Правильна мережева IP-адресація, якщо ваші користувачі мають можливість VPN в

10

Моя внутрішня мережа - 192.168.0.x із шлюзом 192.168.0.1.

У мене є користувачі, які VPN входять у наш брандмауер, який потім по суті додає їх до мережі.

Однак якщо їх домашній маршрутизатор має IP-адресу 192.168.0.1, то, звичайно, у нас є всілякі проблеми.

Отже, яка ідеальна настройка мережевих адрес, щоб цього уникнути? Я бачив установки, де віддалені користувачі мають адреси маршрутизатора в діапазоні 10.x, тому не знаю, що я можу зробити, щоб цього не допустити.

Будь-які коментарі дуже вітаємо!

networking  vpn  ip 
Джон
джерело

Відповіді:

14

Techspot має список загальних IP-адрес маршрутизаторів за замовчуванням, що допомагає в цьому. Зазвичай домашні маршрутизатори використовують /24підмережі. В даний час мобільні телефони часто використовуються для обміну мережевим зв’язком, тому ми також повинні враховувати ці діапазони. Відповідно до списку, який ми можемо зробити, ми повинні уникати :

  • 192.168.0.0/19- Більшість маршрутизаторів, здається, використовують деякі з них вище 192.168.31.255.
  • 10.0.0.0/24також широко використовується і Apple 10.0.1.0/24.
  • 192.168.100.0/24 використовується Motorola, ZTE, Huawei та Thomson.
  • Motorola використовує (додатково) 192.168.62.0/24та 192.168.102.0/24.
  • 192.168.123.0/24 використовується LevelOne, Repotec, Sitecom та US Robotics (рідше)
  • Деякі D-посилання мають 10.1.1.0/24і 10.90.90.0/24.

У нас є три діапазони, зарезервовані для приватних мереж ; У нас є достатньо місця, щоб уникнути цього в:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Деякий випадковий верхній діапазон від 10.0.0.0/8може бути найбезпечнішим вибором для уникнення зіткнень. Ви також можете уникнути числа 42в будь-якій частині діапазону IP-адрес: це може бути найпоширеніше "випадкове" число, оскільки це відповідь на остаточне питання життя, Всесвіту та всього .

Еса Джокінен
джерело
4
Мій досвід полягає в тому, що 172.16.0.0/12 є найменш поширеним, тому я вибрав би / / 24, але верхній кінець 10.0.0.0/8 також є гарною пропозицією.
Генрік підтримує спільноту
1
Виберіть кілька цифр з основного номера телефону або офісної статичної IP-адреси, якщо вони під 255. Отже, 10.246.xy або 172.25.54.y було б абсолютно законним діапазоном IP для використання. Ще один брудний злом - використовувати підмережі, які є більшими або меншими, ніж / 24, для більш конкретної маршрутизації. Але це не ідеально і багато в чому порушується.
Criggie
172.16 / 12 використовується рідко, тому що це не дуже хороший кратний номер 8. Отже, 172.16-через-31.xy є дійсними приватними IP-адресами.
Criggie
2
Я радий, що ти згадав про 42, це надзвичайно важливо пам’ятати.
Теро Кілканен
1

Найкраще, що ви можете зробити, - це використовувати діапазон для мережі, до якої ви надаєте доступ vpn, і, як ви очікуєте, ніхто з користувачів не використовує. Є хороший шанс, що багато ваших користувачів не зміниться, що їх маршрутизатори використовують 192.168.0.0/24 або 192.168.1.0/24 (два діапазони, які я бачив найбільше в споживчих передачах), якщо ви маєте уявлення про деякі хто, можливо, вирішив використовувати інший діапазон, запитайте їх, чим вони користуються, але користувачі, які це зробили, також будуть знати, як змінити налаштування власного маршрутизатора, щоб уникнути конфлікту.

