Indirizzamento IP di rete corretto se gli utenti hanno la possibilità di accedere a VPN

10

La mia rete interna è 192.168.0.x con un gateway di 192.168.0.1.

Ho utenti che VPN nel nostro firewall che poi li aggiunge essenzialmente alla rete.

Tuttavia, se il loro router di casa ha un indirizzo IP di 192.168.0.1, ovviamente abbiamo tutti i tipi di problemi.

Quindi, qual è la configurazione dell'indirizzo di rete ideale per evitarlo? Ho visto configurazioni in cui gli utenti remoti hanno indirizzi di router nella gamma 10.x, quindi non sono sicuro di cosa posso fare per impedirlo.

Qualsiasi commento molto gradito!

networking  vpn  ip 
John
fonte

Risposte:

14

Techspot ha un elenco di indirizzi IP del router predefiniti comuni che aiuta a questo. Di solito i router domestici utilizzano /24sottoreti. Al giorno d'oggi i telefoni cellulari sono spesso utilizzati per condividere la connessione di rete, quindi dobbiamo tenere conto anche di questi intervalli. Secondo l'elenco che possiamo dedurre dovremmo evitare :

  • 192.168.0.0/19- la maggior parte dei router sembra utilizzare alcuni di questi, sopra 192.168.31.255.
  • 10.0.0.0/24è anche ampiamente usato e Apple utilizza 10.0.1.0/24.
  • 192.168.100.0/24 è utilizzato da Motorola, ZTE, Huawei e Thomson.
  • Motorola utilizza (in aggiunta) 192.168.62.0/24e 192.168.102.0/24.
  • 192.168.123.0/24 è utilizzato da LevelOne, Repotec, Sitecom e US Robotics (meno comune)
  • Alcuni D-Link hanno 10.1.1.0/24e 10.90.90.0/24.

Abbiamo tre gamme riservate alle reti private ; abbiamo ancora molto spazio per evitarli in:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Una gamma superiore casuale 10.0.0.0/8potrebbe essere la scelta più sicura per evitare le collisioni. Potresti anche voler evitare il numero 42in qualsiasi parte dell'intervallo di indirizzi IP: potrebbe essere il numero "casuale" più comune, in quanto è la risposta all'ultima domanda di vita, l'universo e tutto .

Esa Jokinen
fonte
4
La mia esperienza è che 172.16.0.0/12 è il meno comune usato, quindi selezionerei un / 24 da quello, ma anche l'estremità superiore di 10.0.0.0/8 è un buon suggerimento.
Henrik supporta la comunità il
1
Scegli alcune cifre dal numero di telefono principale dell'ufficio o dall'indirizzo IP statico o dal numero civico, purché siano inferiori a 255. Quindi 10.246.xy o 172.25.54.y sarebbe un intervallo IP perfettamente legittimo da usare. Un altro trucco sporco consiste nell'utilizzare subnet più grandi o più piccole di un / 24, per un routing più specifico. Ma questo non è l'ideale e si rompe in molti modi.
Criggie,
172.16 / 12 viene usato raramente perché non è un multiplo di 8. Quindi 172.16-31.xy sono indirizzi IP privati ​​validi.
Criggie,
2
Sono contento che tu abbia menzionato 42, è estremamente importante ricordare.
Tero Kilkanen,
1

Il meglio che puoi fare è utilizzare un intervallo per la rete a cui dai accesso VPN, che non ti aspetti che venga utilizzato da nessuno dei tuoi utenti. C'è una buona probabilità che molti dei tuoi utenti non abbiano cambiato il fatto che i loro router utilizzino 192.168.0.0/24 o 192.168.1.0/24 (le due gamme che ho visto di più nelle attrezzature di consumo), se hai un'idea di alcuni che potrebbero aver scelto di utilizzare un intervallo diverso, chiedere loro cosa usano, ma gli utenti che lo hanno fatto sapranno anche come modificare la configurazione del proprio router per evitare il conflitto.

