтобы интерфейс WAN маршрутизатора был подключен к точке доступа Wi-Fi, в противном случае ваш ноутбук все равно будет напрямую взаимодействовать с подсетью 192.168.1.0/24 .

При подключении к маршрутизатору вашего путешествия интерфейс Wi-Fi должен иметь IP-адрес, например 10.15.15.2/24 . Поэтому соединения с IP-адресами в сети 192.168.1.0/24 будут идти непосредственно к адаптеру VPN, поскольку ваш ноутбук не имеет ни малейшего представления о том, какой диапазон сети существует на стороне интерфейса WAN маршрутизатора.

Последнее требование заключается в том, чтобы ваш маршрутизатор путешествий настраивал ваш ноутбук для использования в качестве DNS-сервера. Маршрутизатор должен передавать DNS-запросы DNS-серверам точки доступа Wi-Fi. Если вы этого не сделаете, ваш ноутбук может получить DNS-сервер, например 192.168.1.1 . Как объяснялось ранее, в то время как в VPN ваш ноутбук будет ожидать, что обнаружит это в сети VPN, в результате чего запросы DNS не будут должным образом разрешены.

Answer 2

Если вы можете сузить IP-адреса в 192.168.1.x, которые вы хотите получить через VPN, вы можете добавить маршруты хоста на вашем ноутбуке, чтобы они указывали «в туннель». Это работает до тех пор, пока адрес локального шлюза не конфликтует с тем, что вы внутри вашей VPN - например, если ваш локальный /Wi-Fi-шлюз имеет 192.168.1.1, вы не сможете достичь чего-то с тем же адресом внутри вашей VPN.

Ваш мобильный маршрутизатор должен был работать, если вам не нужен доступ к чему-либо еще (включая локальный DNS-сервер) в сети Wi-Fi. В следующий раз, когда вы его используете, запустите netstat -nr и проверьте, на что указывают шлюз и маршруты интерфейса для 192.168.1.0.

Answer 3

Вы не сообщили, какой тип VPN вы используете. Если вы не используете OpenVPN, проблема может заключаться в трансляции сетевых адресов.

Возможно, вам лучше использовать более неясную подсеть - например, 172.18.0.0/24 (это диапазон 172.16.0.0 - 172.31.255.255, которая является менее известным блоком), или даже немного изменить правила с помощью 100.64. 0,0/24 (зарезервировано для NAT операторского класса).

Одна из проблем, с которой вы можете столкнуться при использовании 192.168.2.x, заключается в том, что ваши провайдеры могут использовать 192.168.0.0/16, включая 192.168.2.x. Также возможно (но маловероятно), что ваше старое устройство считало 192.168 пространством RFC1918 и не использовало трансляцию сетевых адресов.

Третья возможность заключается в том, что горячая точка ограничивает трафик веб-трафиком или общими портами (возможно, в попытке прекратить торрент)? В этом случае вам нужно будет запустить сервер OpenVPN на порту 443 [и, конечно, открывать его только после того, как вы вошли в WIFI, если это необходимо].