Korrigieren Sie die Netzwerk-IP-Adressierung, wenn Ihre Benutzer VPN-fähig sind

Mein internes Netzwerk ist 192.168.0.x mit einem Gateway von 192.168.0.1.

Ich habe Benutzer, die VPN in unsere Firewall, die sie dann im Wesentlichen zum Netzwerk hinzufügt.

Wenn ihr Heimrouter jedoch eine IP-Adresse von 192.168.0.1 hat, haben wir natürlich alle möglichen Probleme.

Was ist die ideale Einrichtung für Netzwerkadressen, um dies zu vermeiden? Ich habe Setups gesehen, bei denen die Remote-Benutzer Router-Adressen im 10.x-Bereich haben, also nicht sicher, was ich tun kann, um dies zu verhindern.

Kommentare sind sehr willkommen!

Techspot verfügt über eine Liste allgemeiner Standard-Router-IP-Adressen , die dabei helfen. Normalerweise verwenden /24Heimrouter Subnetze. Heutzutage werden Mobiltelefone häufig zum Teilen von Netzwerkverbindungen verwendet, daher müssen wir auch diese Bereiche berücksichtigen. Aus der Liste können wir schließen, dass wir Folgendes vermeiden sollten :

• 192.168.0.0/19- Die meisten Router scheinen einige der oben genannten zu verwenden 192.168.31.255.
• 10.0.0.0/24ist auch weit verbreitet, und Apple verwendet 10.0.1.0/24.
• 192.168.100.0/24 wird von Motorola, ZTE, Huawei und Thomson verwendet.
• Motorola verwendet (zusätzlich) 192.168.62.0/24und 192.168.102.0/24.
• 192.168.123.0/24 wird von LevelOne, Repotec, Sitecom und US Robotics verwendet (weniger verbreitet)
• Einige D-Links haben 10.1.1.0/24und 10.90.90.0/24.

Wir haben drei Bereiche für private Netzwerke reserviert . Wir haben noch viel Platz, um diese zu vermeiden:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Ein zufälliger oberer Bereich von 10.0.0.0/8könnte die sicherste Wahl sein, um Kollisionen zu vermeiden. Möglicherweise möchten Sie auch Zahlen 42in einem beliebigen Teil des IP-Adressbereichs vermeiden : Dies ist möglicherweise die häufigste "Zufallszahl", da dies die Antwort auf die ultimative Frage des Lebens, des Universums und alles ist .

Das Beste, was Sie tun können, ist, einen Bereich für das Netzwerk zu verwenden, auf den Sie VPN-Zugriff gewähren, von dem Sie erwarten, dass keiner Ihrer Benutzer ihn verwendet. Es besteht eine gute Chance, dass viele Ihrer Benutzer nicht geändert haben, dass ihre Router 192.168.0.0/24 oder 192.168.1.0/24 verwenden (die beiden Bereiche, die ich bei Consumer-Geräten am häufigsten gesehen habe), wenn Sie eine Vorstellung davon haben Wer sich möglicherweise für einen anderen Bereich entschieden hat, fragt ihn, was er verwendet. Benutzer, die dies getan haben, wissen jedoch auch, wie sie das Setup ihres eigenen Routers ändern können, um den Konflikt zu vermeiden.

Sie können nie 100% sicher sein, aber Sie können das Risiko minimieren, indem Sie vermeiden, dieselben Subnetze zu verwenden, die alle anderen verwenden.

Ich würde es vermeiden, die Subnetze am Ende von Blöcken zu verwenden, da viele Leute ihre Netzwerke von Anfang an nummerieren.

IMO ist Ihre sicherste Möglichkeit, Konflikte zu vermeiden, die Verwendung eines Subnetzes in der Mitte des Blocks 172.16.0.0/12. Ich habe noch nie gesehen, dass ein Heimrouter mit einem Subnetz aus diesem Block vorkonfiguriert wurde.

Ein zufälliges Subnetz von 10.0.0.0/8 ist ebenfalls relativ sicher, aber ich habe einmal einen Heimrouter verwendet, der standardmäßig die gesamte 10.0.0.0/8 dem LAN zugewiesen hat und nur Masken zulässt, die dem klassischen Standard entsprechen.

192.168 ist am anfälligsten für Konflikte, da es sich um einen relativ kleinen Block handelt und auf Heimroutern weit verbreitet ist.

Um alle oben genannten Probleme zu vermeiden, würde ich definitiv einen IP-Bereich im Bereich 172.16.nn oder 10.nnn wählen. In der Serverkonfigurationsdatei für den VPN-Server würde ich beispielsweise einen IP-Adressbereich von beispielsweise 10.66.77.0 mit der Maske 255.255.255.0 zuweisen. Der VPN-Server selbst benötigt 10.66.77.1, jeder VPN-Client erhält den nächsten freie IP darüber. Funktioniert für mich, keine Konflikte durch Verbindungen mit 'Home'-Routern, die hauptsächlich im Bereich 192.168.nn liegen.

Dies ist für mich etwas verwirrend, da der Administrator in den meisten Umgebungen, in denen Remotebenutzer über VPN-Zugriff verfügen, die Kontrolle / Verwaltung über das Verbinden von Benutzern haben muss, um sicherzustellen, dass das Netzwerk sicher bleibt. Dies bedeutet administrativen Zugriff, Kontrolle usw. über das Verbinden von Maschinen und Benutzern. Dies bedeutet, dass der Administrator den IP-Adressbereich steuern kann, was bedeutet, dass die Wahrscheinlichkeit, was Sie beschreiben, grundsätzlich unmöglich ist.

Ihre Lösung scheint zwar praktikabel, aber im Hinblick auf die Verwendung unterschiedlicher IP-Bereiche sehr schwierig zu sein.

Eine Möglichkeit besteht darin, ein Skript zu erstellen, das Sie auf Verbindungssystemen ausführen, um Routing-Tabellen zu überschreiben, um die Wahrscheinlichkeit eines möglichen Konflikts zu verringern (ich bin mir bewusst, dass bestimmte VPN-Lösungen dies können). Tatsächlich hat die Einrichtung des Organisationsnetzwerks Vorrang vor der Einrichtung des lokalen Netzwerks.

/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

Der OpenVPN-Client überschreibt das Standard-Gateway für den VPN-Server

Dies führt zu anderen Möglichkeiten. Angenommen, Benutzer stellen keine direkte Verbindung zu IP-Adressen her, können Sie DNS-Konfigurationen / Hostdateieinträge so ändern, dass sie das vorhandene lokale Netzwerk-Setup technisch überschreiben.

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

Eine andere Möglichkeit besteht darin, Ihr Organisationssetup so zu ändern, dass ein weniger verbreitetes IP-Adress-Backbone vorhanden ist. Da Sie über Administratorzugriff verfügen, sollten Sie dies schnell und einfach tun können (obwohl ich seitdem einen weiteren Kommentar gelesen habe, der das IPv6-Problem ins Spiel bringt).

Natürlich müssen Sie die Art des VPN-Setups ändern, um einige der oben beschriebenen Optionen zu erhalten, wenn Sie diese noch nicht haben.