Henrik supporta la comunità
fonte
Il problema che ho è che alcuni dei miei utenti utilizzano un router fornito dall'ISP sul quale non possono modificare il sistema di indirizzamento IP. Il secondo problema che ho è che gli utenti hanno vari sistemi di indirizzamento che non posso prevedere né controllare. Quindi alcuni potrebbero essere su 10.xo 192.x ecc. Temo che se cambio la rete dell'ufficio in una cosa, potrebbe non essere una prova futura per un utente che deve ancora essere.
Giovanni
1
L'unica soluzione ragionevolmente futura è utilizzare IPv6, ma ciò potrebbe causare rapidamente altri problemi. Puoi solo sperare di non ricevere utenti con router forniti dall'ISP che utilizzano gli stessi indirizzi e non possono essere modificati.
Henrik supporta la comunità il
1

Non puoi mai essere sicuro al 100% ma puoi minimizzare il rischio evitando di usare le stesse sottoreti che fanno tutti gli altri.

Eviterei di usare le sottoreti nella parte inferiore dei blocchi poiché molte persone iniziano a numerare le loro reti dall'inizio di un blocco.

IMO la tua scommessa più sicura per evitare conflitti è usare una sottorete da qualche parte nel mezzo del blocco 172.16.0.0/12. Non ho mai visto un router di casa preconfigurato con una sottorete da quel blocco.

Una sottorete casuale da 10.0.0.0/8 è anche relativamente sicura, ma una volta ho usato un router domestico che alloca di default l'intero 10.0.0.0/8 alla lan e consentirebbe solo maschere che corrispondessero al valore predefinito di classe.

192.168 è il più vulnerabile ai conflitti perché è un blocco relativamente piccolo ed è ampiamente utilizzato sui router domestici.

Peter Green
fonte
0

Per evitare tutti i problemi sopra menzionati, sceglierei sicuramente un intervallo IP nell'intervallo 172.16.nn o 10.nnn. Ad esempio, nel file di configurazione del server per il server VPN, assegnerei un intervallo di indirizzi IP come 10.66.77.0, con la maschera 255.255.255.0 - il server VPN stesso prenderà il 10.66.77.1, ogni client VPN otterrà il successivo IP libero sopra questo. Funziona per me, nessun conflitto dalle connessioni che usano router "domestici", che sono principalmente nell'intervallo 192.168.nn.

Trader0
fonte
-2

Questo è leggermente sconcertante per me perché nella maggior parte degli ambienti in cui mi sono imbattuto per consentire agli utenti remoti di accedere alla VPN, l'amministratore deve avere il controllo / la gestione sulla connessione degli utenti per garantire che la rete rimanga sicura. Ciò significa accesso amministrativo, controllo, ecc. Di connessione di macchine e utenti. Ciò significa che l'amministratore può controllare l'intervallo di indirizzi IP, il che significa che le possibilità di ciò che stai descrivendo sono sostanzialmente impossibili.

Detto questo, la tua soluzione sembra fattibile ma molto difficile per quanto riguarda l'utilizzo di diversi intervalli IP.

Un'opzione è la creazione di uno script che si esegue su sistemi di connessione per sovrascrivere le tabelle di routing per ridurre le possibilità di un possibile conflitto (sono consapevole che alcune soluzioni VPN sono in grado di farlo). In effetti, la configurazione della rete organizzativa avrà la precedenza sulla configurazione della rete locale.

/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

client openvpn sovrascrive gateway predefinito per vpn sever

Questo porta ad altre possibilità. Supponendo che gli utenti non si connettano direttamente agli indirizzi IP, è possibile modificare le configurazioni DNS / le voci del file host in modo che abbiano la precedenza sulla configurazione della rete locale esistente.

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

Un altro modo è quello di modificare la configurazione dell'organizzazione in modo da avere un backbone di indirizzi IP meno comune. Dato che hai accesso amministrativo, dovresti essere in grado di farlo rapidamente e facilmente (anche se da allora ho letto un altro commento che mette in gioco il problema IPv6).

Ovviamente, dovrai cambiare il tipo di configurazione VPN che ti è necessario per darti alcune delle opzioni che ho delineato sopra se non le hai già.

dtbnguyen
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.