Corrigir o endereçamento IP da rede se seus usuários tiverem capacidade de VPN

10

Minha rede interna é 192.168.0.x com um gateway 192.168.0.1.

Eu tenho usuários que VPN em nosso firewall, que basicamente os adiciona à rede.

No entanto, se o roteador doméstico tiver um endereço IP 192.168.0.1, é claro que temos todos os tipos de problemas.

Então, qual é a configuração ideal de endereço de rede para evitar isso? Eu já vi configurações em que os usuários remotos têm endereços de roteador na faixa 10.x também, então não tenho certeza do que posso fazer para evitar isso.

Quaisquer comentários muito bem-vindos!

networking vpn ip John
fonte

Respostas:

14

O Techspot possui uma lista de endereços IP do roteador padrão comum que ajuda com isso. Normalmente, os roteadores domésticos usam /24sub-redes. Atualmente, os telefones celulares costumam ser usados ​​para compartilhar a conexão de rede, por isso devemos levar em consideração esses intervalos. De acordo com a lista, podemos deduzir que devemos evitar :

  • 192.168.0.0/19- a maioria dos roteadores parece usar alguns deles, acima 192.168.31.255.
  • 10.0.0.0/24também é amplamente usado, e a Apple usa 10.0.1.0/24.
  • 192.168.100.0/24 é usado pela Motorola, ZTE, Huawei e Thomson.
  • A Motorola usa (além disso) 192.168.62.0/24e 192.168.102.0/24.
  • 192.168.123.0/24 é usado por LevelOne, Repotec, Sitecom e US Robotics (menos comum)
  • Alguns D-Links têm 10.1.1.0/24e 10.90.90.0/24.

Temos três intervalos reservados para redes privadas ; ainda temos muito espaço para evitá-los em:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Alguma faixa superior aleatória de 10.0.0.0/8poderia ser a escolha mais segura para evitar colisões. Você também pode evitar o número 42em qualquer parte do intervalo de endereços IP: pode ser o número "aleatório" mais comum, pois é a resposta para a questão final da vida, do universo e de tudo .

Esa Jokinen
fonte
4
Minha experiência é que 172.16.0.0/12 é o menos comum usado, então eu selecionaria um / 24 disso, mas o limite superior de 10.0.0.0/8 também é uma boa sugestão.
Henrik apoia a comunidade
1
Escolha alguns dígitos do número de telefone principal do escritório ou do endereço IP estático ou do número da rua, desde que estejam abaixo de 255. Portanto, 10.246.xy ou 172.25.54.y seria um intervalo de IP perfeitamente legítimo para usar. Outro truque sujo é usar sub-redes maiores ou menores que a / 24, para roteamento mais específico. Mas isso não é o ideal e quebra de várias maneiras.
Criggie
172.16 / 12 raramente é usado porque não é um bom múltiplo de 8. Portanto, 172.16 a 31.xy são endereços IP privados válidos.
Criggie #
2
Fico feliz que você tenha mencionado 42, é extremamente importante lembrar.
Tero Kilkanen
1

O melhor que você pode fazer é usar um intervalo para a rede à qual você dá acesso vpn, que você espera que nenhum de seus usuários use. Há uma boa chance de muitos usuários não terem mudado que seus roteadores usem 192.168.0.0/24 ou 192.168.1.0/24 (os dois intervalos que eu mais vi no setor de consumo), se você tiver uma idéia de alguns quem optar por usar um intervalo diferente, pergunte a eles o que eles usam, mas os usuários que o fizeram também saberão como alterar a configuração de seu próprio roteador para evitar o conflito.

Henrik apoia a comunidade
fonte
O problema que tenho é que alguns dos meus usuários estão usando um roteador fornecido pelo provedor de serviços de Internet e não podem alterar o sistema de endereçamento IP. A segunda questão que tenho é que os usuários têm vários sistemas de endereçamento que não posso prever nem controlar. Portanto, alguns podem estar em 10.x ou 192.x etc. Receio que, se eu mudar a rede do escritório para uma coisa, talvez não seja uma prova futura para um usuário.
John
1
A única solução razoavelmente à prova de futuro é usar o IPv6, mas isso pode causar rapidamente outros problemas. Você pode apenas esperar que não obtenha usuários com roteadores fornecidos pelo ISP que usem os mesmos endereços que você e não possam ser alterados.
Henrik apoia a comunidade
1

Você nunca pode ter 100% de certeza, mas pode minimizar o risco, evitando usar as mesmas sub-redes que todo mundo faz.

Eu evitaria usar as sub-redes na parte inferior dos blocos, pois muitas pessoas começam a numerar suas redes desde o início de um bloco.

Na IMO, sua aposta mais segura para evitar conflitos é usar uma sub-rede de algum lugar no meio do bloco 172.16.0.0/12. Nunca vi um roteador doméstico pré-configurado com uma sub-rede desse bloco.

Uma sub-rede aleatória de 10.0.0.0/8 também é relativamente segura, mas uma vez eu usei um roteador doméstico que alocava todo o 10.0.0.0/8 à LAN por padrão e permitia apenas máscaras que correspondessem ao padrão de classe.

192.168 é o mais vulnerável a conflitos porque é um bloco relativamente pequeno e é amplamente usado em roteadores domésticos.

Peter Green
fonte
0

Para evitar todos os problemas mencionados acima, eu definitivamente preferiria um intervalo de IP no intervalo 172.16.nn ou 10.nnn. Por exemplo, no arquivo de configuração do servidor VPN, eu alocaria um intervalo de endereços IP, digamos, 10.66.77.0, com máscara 255.255.255.0 - o próprio servidor VPN terá 10.66.77.1, cada cliente VPN obterá o próximo IP livre acima disso. Funciona para mim, sem conflitos de conexões usando roteadores 'domésticos', que estão principalmente no intervalo 192.168.nn.

Trader0
fonte
-2

Isso é um pouco desconcertante para mim, porque na maioria dos ambientes que encontrei para usuários remotos terem acesso à VPN, o administrador precisa ter controle / gerenciamento sobre a conexão de usuários para garantir que a rede permaneça segura. Isso significa acesso administrativo, controle, etc ... de conectar máquinas e usuários. Isso significa que o administrador pode controlar o intervalo de endereços IP, o que significa que as chances do que você está descrevendo são basicamente impossíveis.

Dito isto, sua solução parece viável, mas muito difícil no que diz respeito ao uso de diferentes faixas de IP.

Uma opção é criar um script que você executa nos sistemas de conexão para substituir as tabelas de roteamento para reduzir as chances de um possível conflito (saiba que determinadas soluções VPN podem fazer isso). Efetivamente, a configuração da rede organizacional terá precedência sobre a configuração da rede local.

/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

O cliente openvpn substitui o gateway padrão para vpn sever

Isso leva a outras possibilidades. Supondo que os usuários não se conectem diretamente aos endereços IP, você pode modificar as configurações de DNS / entradas de arquivos do host para substituir tecnicamente a configuração de rede local existente.

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

Outra maneira é alterar sua configuração organizacional para ter um backbone de endereço IP menos comum. Como você tem acesso administrativo, você deve fazer isso de maneira rápida e fácil (embora eu tenha lido outro comentário que coloca o problema do IPv6 em jogo).

Obviamente, você precisará alterar o tipo de configuração da VPN para fornecer algumas das opções descritas acima, caso ainda não as possua.

dtbnguyen
fonte