Генрік підтримує громаду
джерело
Проблема у мене полягає в тому, що деякі мої користувачі використовують маршрутизатор, що постачається провайдером, і вони не можуть змінити систему IP-адреси. Друге питання, що у мене є, що у користувачів є різні системи адресації, які я не можу передбачити і не контролювати. Тож декілька може бути на 10.x або 192.x і т. Д. Я побоююся, що якщо я зміню мережу офісу на одне, це може не бути майбутнім доказом для користувача.
Джон
1
Єдине достатньо надійне рішення - використовувати IPv6, але це може швидко викликати інші проблеми. Ви можете лише сподіватися, що у вас не з’являться користувачі з маршрутизаторами, що постачаються провайдером, які використовують ті ж адреси, що і ви, і їх неможливо змінити.
Генрік підтримує спільноту
1

Ви ніколи не можете бути на 100% впевнені, але можете мінімізувати ризик, уникаючи використання тих самих підмереж, що й інші.

Я б уникнув використання підмереж у нижній частині блоків, оскільки багато людей починають нумерацію своїх мереж з початку блоку.

IMO Ваша найбезпечніша ставка для уникнення конфліктів - використовувати підмережу десь із середини блоку 172.16.0.0/12. Я ніколи не бачив, щоб домашній роутер прийшов заздалегідь налаштований на підмережу з цього блоку.

Випадкова підмережа з 10.0.0.0/8 також відносно безпечна, але я одного разу використовував домашній маршрутизатор, який виділяв цілий 10.0.0.0/8 до локальної мережі за замовчуванням і дозволяв би лише маски, які відповідають класному замовчуванню.

192.168 є найбільш уразливим для конфліктів, оскільки це порівняно невеликий блок і широко використовується на домашніх маршрутизаторах.

Пітер Грін
джерело
0

Щоб уникнути всіх проблем, зазначених вище, я б точно набрав IP-діапазон у діапазоні 172.16.nn або 10.nnn. Наприклад, у конфігураційному файлі сервера для VPN-сервера я б виділив діапазон IP-адрес, скажімо, 10.66.77.0, з маскою 255.255.255.0 - сам VPN-сервер займе 10.66.77.1, кожен клієнт VPN отримає наступний безкоштовний IP-адрес над цим. Для мене працює, не виникає конфліктів у зв’язках із використанням домашніх маршрутизаторів, які в основному знаходяться в діапазоні 192.168.nn.

Торговець0
джерело
-2

Це для мене трохи неприємно, тому що в більшості середовищ, з якими я стикався, щоб віддалені користувачі мали доступ до VPN, адміністратору необхідно мати контроль / управління над підключенням користувачів, щоб забезпечити безпеку мережі. Це означає адміністративний доступ, контроль тощо ... підключення машин та користувачів. Це означає, що адміністратор може контролювати діапазон IP-адрес, а це означає, що шанси на те, що ви описуєте, в принципі неможливі.

Однак, ваше рішення здається працездатним, але дуже складним щодо використання різних діапазонів IP.

Одним із варіантів є створення сценарію, який ви запускаєте у підключених системах, щоб перезаписати таблиці маршрутів, щоб зменшити шанси можливого конфлікту (я знаю, що певні рішення VPN здатні це зробити). Ефективно налаштування організаційної мережі матиме перевагу перед налаштуванням локальної мережі.

/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

Openvpn клієнт замінює шлюз за замовчуванням для vpn sever

Це призводить до інших можливостей. Якщо припустити, що користувачі не підключаються безпосередньо до IP-адрес, ви можете змінити конфігурації DNS / записи хост-файлів, щоб вони технічно переосмислили існуючі параметри локальної мережі.

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

Інший спосіб - змінити налаштування організації, щоб мати менш поширений магістральний IP-адресу. Оскільки у вас є адміністративний доступ, ви повинні це зробити швидко і легко (хоча я з тих пір прочитав ще один коментар, який приносить проблему з IPv6).

Очевидно, вам потрібно буде змінити тип налаштування VPN, який ви повинні дати вам деяким з варіантів, які я виклав вище, якщо у вас їх ще немає.

dtbnguyen
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.