Prawidłowy adres IP sieci, jeśli użytkownicy mają możliwość łączenia się z siecią VPN

10

Moja sieć wewnętrzna to 192.168.0.x z bramą 192.168.0.1.

Mam użytkowników tej sieci VPN w naszej zaporze, która następnie zasadniczo dodaje ich do sieci.

Jeśli jednak ich domowy router ma adres IP 192.168.0.1, to oczywiście mamy różne problemy.

Więc jaka jest idealna konfiguracja adresu sieciowego, aby tego uniknąć? Widziałem konfiguracje, w których zdalni użytkownicy mają adresy routerów w zakresie 10.x, więc nie jestem pewien, co mogę zrobić, aby temu zapobiec.

Wszelkie komentarze bardzo mile widziane!

networking vpn ip Jan
źródło

Odpowiedzi:

14

Techspot ma listę wspólnych domyślnych adresów IP routera, która pomaga w tym. Zwykle routery domowe używają /24podsieci. Obecnie telefony komórkowe są często używane do udostępniania połączenia sieciowego, dlatego też musimy wziąć pod uwagę te zakresy. Zgodnie z listą możemy wywnioskować, że powinniśmy unikać :

  • 192.168.0.0/19- wydaje się, że większość routerów używa niektórych z powyższych 192.168.31.255.
  • 10.0.0.0/24jest również szeroko stosowany, a Apple używa 10.0.1.0/24.
  • 192.168.100.0/24 jest używany przez Motorola, ZTE, Huawei i Thomson.
  • Motorola używa (dodatkowo) 192.168.62.0/24i 192.168.102.0/24.
  • 192.168.123.0/24 jest używany przez LevelOne, Repotec, Sitecom i US Robotics (rzadziej)
  • Niektóre łącza D mają 10.1.1.0/24i 10.90.90.0/24.

Mamy trzy zakresy zarezerwowane dla sieci prywatnych ; wciąż mamy dużo miejsca, aby tego uniknąć:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Niektóre losowe górne zakresy 10.0.0.0/8mogą być najbezpieczniejszym wyborem w celu uniknięcia kolizji. Możesz także chcieć unikać liczby 42w dowolnej części zakresu adresów IP: może to być najczęstszy „losowy” numer, ponieważ jest to odpowiedź na ostateczne pytanie życia, wszechświata i wszystkiego .

Esa Jokinen
źródło
4
Z mojego doświadczenia wynika, że ​​172.16.0.0/12 jest najrzadziej używanym, więc wybrałbym / 24 z tego, ale górna granica 10.0.0.0/8 jest również dobrą sugestią.
Henrik wspiera społeczność
1
Wybierz niektóre cyfry z głównego numeru telefonu w biurze lub statycznego adresu IP lub numeru ulicy, o ile nie przekraczają one 255. Zatem 10.246.xy lub 172.25.54.y byłoby całkowicie uzasadnionym zakresem adresów IP. Innym brudnym hackiem jest użycie podsieci, które są większe lub mniejsze niż a / 24, w celu bardziej szczegółowego routingu. Ale to nie jest idealne i psuje się na wiele sposobów.
Criggie
172.16 / 12 jest rzadko używany, ponieważ nie jest to ładna wielokrotność 8. Tak więc 172.16 do 31.xy są poprawnymi prywatnymi adresami IP.
Criggie,
2
Cieszę się, że wspomniałeś o 42, to niezwykle ważne, aby pamiętać.
Tero Kilkanen
1

Najlepsze, co możesz zrobić, to użyć zakresu dla sieci, do którego dajesz dostęp VPN, czego oczekujesz, że żaden z użytkowników nie będzie z niego korzystał. Istnieje duża szansa, że ​​wielu użytkowników nie zmieni, że ich routery używają 192.168.0.0/24 lub 192.168.1.0/24 (dwa zakresy, które widziałem najczęściej w sprzęcie konsumenckim), jeśli masz jakieś pojęcie kto mógł wybrać inny zakres, zapytaj ich, z czego korzystają, ale użytkownicy, którzy to zrobili, będą również wiedzieć, jak zmienić konfigurację własnego routera, aby uniknąć konfliktu.

