Korrigieren Sie die Netzwerk-IP-Adressierung, wenn Ihre Benutzer VPN-fähig sind

10

Mein internes Netzwerk ist 192.168.0.x mit einem Gateway von 192.168.0.1.

Ich habe Benutzer, die VPN in unsere Firewall, die sie dann im Wesentlichen zum Netzwerk hinzufügt.

Wenn ihr Heimrouter jedoch eine IP-Adresse von 192.168.0.1 hat, haben wir natürlich alle möglichen Probleme.

Was ist die ideale Einrichtung für Netzwerkadressen, um dies zu vermeiden? Ich habe Setups gesehen, bei denen die Remote-Benutzer Router-Adressen im 10.x-Bereich haben, also nicht sicher, was ich tun kann, um dies zu verhindern.

Kommentare sind sehr willkommen!

networking vpn ip John
quelle

Antworten:

14

Techspot verfügt über eine Liste allgemeiner Standard-Router-IP-Adressen , die dabei helfen. Normalerweise verwenden /24Heimrouter Subnetze. Heutzutage werden Mobiltelefone häufig zum Teilen von Netzwerkverbindungen verwendet, daher müssen wir auch diese Bereiche berücksichtigen. Aus der Liste können wir schließen, dass wir Folgendes vermeiden sollten :

  • 192.168.0.0/19- Die meisten Router scheinen einige der oben genannten zu verwenden 192.168.31.255.
  • 10.0.0.0/24ist auch weit verbreitet, und Apple verwendet 10.0.1.0/24.
  • 192.168.100.0/24 wird von Motorola, ZTE, Huawei und Thomson verwendet.
  • Motorola verwendet (zusätzlich) 192.168.62.0/24und 192.168.102.0/24.
  • 192.168.123.0/24 wird von LevelOne, Repotec, Sitecom und US Robotics verwendet (weniger verbreitet)
  • Einige D-Links haben 10.1.1.0/24und 10.90.90.0/24.

Wir haben drei Bereiche für private Netzwerke reserviert . Wir haben noch viel Platz, um diese zu vermeiden:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Ein zufälliger oberer Bereich von 10.0.0.0/8könnte die sicherste Wahl sein, um Kollisionen zu vermeiden. Möglicherweise möchten Sie auch Zahlen 42in einem beliebigen Teil des IP-Adressbereichs vermeiden : Dies ist möglicherweise die häufigste "Zufallszahl", da dies die Antwort auf die ultimative Frage des Lebens, des Universums und alles ist .

Esa Jokinen
quelle
4
Ich habe die Erfahrung gemacht, dass 172.16.0.0/12 am wenigsten verwendet wird, daher würde ich eine / 24 daraus auswählen, aber das obere Ende von 10.0.0.0/8 ist auch ein guter Vorschlag.
Henrik unterstützt die Community
1
Wählen Sie einige Ziffern aus der Haupttelefonnummer Ihres Büros oder der statischen IP-Adresse oder Straßennummer aus, sofern diese unter 255 liegen. 10.246.xy oder 172.25.54.y wären also ein absolut legitimer IP-Bereich. Ein weiterer schmutziger Hack ist die Verwendung von Subnetzen, die größer oder kleiner als a / 24 sind, für ein spezifischeres Routing. Dies ist jedoch nicht ideal und bricht in vielerlei Hinsicht.
Criggie
172.16 / 12 wird selten verwendet, da es kein schönes Vielfaches von 8 ist. 172.16-bis-31.xy sind also gültige private IP-Adressen.
Criggie
2
Ich bin froh, dass Sie 42 erwähnt haben, es ist äußerst wichtig, sich daran zu erinnern.
Tero Kilkanen
1

Das Beste, was Sie tun können, ist, einen Bereich für das Netzwerk zu verwenden, auf den Sie VPN-Zugriff gewähren, von dem Sie erwarten, dass keiner Ihrer Benutzer ihn verwendet. Es besteht eine gute Chance, dass viele Ihrer Benutzer nicht geändert haben, dass ihre Router 192.168.0.0/24 oder 192.168.1.0/24 verwenden (die beiden Bereiche, die ich bei Consumer-Geräten am häufigsten gesehen habe), wenn Sie eine Vorstellung davon haben Wer sich möglicherweise für einen anderen Bereich entschieden hat, fragt ihn, was er verwendet. Benutzer, die dies getan haben, wissen jedoch auch, wie sie das Setup ihres eigenen Routers ändern können, um den Konflikt zu vermeiden.

