Endereçamento IP de rede correto se seus usuários tiverem capacidade de VPN em

Navegue suas respostas
9

Minha rede interna é 192.168.0.x com um gateway 192.168.0.1.

Eu tenho usuários que VPN em nosso firewall, que, em seguida, essencialmente, os adiciona à rede.

No entanto, se o roteador doméstico tiver um endereço IP 192.168.0.1, é claro que temos todos os tipos de problemas.

Então, qual é a configuração de endereço de rede ideal para evitar isso? Eu vi configurações onde os usuários remotos têm endereços de roteador no intervalo 10.x também, então não tenho certeza do que posso fazer para evitar isso.

Qualquer comentário é muito bem vindo!

    
por John 06.06.2017 / 10:38

5 respostas

13

A Techspot tem uma lista de endereços IP de roteador padrão comuns que ajuda com isso . Normalmente, os roteadores domésticos usam /24 sub-redes. Hoje em dia, os telefones celulares costumam ser usados para compartilhar a conexão de rede, portanto, também precisamos levar em conta esses intervalos. De acordo com a lista, podemos deduzir que devemos evitar :

  • 192.168.0.0/19 - a maioria dos roteadores parece usar alguns desses, acima de 192.168.31.255 .
  • 10.0.0.0/24 também é amplamente usado, e a Apple usa 10.0.1.0/24 .
  • 192.168.100.0/24 é usado pela Motorola, ZTE, Huawei e Thomson.
  • A Motorola usa (além disso) 192.168.62.0/24 e 192.168.102.0/24 .
  • 192.168.123.0/24 é usado por LevelOne, Repotec, Sitecom e Robótica dos EUA (menos comuns)
  • Alguns D-Links têm 10.1.1.0/24 e 10.90.90.0/24 .

Temos três intervalos reservados para redes privadas ; ainda temos muito espaço para evitar isso em:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Algum intervalo superior aleatório de 10.0.0.0/8 poderia ser a escolha mais segura para evitar colisões. Você também pode evitar o número 42 em qualquer parte do intervalo de endereços IP: ele pode ser o número "aleatório" mais comum, já que é o Resposta à Questão Final da Vida, O Universo e Tudo .

    
por 06.06.2017 / 11:11
1

O melhor que você pode fazer é usar um intervalo para a rede a que você dá acesso vpn, que você espera que nenhum de seus usuários use. Há uma boa chance de muitos de seus usuários não terem mudado que seus roteadores usam 192.168.0.0/24 ou 192.168.1.0/24 (os dois intervalos que eu mais tenho visto em equipamentos de consumidor), se você tem uma idéia de algum Quem poderia ter escolhido usar um intervalo diferente, perguntar-lhes o que eles usam, mas os usuários que fizeram isso também saberão como alterar a configuração de seu próprio roteador para evitar o conflito.

    
por 06.06.2017 / 11:07
1

Você nunca pode ter 100% de certeza, mas pode minimizar o risco evitando usar as mesmas sub-redes que todos os outros usam.

Eu evitaria usar as sub-redes na parte inferior dos blocos, já que muitas pessoas começam a numerar suas redes desde o início de um bloco.

IMO sua aposta mais segura para evitar conflitos é usar uma sub-rede de algum lugar no meio do bloco 172.16.0.0/12. Eu nunca vi um roteador doméstico vindo pré-configurado com uma sub-rede desse bloco.

Uma sub-rede aleatória de 10.0.0.0/8 também é relativamente segura, mas usei um roteador doméstico que alocava o conjunto de 10.0.0.0/8 para o lan por padrão e só permitia máscaras que correspondessem ao padrão classful.

192.168 é o mais vulnerável a conflitos porque é um bloco relativamente pequeno e é amplamente usado em roteadores domésticos.

    
por 06.06.2017 / 18:57
0

Para evitar todos os problemas mencionados acima, eu definitivamente prefiro um intervalo de IPs no intervalo 172.16.n.n ou 10.n.n.n. Por exemplo, no arquivo de configuração do servidor para o servidor VPN, eu alocaria um intervalo de endereço IP de 10.66.77.0, com a máscara 255.255.255.0 - o próprio servidor VPN levará 10.66.77.1, cada cliente VPN obterá o próximo IP livre acima disso. Funciona para mim, não há conflitos de conexões usando roteadores 'domésticos', que estão principalmente no intervalo 192.168.n.n.

    
por 07.06.2017 / 16:28
-2

Isso é um pouco confuso para mim porque na maioria dos ambientes que eu encontrei para usuários remotos terem acesso VPN, o administrador precisa ter controle / gerenciamento sobre os usuários conectados para garantir que a rede permaneça segura. Isso significa acesso administrativo, controle, etc ... de conectar máquinas e usuários. Isso significa que o administrador pode controlar o intervalo de endereços IP, o que significa que as chances do que você está descrevendo são basicamente impossíveis.

Dito isto, a sua solução parece ser viável, mas muito difícil no que diz respeito à utilização de intervalos de IP diferentes.

Uma opção é criar um script que você execute nos sistemas de conexão para substituir as tabelas de roteamento para reduzir as chances de um possível conflito (estou ciente de que certas soluções de VPN podem fazer isso). Efetivamente, a configuração da rede organizacional terá precedência sobre a configuração da rede local.

link

o cliente openvpn substitui o gateway padrão para vpn sever

Isso leva a outras possibilidades. Supondo que os usuários não se conectem diretamente aos endereços IP, você pode modificar as configurações do DNS / entradas do arquivo host para que elas tecnicamente anulem a configuração da rede local existente.

link

link

Outra maneira é alterar sua configuração organizacional para ter um backbone de endereço IP menos comum. Como você tem acesso administrativo, você deve conseguir fazer isso de maneira rápida e fácil (embora eu tenha lido um outro comentário que traz o problema do IPv6 em ação).

Obviamente, você precisará alterar o tipo de configuração de VPN que você tem para fornecer algumas das opções que eu estou descrevendo acima se você ainda não as tiver.

    
por 06.06.2017 / 20:28

Tags

Desativar a desfragmentação THP e THP na instância do CentOS 7 EC2 Método para descontinuar a chave SSH Parear localmente