Henrik wspiera społeczność
źródło
Problemem jest to, że niektórzy z moich użytkowników używają routera dostarczonego przez dostawcę usług internetowych, na którym nie mogą zmienić systemu adresowania IP. Drugą kwestią, którą mam, jest to, że użytkownicy mają różne systemy adresowania, których nie mogę przewidzieć ani kontrolować. Tak więc niektórzy mogą korzystać z wersji 10.x lub 192.x itd. Obawiam się, że jeśli zmienię sieć biurową na jedną, może to nie być dowód na przyszłość dla użytkownika.
John
1
Jedynym rozsądnie przyszłościowym rozwiązaniem jest użycie IPv6, ale może to szybko spowodować inne problemy. Możesz mieć tylko nadzieję, że nie otrzymasz użytkowników routerów dostarczonych przez dostawcę usług internetowych, którzy używają tych samych adresów co Ty i nie można ich zmienić.
Henrik wspiera społeczność
1

Nigdy nie możesz być w 100% pewien, ale możesz zminimalizować ryzyko, unikając korzystania z tych samych podsieci, co wszyscy inni.

Unikałbym używania podsieci u dołu bloków, ponieważ wiele osób zaczyna numerować swoje sieci od początku bloku.

IMO najbezpieczniejszym sposobem uniknięcia konfliktów jest skorzystanie z podsieci, która znajduje się pośrodku bloku 172.16.0.0/12. Nigdy nie widziałem routera domowego, który byłby wstępnie skonfigurowany z podsiecią z tego bloku.

Losowa podsieć od 10.0.0.0/8 jest również względnie bezpieczna, ale kiedyś użyłem routera domowego, który domyślnie przydzielił całe 10.0.0.0/8 do sieci LAN i zezwalałby tylko na maski, które pasowałyby do domyślnych klas.

192.168 jest najbardziej podatny na konflikty, ponieważ jest to stosunkowo niewielki blok i jest szeroko stosowany w domowych routerach.

Peter Green
źródło
0

Aby uniknąć wszystkich wyżej wymienionych problemów, zdecydowanie wybrałbym zakres adresów IP w zakresie 172.16.nn lub 10.nnn. Na przykład w pliku konfiguracyjnym serwera dla serwera VPN przydzielę zakres adresów IP, powiedzmy 10.66.77.0, z maską 255.255.255.0 - sam serwer VPN zajmie 10.66.77.1, każdy klient VPN otrzyma następny darmowe IP powyżej tego. Działa dla mnie, bez konfliktów z połączeniami używającymi routerów „domowych”, które są głównie w zakresie 192.168.nn.

Handlowiec0
źródło
-2

Jest to dla mnie nieco żenujące, ponieważ w większości środowisk, z którymi się spotkałem, użytkownicy zdalni mają dostęp do VPN, administrator musi mieć kontrolę / zarządzanie połączonymi użytkownikami, aby zapewnić bezpieczeństwo sieci. Oznacza to dostęp administracyjny, kontrolę itp. ... podłączania maszyn i użytkowników. Oznacza to, że administrator może kontrolować zakres adresów IP, co oznacza, że ​​szanse, które opisujesz, są w zasadzie niemożliwe.

To powiedziawszy, twoje rozwiązanie wydaje się wykonalne, ale bardzo trudne w odniesieniu do używania różnych zakresów adresów IP.

Jedną z opcji jest utworzenie skryptu uruchamianego na łączących się systemach w celu zastąpienia tabel routingu, aby zmniejszyć ryzyko potencjalnego konfliktu (jestem świadomy, że niektóre rozwiązania VPN mogą to zrobić). W efekcie konfiguracja sieci organizacyjnej będzie miała pierwszeństwo przed konfiguracją sieci lokalnej.

/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

Klient openvpn przesłania domyślną bramę dla serwera VPN

To prowadzi do innych możliwości. Zakładając, że użytkownicy nie łączą się bezpośrednio z adresami IP, możesz zmodyfikować konfiguracje DNS / wpisy pliku hosta, aby technicznie zastąpić istniejącą konfigurację sieci lokalnej.

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

Innym sposobem jest zmiana konfiguracji organizacyjnej, aby mieć mniej powszechny szkielet adresu IP. Ponieważ masz dostęp administracyjny, powinieneś być w stanie to zrobić szybko i łatwo (chociaż od tamtej pory przeczytałem inny komentarz, który wprowadza problem z IPv6).

Oczywiście musisz zmienić typ konfiguracji VPN, aby uzyskać niektóre z opcji, które przedstawiam powyżej, jeśli jeszcze ich nie masz.

dtbnguyen
źródło