แก้ไขที่อยู่ IP ของเครือข่ายหากผู้ใช้ของคุณมีความสามารถใน VPN

10

เครือข่ายภายในของฉันคือ 192.168.0.x พร้อมเกตเวย์ 192.168.0.1

ฉันมีผู้ใช้ที่ VPN เข้าไปในไฟร์วอลล์ของเราซึ่งเพิ่มพวกเขาไปยังเครือข่ายเป็นหลัก

อย่างไรก็ตามหากเราเตอร์ที่บ้านของพวกเขามีที่อยู่ IP 192.168.0.1 แน่นอนว่าเรามีปัญหาทุกประเภท

ดังนั้นการตั้งค่าที่อยู่เครือข่ายในอุดมคติเพื่อหลีกเลี่ยงปัญหานี้คืออะไร ฉันเห็นการตั้งค่าที่ผู้ใช้ระยะไกลมีที่อยู่เราเตอร์ในช่วง 10.x ด้วยดังนั้นไม่แน่ใจว่าฉันจะทำอย่างไรเพื่อป้องกันสิ่งนี้

ความคิดเห็นใด ๆ ยินดีต้อนรับอย่างมาก!

networking  vpn  ip 
จอห์น
แหล่งที่มา

คำตอบ:

14

Techspot มีรายการที่อยู่ IP เริ่มต้นทั่วไปซึ่งจะช่วยในเรื่องนี้ โดยปกติเราเตอร์ภายในบ้านจะใช้/24เครือข่ายย่อย ปัจจุบันโทรศัพท์มือถือมักถูกใช้เพื่อแบ่งปันการเชื่อมต่อเครือข่ายดังนั้นเราจึงต้องคำนึงถึงช่วงเหล่านี้ด้วย จากรายการเราสามารถสรุปได้ว่าเราควรหลีกเลี่ยง :

  • 192.168.0.0/19- 192.168.31.255ส่วนใหญ่ของเราเตอร์ที่ดูเหมือนว่าจะใช้บางส่วนของเหล่านี้ดังกล่าวข้างต้น
  • 10.0.0.0/2410.0.1.0/24นอกจากนี้ยังใช้กันอย่างแพร่หลายและการใช้แอปเปิ้ล
  • 192.168.100.0/24 ถูกใช้โดย Motorola, ZTE, Huawei และ Thomson
  • โมโตโรล่าใช้ (นอกเหนือ) และ192.168.62.0/24192.168.102.0/24
  • 192.168.123.0/24 ใช้งานโดย LevelOne, Repotec, Sitecom และ US Robotics (พบน้อยกว่า)
  • บาง D-ลิงค์ที่มีและ10.1.1.0/2410.90.90.0/24

เรามีสามช่วงที่สงวนไว้สำหรับเครือข่ายส่วนตัว ; เรายังมีพื้นที่เหลือเฟือเพื่อหลีกเลี่ยงสิ่งเหล่านี้ใน:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

ช่วงบนแบบสุ่มบางส่วน10.0.0.0/8อาจเป็นตัวเลือกที่ปลอดภัยที่สุดสำหรับการหลีกเลี่ยงการชน นอกจากนี้คุณยังอาจต้องการที่จะหลีกเลี่ยงจำนวน42ในส่วนของช่วงที่อยู่ IP ใด ๆ : มันอาจจะเป็นเรื่องธรรมดาจำนวน "สุ่ม" มากที่สุดเท่าที่จะเป็นคำตอบให้กับคำถามสุดท้ายของชีวิตจักรวาลและทุกอย่าง

Esa Jokinen
แหล่งที่มา
4
ประสบการณ์ของฉันคือ 172.16.0.0/12 เป็นวิธีที่ใช้กันน้อยที่สุดดังนั้นฉันจะเลือก a / 24 จากนั้น แต่ส่วนบนของ 10.0.0.0/8 ก็เป็นคำแนะนำที่ดีเช่นกัน
Henrik สนับสนุนชุมชน
1
เลือกตัวเลขบางส่วนจากหมายเลขโทรศัพท์หลักของสำนักงานหรือที่อยู่ IP แบบคงที่หรือหมายเลขถนนตราบใดที่พวกเขาอายุต่ำกว่า 255 ดังนั้น 10.246.xy หรือ 172.25.54.y จะเป็นช่วง IP ที่ถูกต้องตามกฎหมายอย่างสมบูรณ์ที่จะใช้ แฮ็คที่สกปรกอีกอันหนึ่งคือการใช้ซับเน็ตที่มีขนาดใหญ่กว่าหรือเล็กกว่า / 24 สำหรับการกำหนดเส้นทางที่เฉพาะเจาะจงมากขึ้น แต่นี่ไม่ใช่อุดมคติและหยุดพักในหลาย ๆ ด้าน
Criggie
172.16 / 12 ไม่ค่อยได้ใช้เพราะมันไม่ใช่ตัวคูณที่ดีจาก 8 ดังนั้น 172.16-through-31.xy จึงเป็นที่อยู่ IP ส่วนตัวที่ถูกต้อง
Criggie
2
ฉันดีใจที่คุณพูดถึง 42 เป็นสิ่งสำคัญอย่างยิ่งที่ต้องจำ
Tero Kilkanen
1

