Embora exista uma ampla variedade de redes privadas não-roteáveis entre 192.168 / 16 ou até mesmo 10/8, às vezes, quando se pensa em um possível conflito, ainda ocorre. Por exemplo, eu configurei uma instalação OpenVPN uma vez com a rede VPN interna em 192.168.27. Isso tudo foi bom e elegante até que um hotel usou essa sub-rede para o piso 27 em seu wifi.
Eu re-IP'd a rede VPN para uma rede 172.16, uma vez que parece ser tudo, mas não utilizado por hotéis e cibercafés. Mas essa é uma solução adequada para o problema?
Embora eu mencione o OpenVPN, eu adoraria ouvir reflexões sobre esse problema em outras implantações de VPN, incluindo IPSEC simples.
Temos várias VPNs IPSec com nossos parceiros e clientes e, ocasionalmente, encontramos conflitos de IP com a rede deles. A solução no nosso caso é fazer source-NAT ou destination-NAT através da VPN. Estamos usando produtos Juniper Netscreen e SSG, mas presumo que isso possa ser feito pela maioria dos dispositivos VPN IPSec de ponta.
Eu acho que o que você usa, você vai arriscar um conflito. Eu diria que pouquíssimas redes usam intervalos abaixo de 172.16, mas não tenho evidências para comprovar isso; apenas o pressentimento de que ninguém se lembra disso. Você pode usar endereços IP públicos, mas isso é um desperdício e você pode não ter o suficiente de sobra.
Uma alternativa poderia ser usar o IPv6 para sua VPN. Isso exigiria a configuração do IPv6 para todos os hosts aos quais você gostaria de ter acesso, mas com certeza você usaria um intervalo exclusivo, especialmente se você obtivesse um / 48 alocado para sua organização.
Infelizmente, a única maneira de garantir que seu endereço não se sobreponha a outra coisa é comprar um bloco de espaço de endereço IP público roteável.
Tendo dito que você poderia tentar encontrar partes do espaço de endereço RFC 1918 que são menos populares. Por exemplo, o espaço de endereço 192.168.x é comumente usado em redes residenciais e de pequenas empresas, possivelmente porque é o padrão em muitos dispositivos de rede de baixo custo. No entanto, eu acho que pelo menos 90% das pessoas que usam o espaço de endereço 192.168.x o estão usando em blocos de tamanho C e geralmente estão iniciando seu endereçamento de sub-rede em 192.168.0.x. Provavelmente você tem um muito menor probabilidade de encontrar pessoas usando 192.168.255.x, então essa pode ser uma boa escolha.
O espaço 10.x.x.x também é comumente usado, a maioria das grandes redes internas corporativas que vi são espaços 10.x. Mas raramente vejo pessoas usando o espaço 172.16-31.x. Eu estaria disposto a apostar que você raramente encontraria alguém já usando 172.31.255.x por exemplo.
E, finalmente, se você for usar espaço não-RFC1918, pelo menos tente encontrar espaço que não pertença a outra pessoa e provavelmente não será alocado para uso público a qualquer momento no futuro. Há um artigo interessante aqui em etherealmind.com, onde o autor é falando sobre o uso do espaço de endereçamento RFC 3330 192.18.x que é reservado para testes de benchmark. Isso provavelmente seria viável para o seu exemplo de VPN, a menos, é claro, que um dos seus usuários de VPN trabalhe para uma empresa como o fabricante ou o equipamento de rede de benchmarks. : -)
O terceiro octeto da nossa classe pública C foi 0,67, então usamos isso dentro, ou seja, 192.168.67.x
Quando configuramos nossa DMZ, usamos 192.168.68.x
Quando precisávamos de outro bloco de endereços, usamos .69.
Se tivéssemos precisado de mais (e chegássemos perto algumas vezes), nós renumeraríamos e usaríamos 10. para podermos dar a cada divisão da empresa muitas redes.
usam sub-redes menos comuns, como 192.168.254.0/24, em vez de 192.168.1.0/24. Os usuários domésticos normalmente usam os blocos 192.168.x.x e as empresas usam 10.x.x.x para que você possa usar o 172.16.0.0/12 com poucos problemas.
use blocos menores de ip; Por exemplo, se você tiver 10 usuários VPN, use um pool de 14 endereços IP; a / 28. Se houver duas rotas para a mesma sub-rede, um roteador usará a rota mais específica primeiro. Mais específico = menor sub-rede.
Use links ponto a ponto, usando um bloco / 30 ou / 31, de modo que haja apenas dois nós nessa conexão VPN e não haja roteamento envolvido. Isso requer um bloco separado para cada conexão VPN. Eu uso a versão do OpenVPN da Astaro e é assim que eu me conecto de volta à minha rede doméstica a partir de outros locais.
No que diz respeito a outras implementações de VPN, o IPsec funciona bem de site para site, mas é complicado configurar, digamos, um laptop com janela de viagem. O PPTP é o mais fácil de configurar, mas raramente funciona por trás de uma conexão NAT e é considerado o menos seguro.
Usar algo como 10.254.231.x / 24 ou similar também pode fazer você escorregar sob o radar do hotel, já que eles raramente têm redes 10.x grandes o suficiente para comer sua sub-rede.