OpenVPNドキュメント
VPNを設定する場合、通常は異なる場所にあるプライベートサブネットを相互にリンクさせる必要があります。
Internet Assigned Numbers Authority (IANA) は、RFC1918の規定に於いて以下の3つのIPアドレスブロックをプライベートネットワーク用アドレスとして定義しています。
| 10.0.0.0 | 10.255.255.255 | (10/8 prefix) |
| 172.16.0.0 | 172.31.255.255 | (172.16/12 prefix) |
| 192.168.0.0 | 192.168.255.255 | (192.168/16 prefix) |
通常、これらのネットブロックのアドレスはVPN設定で使用されますが、IPアドレスやサブネットが競合しないようアドレスを選択することが重要です。
以下のような場合は競合を回避すべきです。
- 同じLANサブネット番号を使用するVPN上の異なるサイトからの競合
- VPNサブネットと競合するプライベートサブネットを使用しているサイトからのリモートアクセス接続
例として、プライベートLANのサブネットとしてよく使われる192.168.0.0/24があった場合、LANが同じサブネットを使用するよう設定されている外部インターネットカフェからVPNにアクセスしようとすると、192.168.0.1がLANのアドレスを指しているのか、VPN上のアドレスを指しているのかをマシンが判定できないため、ルーティングの競合が発生します。
また別の例として、複数の拠点をVPNで接続したい時に各拠点のLANサブネットが192.168.0.0/24と同一の場合、NAT変換を追加しないとVPNがどのパケットをルーティングすれば良いのかが判断できません。
最善の解決策としては、10.0.0.0/24 や 192.168.0.0/24 をプライベートLANのネットワークアドレスとして使用しないことです。
Wi-Fi カフェ、空港、ホテルなど、リモートから接続することが予想される場所では、使用される可能性の低いアドレスを使用してください。
10.0.0.0/8 ネットブロックの途中のサブネットアドレス(例:10.66.77.0/24)等を使用するとアドレスが競合しにくくなるでしょう。
また、サイト間のIPの競合を回避するには、LANサブネットには常にユニークである番号を使用してください。