Моя внутренняя сеть - 192.168.0.x со шлюзом 192.168.0.1.
У меня есть пользователи, которые используют этот VPN в нашем брандмауэре, который затем добавляет их в сеть.
Однако, если их домашний маршрутизатор имеет IP-адрес 192.168.0.1, то, конечно, у нас есть всевозможные проблемы.
Итак, какова идеальная настройка сетевого адреса, чтобы этого избежать? Я видел установки, в которых удаленные пользователи имеют адреса маршрутизаторов в диапазоне 10.x, поэтому не уверен, что я могу сделать, чтобы предотвратить это.
Любые комментарии очень приветствуются!
Techspot имеет Список общих IP-адресов маршрутизаторов по умолчанию это помогает в этом. Обычно домашние роутеры используют /24
подсети. В настоящее время мобильные телефоны часто используются для совместного использования сетевого подключения, поэтому мы должны учитывать и эти диапазоны. Согласно списку мы можем сделать вывод, что должны избегать:
192.168.0.0/19
- похоже, что большинство маршрутизаторов используют некоторые из них, указанные выше 192.168.31.255
.10.0.0.0/24
также широко используется, и Apple использует 10.0.1.0/24
.192.168.100.0/24
используется Motorola, ZTE, Huawei и Thomson.192.168.62.0/24
и 192.168.102.0/24
.192.168.123.0/24
используется LevelOne, Repotec, Sitecom и U.S. Robotics (реже)10.1.1.0/24
и 10.90.90.0/24
.У нас есть три диапазона, зарезервированные для частные сети; у нас все еще есть много места, чтобы этого избежать:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Какой-то случайный верхний диапазон от 10.0.0.0/8
может быть самым безопасным выбором для предотвращения столкновений. Вы также можете избежать числа 42
в любой части диапазона IP-адресов: это может быть наиболее распространенное "случайное" число, так как это Ответ на главный вопрос жизни, Вселенной и всего остального.
Вы никогда не можете быть уверены на 100%, но вы можете минимизировать риск, избегая использования тех же подсетей, что и все остальные.
Я бы избегал использования подсетей в нижней части блоков, поскольку многие люди начинают нумеровать свои сети с самого начала блока.
ИМО, ваш самый безопасный способ избежать конфликтов - использовать подсеть где-то в середине блока 172.16.0.0/12. Я никогда не видел, чтобы домашний маршрутизатор был предварительно настроен с подсетью из этого блока.
Случайная подсеть из 10.0.0.0/8 также относительно безопасна, но однажды я использовал домашний маршрутизатор, который по умолчанию выделил все 10.0.0.0/8 локальной сети и разрешал только маски, соответствующие классу по умолчанию.
192.168 наиболее уязвим для конфликтов, потому что это относительно небольшой блок и широко используется на домашних маршрутизаторах.
Лучшее, что вы можете сделать, - это использовать диапазон для сети, к которой вы предоставляете доступ vpn, и которую, как вы ожидаете, никто из ваших пользователей не будет использовать. Есть большая вероятность, что многие из ваших пользователей не изменили свое мнение о том, что их маршрутизаторы используют 192.168.0.0/24 или 192.168.1.0/24 (два диапазона, которые я чаще всего видел в потребительском оборудовании), если вы имеете представление о некоторых кто, возможно, решил использовать другой диапазон, спросите их, что они используют, но пользователи, которые сделали это, также будут знать, как изменить настройку своего собственного маршрутизатора, чтобы избежать конфликта.
Чтобы избежать всех проблем, упомянутых выше, я определенно выбрал бы диапазон IP в диапазоне 172.16.n.n или 10.n.n.n. Например, в файле конфигурации сервера для VPN-сервера я бы выделил диапазон IP-адресов, скажем, 10.66.77.0, с маской 255.255.255.0 - сам VPN-сервер будет принимать 10.66.77.1, каждый VPN-клиент получит следующий бесплатный IP выше этого. У меня работает, никаких конфликтов от подключений с использованием «домашних» маршрутизаторов, которые в основном находятся в диапазоне 192.168.n.n.
Это немного сбивает меня с толку, потому что в большинстве сред, с которыми я сталкивался, для удаленных пользователей, чтобы иметь доступ к VPN, администратор должен иметь контроль / управление над подключением пользователей, чтобы гарантировать, что сеть остается безопасной. Это означает административный доступ, контроль и т. Д. Подключенных машин и пользователей. Это означает, что администратор может управлять диапазоном IP-адресов, а это означает, что вероятность того, что вы описываете, практически невозможна.
Тем не менее, ваше решение кажется работоспособным, но очень сложным в отношении использования разных диапазонов IP-адресов.
Одним из вариантов является создание сценария, который вы запускаете при подключении систем для перезаписи таблиц маршрутизации, чтобы уменьшить вероятность возможного конфликта (я знаю, что некоторые решения VPN могут это сделать). Фактически, настройка сети организации будет иметь приоритет над настройкой локальной сети.
клиент openvpn переопределяет шлюз по умолчанию для сервера vpn
Это приводит к другим возможностям. Предполагая, что пользователи не подключаются напрямую к IP-адресам, вы можете изменить конфигурации DNS / записи файлов хоста, чтобы они технически переопределяли существующие настройки локальной сети.
https://hostsfileeditor.codeplex.com/
https://support.rackspace.com/how-to/modify-your-hosts-file/
Другой способ - изменить настройку вашей организации, чтобы использовать менее распространенную магистраль IP-адресов. Поскольку у вас есть административный доступ, вы сможете сделать это быстро и легко (хотя с тех пор я прочитал еще один комментарий, который затрагивает проблему IPv6).
Очевидно, вам необходимо изменить тип настройки VPN, чтобы предоставить вам некоторые из опций, которые я описываю выше, если у вас их еще нет.