Henrik unterstützt die Community
quelle
Das Problem, das ich habe, ist, dass einige meiner Benutzer einen vom ISP bereitgestellten Router verwenden, auf dem sie das IP-Adressierungssystem nicht ändern können. Das zweite Problem, das ich habe, ist, dass Benutzer verschiedene Adressierungssysteme haben, die ich weder vorhersagen noch steuern kann. Einige sind möglicherweise auf 10.x oder 192.x usw. Ich befürchte, dass wenn ich das Büronetzwerk auf eine Sache ändere, es für einen Benutzer möglicherweise noch nicht zukunftssicher ist.
John
1
Die einzig einigermaßen zukunftssichere Lösung ist die Verwendung von IPv6. Dies kann jedoch schnell zu anderen Problemen führen. Sie können nur hoffen, dass Sie keine Benutzer mit vom ISP bereitgestellten Routern erhalten, die dieselben Adressen wie Sie verwenden und nicht geändert werden können.
Henrik unterstützt die Community
1

Sie können nie 100% sicher sein, aber Sie können das Risiko minimieren, indem Sie vermeiden, dieselben Subnetze zu verwenden, die alle anderen verwenden.

Ich würde es vermeiden, die Subnetze am Ende von Blöcken zu verwenden, da viele Leute ihre Netzwerke von Anfang an nummerieren.

IMO ist Ihre sicherste Möglichkeit, Konflikte zu vermeiden, die Verwendung eines Subnetzes in der Mitte des Blocks 172.16.0.0/12. Ich habe noch nie gesehen, dass ein Heimrouter mit einem Subnetz aus diesem Block vorkonfiguriert wurde.

Ein zufälliges Subnetz von 10.0.0.0/8 ist ebenfalls relativ sicher, aber ich habe einmal einen Heimrouter verwendet, der standardmäßig die gesamte 10.0.0.0/8 dem LAN zugewiesen hat und nur Masken zulässt, die dem klassischen Standard entsprechen.

192.168 ist am anfälligsten für Konflikte, da es sich um einen relativ kleinen Block handelt und auf Heimroutern weit verbreitet ist.

Peter Green
quelle
0

Um alle oben genannten Probleme zu vermeiden, würde ich definitiv einen IP-Bereich im Bereich 172.16.nn oder 10.nnn wählen. In der Serverkonfigurationsdatei für den VPN-Server würde ich beispielsweise einen IP-Adressbereich von beispielsweise 10.66.77.0 mit der Maske 255.255.255.0 zuweisen. Der VPN-Server selbst benötigt 10.66.77.1, jeder VPN-Client erhält den nächsten freie IP darüber. Funktioniert für mich, keine Konflikte durch Verbindungen mit 'Home'-Routern, die hauptsächlich im Bereich 192.168.nn liegen.

Trader0
quelle
-2

Dies ist für mich etwas verwirrend, da der Administrator in den meisten Umgebungen, in denen Remotebenutzer über VPN-Zugriff verfügen, die Kontrolle / Verwaltung über das Verbinden von Benutzern haben muss, um sicherzustellen, dass das Netzwerk sicher bleibt. Dies bedeutet administrativen Zugriff, Kontrolle usw. über das Verbinden von Maschinen und Benutzern. Dies bedeutet, dass der Administrator den IP-Adressbereich steuern kann, was bedeutet, dass die Wahrscheinlichkeit, was Sie beschreiben, grundsätzlich unmöglich ist.

Ihre Lösung scheint zwar praktikabel, aber im Hinblick auf die Verwendung unterschiedlicher IP-Bereiche sehr schwierig zu sein.

Eine Möglichkeit besteht darin, ein Skript zu erstellen, das Sie auf Verbindungssystemen ausführen, um Routing-Tabellen zu überschreiben, um die Wahrscheinlichkeit eines möglichen Konflikts zu verringern (ich bin mir bewusst, dass bestimmte VPN-Lösungen dies können). Tatsächlich hat die Einrichtung des Organisationsnetzwerks Vorrang vor der Einrichtung des lokalen Netzwerks.

/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

Der OpenVPN-Client überschreibt das Standard-Gateway für den VPN-Server

Dies führt zu anderen Möglichkeiten. Angenommen, Benutzer stellen keine direkte Verbindung zu IP-Adressen her, können Sie DNS-Konfigurationen / Hostdateieinträge so ändern, dass sie das vorhandene lokale Netzwerk-Setup technisch überschreiben.

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

Eine andere Möglichkeit besteht darin, Ihr Organisationssetup so zu ändern, dass ein weniger verbreitetes IP-Adress-Backbone vorhanden ist. Da Sie über Administratorzugriff verfügen, sollten Sie dies schnell und einfach tun können (obwohl ich seitdem einen weiteren Kommentar gelesen habe, der das IPv6-Problem ins Spiel bringt).

Natürlich müssen Sie die Art des VPN-Setups ändern, um einige der oben beschriebenen Optionen zu erhalten, wenn Sie diese noch nicht haben.

dtbnguyen
quelle