Исправьте сетевую IP-адресацию, если ваши пользователи имеют возможность VPN в

10

Моя внутренняя сеть 192.168.0.x со шлюзом 192.168.0.1.

У меня есть пользователи, которые VPN в наш брандмауэр, который затем по существу добавляет их в сеть.

Однако, если их домашний маршрутизатор имеет IP-адрес 192.168.0.1, тогда, конечно, у нас есть все виды проблем.

Итак, какова идеальная настройка сетевого адреса, чтобы избежать этого? Я видел установки, где удаленные пользователи имеют адреса маршрутизаторов в диапазоне 10.x, поэтому не уверен, что я могу сделать, чтобы предотвратить это.

Любые комментарии очень приветствуются!

networking  vpn  ip 
Джон
источник

Ответы:

14

Techspot имеет список общих IP-адресов маршрутизатора по умолчанию, который помогает в этом. Обычно домашние маршрутизаторы используют /24подсети. В настоящее время мобильные телефоны часто используются для совместного использования сетевого подключения, поэтому мы должны учитывать и эти диапазоны. Согласно списку, который мы можем вывести, мы должны избегать :

  • 192.168.0.0/19- большинство маршрутизаторов, кажется, используют некоторые из них, описанных выше 192.168.31.255.
  • 10.0.0.0/24также широко используется, и Apple использует 10.0.1.0/24.
  • 192.168.100.0/24 используется Motorola, ZTE, Huawei и Thomson.
  • Motorola использует (в дополнение) 192.168.62.0/24и 192.168.102.0/24.
  • 192.168.123.0/24 используется LevelOne, Repotec, Sitecom и US Robotics (реже)
  • Некоторые D-ссылки имеют 10.1.1.0/24и 10.90.90.0/24.

У нас есть три диапазона, зарезервированные для частных сетей ; у нас еще есть много места, чтобы избежать этого в:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Некоторый случайный верхний диапазон 10.0.0.0/8может быть самым безопасным для избежания столкновений. Вы также можете избежать числа 42в любой части диапазона IP-адресов: это может быть наиболее распространенное «случайное» число, так как это ответ на главный вопрос жизни, Вселенной и всего остального .

Эса Йокинен
источник
4
Мой опыт показывает, что 172.16.0.0/12 является наименее распространенным, поэтому я бы выбрал / 24 из этого, но верхний предел 10.0.0.0/8 также является хорошим предложением.
Хенрик поддерживает сообщество
1
Выберите несколько цифр из основного телефонного номера вашего офиса или статического IP-адреса или номера улицы, если они меньше 255. Таким образом, 10.246.xy или 172.25.54.y будут вполне допустимым диапазоном IP-адресов для использования. Другой грязный взлом состоит в использовании подсетей, которые больше или меньше, чем / 24, для более конкретной маршрутизации. Но это не идеально и ломается во многих отношениях.
Кригги
172.16 / 12 редко используется, потому что это не очень хорошее кратное 8. Таким образом, 172.16-through-31.xy являются действительными частными IP-адресами.
Кригги
2
Я рад, что вы упомянули 42, это очень важно помнить.
Теро Килканен
1

Лучшее, что вы можете сделать, - это использовать диапазон для сети, к которой вы предоставляете доступ vpn, который, как вы ожидаете, никто из ваших пользователей не использует. Существует большая вероятность того, что многие ваши пользователи не изменились бы, если бы их маршрутизаторы использовали 192.168.0.0/24 или 192.168.1.0/24 (два диапазона, которые я чаще всего видел в потребительском оборудовании), если у вас есть представление о некоторых кто мог бы выбрать другой диапазон, спросите их, что они используют, но пользователи, которые сделали это, также будут знать, как изменить настройки своего собственного маршрутизатора, чтобы избежать конфликта.