วิธีที่ดีที่สุดที่คุณสามารถทำได้คือใช้ช่วงสำหรับเครือข่ายที่คุณให้การเข้าถึง vpn ซึ่งคุณคาดหวังว่าผู้ใช้ของคุณจะไม่ใช้ มีโอกาสที่ดีที่ผู้ใช้ของคุณจำนวนมากจะไม่เปลี่ยนแปลงว่าเราเตอร์ของพวกเขาใช้ 192.168.0.0/24 หรือ 192.168.1.0/24 (ทั้งสองช่วงที่ฉันเห็นมากที่สุดในอุปกรณ์สำหรับผู้บริโภค) หากคุณมีความคิดบางอย่าง ใครอาจเลือกที่จะใช้ช่วงที่แตกต่างกันถามพวกเขาในสิ่งที่ใช้ แต่ผู้ใช้ที่ทำเช่นนั้นจะรู้วิธีเปลี่ยนการตั้งค่าเราเตอร์ของตนเองเพื่อหลีกเลี่ยงความขัดแย้ง

เฮนริกสนับสนุนชุมชน
แหล่งที่มา
ปัญหาที่ฉันมีคือผู้ใช้ของฉันบางรายกำลังใช้เราเตอร์ที่จัดหาโดย ISP ซึ่งไม่สามารถเปลี่ยนระบบการระบุที่อยู่ IP ได้ ปัญหาที่สองที่ฉันมีคือผู้ใช้มีระบบที่อยู่ต่าง ๆ ซึ่งฉันไม่สามารถทำนายหรือควบคุมได้ ดังนั้นอาจมีบางอย่างที่ 10.x หรือ 192.x เป็นต้นฉันกลัวว่าหากฉันเปลี่ยนเครือข่าย office เป็นสิ่งหนึ่งอาจเป็นข้อพิสูจน์ในอนาคตสำหรับผู้ใช้ที่ยังไม่เป็น
John
1
วิธีแก้ปัญหาในอนาคตที่สมเหตุสมผลเท่านั้นคือการใช้ IPv6 แต่อาจทำให้เกิดปัญหาอื่นได้อย่างรวดเร็ว คุณสามารถหวังได้ว่าคุณจะไม่ได้รับผู้ใช้จากเราเตอร์ที่มาจาก ISP ที่ใช้ที่อยู่เดียวกันกับคุณและไม่สามารถเปลี่ยนแปลงได้
Henrik สนับสนุนชุมชน
1

คุณไม่มีทางแน่ใจได้ 100% แต่คุณสามารถลดความเสี่ยงได้โดยหลีกเลี่ยงการใช้ซับเน็ตเดียวกันกับที่คนอื่นทำ

ฉันจะหลีกเลี่ยงการใช้ซับเน็ตที่ด้านล่างของบล็อกเนื่องจากหลาย ๆ คนเริ่มนับเครือข่ายจากการเริ่มบล็อก

IMO ของคุณเดิมพันที่ปลอดภัยที่สุดสำหรับการหลีกเลี่ยงความขัดแย้งคือการใช้เครือข่ายย่อยจากที่ไหนสักแห่งในช่วงกลางของ 172.16.0.0/12 บล็อก ฉันไม่เคยเห็นเราเตอร์ในบ้านมากำหนดค่าล่วงหน้าด้วยซับเน็ตจากบล็อกนั้น

เครือข่ายย่อยแบบสุ่มจาก 10.0.0.0/8 ก็ค่อนข้างปลอดภัย แต่เมื่อฉันใช้โฮมเราเตอร์ที่จัดสรร 10.0.0.0/8 ทั้งหมดให้กับ LAN ตามค่าเริ่มต้นและอนุญาตเฉพาะมาสก์ที่ตรงกับค่าเริ่มต้นที่มีระดับเท่านั้น

