VPN使うなら192.168.1.*や192.168.11.*は避けた方がいい


個人でも企業でも、最近は割と簡単にVPNを構築して、外部からローカルネットワークにアクセスすることができるようになりました。バッファローのやっすいルータでもIPSec付いてたりしますからね。便利な時代になったものです。

しかし、VPNを使う場合にちょっとした落とし穴が発生することがあります。それはVPNによるローカルIPの重複問題です。

VPNによるローカルIPの重複問題

VPNは、遠隔地のローカルネットワークにセキュアな接続をする技術です。これは論理的には、長~いLANケーブルを自宅や会社に繋ぐようなイメージです。大抵の場合は問題はありません。

ところが、VPNを繋ごうとしている「外側」のネットワークと繋いだ先の「内側」のネットワークで、ネットワークIPが同じになってしまうことがあります。例えば、自宅のローカルネットワークが192.168.1.0/24で構築されているところに、同じく192.168.1.0/24で構成された友人宅からVPNを繋ごうとする場合です。この場合、VPNの外と中でIP体系が同じになってしまうために、正しく通信を行うことができません。

この状態を解決するには、どちらかのネットワークのIP体系そのものを変えるか、間にNAT機器を追加するか、あるいはモバイル機器などで繋ぐなどするしかありません。つまり即時的な解決は非常に難しいです。しかも、ローカルIP同士が重複するかどうかは運で発生するので厄介です。

ですが、ある程度これを起きにくくすることはできます。VPNで「アクセスされる側」、つまり「内側」のIPセグメントをあらかじめ極力重複しないような番号にすることです。

重複しにくいIPアドレスとは

とは言っても、重複しないIPってのは結構難しいです。172.*.0.0/16レンジなんていろんな企業で使われてますからね。しかも第2セグメントが16パターンしかありませんから、このレンジで問題が発生することはある程度諦めざるをえないでしょう。さすがにクラスBを使わないようにしましょうとは言えません。客先の会議室の社内Wi-FiからVPNが失敗するなんてのはこのケースかもしれませんよ?

それより解決しやすいケースは192.168.*.0/24です。いわゆるクラスCのプライベートIPですが、こちらは重複しやすいサブネットというのがある程度決まってきます。例えば、下記のようなものです。

  • 192.168.0.0/24 …… 最低値。よく使われてそう
  • 192.168.1.0/24 …… 少し前のルータでよく使われていた
  • 192.168.2.0/24 …… ロジテックやエレコムの初期設定で見かける
  • 192.168.11.0/24 …… 最近のバッファローはコレ

要するに、デフォルトのローカルIP体系ですね。これは絶対避けたほうがいいです。上記の数字を避けて、ということですが、第3セグメントは~16くらいまではやめておいた方がいいでしょうね。すなわち、192.168.[17~253].0/24くらいで設定する、と。

自宅でVPNを導入してる人なんかは思い切って3桁とかにしちゃっていいんじゃないでしょうか。また、クラスBを使っているのは企業クラス以上でしょうから、企業ではクラスB以上というルールにしちゃうのもいいかもしれません。そうすれば自宅や公衆スポットから繋いで重複することはなくなると思います。

とまあ、こんな感じです。参考にしていただければと思います。


コメント投稿フォーム