Хенрик поддерживает сообщество
источник
У меня проблема в том, что некоторые из моих пользователей используют маршрутизатор, предоставленный провайдером, на котором они не могут изменить систему IP-адресации. Вторая проблема, которую я имею, состоит в том, что пользователи имеют различные системы адресации, которые я не могу ни предсказать, ни контролировать. Таким образом, некоторые из них могут быть на 10.x или 192.x и т. Д. Я боюсь, что, если я изменю офисную сеть на одну вещь, это может не быть будущим подтверждением для пользователя.
Джон
1
Единственное разумное решение на будущее - это использование IPv6, но это может быстро вызвать другие проблемы. Вы можете только надеяться, что вы не получите пользователей с маршрутизаторами, предоставленными провайдером, которые используют те же адреса, что и вы, и не могут быть изменены.
Хенрик поддерживает сообщество
1

Вы никогда не можете быть на 100% уверены, но вы можете минимизировать риск, избегая использования тех же подсетей, что и все остальные.

Я бы избегал использования подсетей в нижней части блоков, так как многие люди начинают нумерацию своих сетей с самого начала блока.

ИМО Ваша самая безопасная ставка для предотвращения конфликтов - это использовать подсеть где-то посередине блока 172.16.0.0/12. Я никогда не видел, чтобы домашний маршрутизатор был предварительно настроен с подсетью из этого блока.

Случайная подсеть от 10.0.0.0/8 также относительно безопасна, но я однажды использовал домашний маршрутизатор, который выделил все 10.0.0.0/8 для локальной сети по умолчанию и разрешил только маски, которые соответствуют классовой настройке по умолчанию.

192.168 является наиболее уязвимым для конфликтов, потому что это относительно небольшой блок и широко используется на домашних маршрутизаторах.

Питер Грин
источник
0

Чтобы избежать всех проблем, упомянутых выше, я бы определенно использовал диапазон IP-адресов в диапазоне 172.16.nn или 10.nnn. Например, в файле конфигурации сервера для VPN-сервера я бы выделил диапазон IP-адресов, скажем, 10.66.77.0, с маской 255.255.255.0 - сам VPN-сервер займет 10.66.77.1, каждый VPN-клиент получит следующий бесплатный IP выше этого. Работает для меня, никаких конфликтов со связями, использующими «домашние» маршрутизаторы, которые в основном находятся в диапазоне 192.168.nn.

Trader0
источник
-2

Это немного смущает меня, потому что в большинстве сред, с которыми я сталкиваюсь, чтобы удаленные пользователи имели доступ к VPN, администратор должен иметь контроль / управление над соединением пользователей, чтобы гарантировать, что сеть остается безопасной. Это означает административный доступ, контроль и т. Д. Для подключения компьютеров и пользователей. Это означает, что администратор может контролировать диапазон IP-адресов, что означает, что шансы того, что вы описываете, в принципе невозможны.

Тем не менее, ваше решение кажется работоспособным, но очень сложным в отношении использования разных диапазонов IP-адресов.

Одним из вариантов является создание сценария, который вы запускаете в подключающихся системах для перезаписи таблиц маршрутизации, чтобы уменьшить вероятность возможного конфликта (помните, что некоторые решения VPN могут это сделать). По сути, настройка сети организации будет иметь приоритет над настройкой локальной сети.

/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

клиент openvpn переопределяет шлюз по умолчанию для сервера vpn

Это приводит к другим возможностям. Предполагая, что пользователи не подключаются напрямую к IP-адресам, вы можете изменить настройки DNS / записи файла хоста так, чтобы они технически переопределяли существующие настройки локальной сети.

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

Другой способ - изменить настройки организации, чтобы иметь менее распространенную магистраль IP-адреса. Поскольку у вас есть административный доступ, вы сможете сделать это быстро и легко (хотя с тех пор я прочитал еще один комментарий, который затрагивает проблему IPv6).

Очевидно, вам нужно изменить тип настройки VPN, который вам нужен, чтобы дать вам некоторые из вариантов, которые я обрисовал в общих чертах выше, если у вас их еще нет.

dtbnguyen
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.