Corregir el direccionamiento IP de networking si sus usuarios tienen capacidad para VPN en

Mi networking interna es 192.168.0.x con una pasarela de 192.168.0.1.

Tengo usuarios que VPN en nuestro cortafuego que entonces los agrega esencialmente a la networking.

Sin embargo, si su router doméstico tiene una dirección IP de 192.168.0.1 entonces por supuesto tenemos todo tipo de problemas.

Entonces, ¿cuál es la configuration de la dirección de networking ideal para evitar esto? He visto configuraciones donde los usuarios remotos tienen direcciones de enrutador en la gama 10.x también no estoy seguro de lo que puedo hacer para evitar esto.

Cualquier comentario muy bienvenido!

Techspot tiene una list de direcciones IP de router pnetworkingeterminadas comunes que ayuda con esto. Por lo general, los enrutadores domésticos utilizan /24 subnetworkinges. Hoy en día los teléfonos mobilees se utilizan a menudo para compartir la connection de networking, por lo que debemos tener en count estos ranges, también. De acuerdo con la list podemos deducir que debemos evitar :

  • 192.168.0.0/19 – la mayoría de los routers parece utilizar algunos de estos, por encima de 192.168.31.255 .
  • 10.0.0.0/24 también se utiliza ampliamente, y Apple utiliza 10.0.1.0/24 .
  • 192.168.100.0/24 es utilizado por Motorola, ZTE, Huawei y Thomson.
  • Motorola utiliza (además) 192.168.62.0/24 y 192.168.102.0/24 .
  • 192.168.123.0/24 es utilizado por LevelOne, Repotec, Sitecom y US Robotics (less común)
  • Algunos D-Links tienen 10.1.1.0/24 y 10.90.90.0/24 .

Tenemos tres ranges reservados para networkinges privadas ; todavía tenemos mucho espacio para evitar estos en:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Algún range superior aleatorio de 10.0.0.0/8 podría ser la opción más segura para evitar colisiones. También puede evitar el número 42 en cualquier parte del range de direcciones IP: puede ser el número "aleatorio" más común, ya que es la respuesta a la última pregunta de la vida, el universo y todo .

Lo mejor que puedes hacer es usar un range para la networking a la que accedes a vpn, que no esperes que ninguno de tus usuarios utilice. Hay una buena probabilidad de que muchos de sus usuarios no hayan cambiado que sus routers utilizan 192.168.0.0/24 o 192.168.1.0/24 (los dos ranges que he visto más en el equipo de consumo), si usted tiene una idea de algunos que podrían haber elegido utilizar un range diferente, preguntarles qué utilizan, pero los usuarios que lo han hecho también sabrán cómo cambiar la configuration de su propio enrutador para evitar el conflicto.

Nunca puede estar 100% seguro, pero puede minimizar el riesgo evitando usar las mismas subnetworkinges que los demás.

Me gustaría evitar el uso de las subnetworkinges en la parte inferior de los bloques como muchas personas comienzan a numerar sus networkinges desde el principio de un bloque.

IMO su apuesta más segura para evitar conflictos es usar una subnetworking desde algún lugar en medio del bloque 172.16.0.0/12. Nunca he visto un enrutador de casa viene preconfigurado con una subnetworking de ese bloque.

Una subnetworking aleatoria de 10.0.0.0/8 es también relativamente segura pero hice una vez que utilice un ranurador casero que asignó el set de 10.0.0.0/8 al lan por defecto y permitiría solamente las máscaras que emparejaron el defecto classful.

192.168 es el más vulnerable a los conflictos porque es un bloque relativamente pequeño y es ampliamente utilizado en los routers domésticos.

Para evitar todas las ediciones mencionadas arriba, definitivamente plump para un range del IP en el range 172.16.nn o 10.nnn. Por ejemplo, en el file de configuration del server para el server VPN, asignaría un range de direcciones IP de decir 10.66.77.0, con máscara 255.255.255.0 – el propio server VPN tomará 10.66.77.1, cada cliente VPN obtendrá el siguiente libre de IP por encima de este. Funciona para mí, no hay conflictos de conexiones que utilizan routers "domésticos", que están principalmente en el range 192.168.nn.

Esto es un poco desconcertante para mí porque en la mayoría de los entornos que he encontrado para que los usuarios remotos tengan acceso VPN, el administrador necesita tener control / administración sobre la connection de los usuarios para asegurar que la networking permanezca segura. Eso significa acceso administrativo, control, etc … de conectar máquinas y usuarios. Esto significa que el administrador puede controlar el range de direcciones IP, lo que significa que las posibilidades de lo que está describiendo es básicamente imposible.

Dicho esto, su solución parece viable, pero muy difícil con respecto a la utilización de diferentes ranges de IP.

Una opción es crear un script que se ejecute en los sistemas de connection para sobrescribir tablas de routing para networkingucir las posibilidades de un posible conflicto (estoy consciente de que ciertas soluciones VPN son capaces de hacer esto). Efectivamente, la configuration de networking organizativa tendrá prioridad sobre la configuration de networking local.

https://unix.stackexchange.com/questions/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

openvpn cliente pasarela pnetworkingeterminada para vpn sever

Esto conduce a otras posibilidades. Suponiendo que los usuarios no se conecten directamente a las direcciones IP, puede modificar las inputs de los files de configuration / host del DNS para que reemplacen técnicamente la configuration de networking local existente.

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

Otra forma es cambiar la configuration de la organización para que tenga una estructura de dirección IP less común. Puesto que usted tiene acceso administrativo usted debe poder hacer esto rápidamente y fácilmente (aunque he leído de nuevo otro comentario que trae el problema de IPv6 en juego).

Obviamente, necesitará cambiar el tipo de configuration de VPN que tiene para darle algunas de las opciones que describo más arriba si aún no las tiene.