192.168 เป็นช่องโหว่ที่มีความขัดแย้งได้มากที่สุดเนื่องจากเป็นบล็อกขนาดเล็กและมีการใช้กันอย่างแพร่หลายในเราเตอร์ที่บ้าน

ปีเตอร์กรีน
แหล่งที่มา
0

เพื่อหลีกเลี่ยงปัญหาทั้งหมดที่กล่าวถึงข้างต้นฉันต้องพยายามหาช่วง IP ในช่วง 172.16.nn หรือ 10.nnn ตัวอย่างเช่นในไฟล์ config ของเซิร์ฟเวอร์สำหรับเซิร์ฟเวอร์ VPN ฉันจะจัดสรรช่วงที่อยู่ IP เป็น 10.66.77.0 โดยมี mask 255.255.255.0 - เซิร์ฟเวอร์ VPN นั้นจะใช้เวลา 10.66.77.1 แต่ละไคลเอนต์ VPN จะได้รับถัดไป IP ฟรีเหนือสิ่งนี้ ใช้งานได้สำหรับฉันไม่มีความขัดแย้งจากการเชื่อมต่อโดยใช้เราเตอร์ 'โฮม' ซึ่งส่วนใหญ่อยู่ในช่วง 192.168.nn

Trader0
แหล่งที่มา
-2

สิ่งนี้ทำให้ฉันสับสนเล็กน้อยเพราะในสภาพแวดล้อมส่วนใหญ่ที่ฉันได้พบเพื่อให้ผู้ใช้ระยะไกลสามารถเข้าถึง VPN ผู้ดูแลระบบจำเป็นต้องมีการควบคุม / การจัดการมากกว่าการเชื่อมต่อผู้ใช้เพื่อให้แน่ใจว่าเครือข่ายยังคงปลอดภัย นั่นหมายถึงการเข้าถึงระดับผู้ดูแลระบบควบคุม ฯลฯ ... ของการเชื่อมต่อเครื่องและผู้ใช้ ซึ่งหมายความว่าผู้ดูแลระบบสามารถควบคุมช่วงที่อยู่ IP ซึ่งหมายความว่าโอกาสของสิ่งที่คุณกำลังอธิบายนั้นเป็นไปไม่ได้

วิธีแก้ปัญหาของคุณดูเหมือนจะใช้การได้ แต่ยากมากในการใช้ช่วง IP ที่แตกต่างกัน

ทางเลือกหนึ่งคือการสร้างสคริปต์ที่คุณใช้ในการเชื่อมต่อระบบเพื่อเขียนทับตารางเส้นทางเพื่อลดโอกาสที่จะเกิดข้อขัดแย้งที่อาจเกิดขึ้น (โปรดทราบว่าโซลูชัน VPN บางตัวสามารถทำได้) การตั้งค่าเครือข่ายองค์กรจะมีความสำคัญเหนือกว่าการตั้งค่าเครือข่ายท้องถิ่น

/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

ไคลเอ็นต์ openvpn จะแทนที่เกตเวย์เริ่มต้นสำหรับ vpn Sever

สิ่งนี้นำไปสู่ความเป็นไปได้อื่น ๆ สมมติว่าผู้ใช้ไม่ได้เชื่อมต่อโดยตรงกับที่อยู่ IP คุณสามารถแก้ไขการกำหนดค่า DNS / รายการไฟล์โฮสต์เพื่อให้พวกเขาแทนที่การตั้งค่าเครือข่ายท้องถิ่นที่มีอยู่ในทางเทคนิค

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

อีกวิธีหนึ่งคือเปลี่ยนการตั้งค่าองค์กรของคุณเพื่อให้มี backbone ที่อยู่ IP ที่น้อยกว่า เนื่องจากคุณมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบคุณควรทำสิ่งนี้ได้อย่างรวดเร็วและง่ายดาย (แม้ว่าฉันจะได้อ่านความคิดเห็นอื่นซึ่งทำให้ปัญหา IPv6 เข้ามาเล่น)

เห็นได้ชัดว่าคุณจะต้องเปลี่ยนประเภทของการตั้งค่า VPN ที่คุณต้องให้ตัวเลือกบางอย่างที่ฉันสรุปไว้ข้างต้นหากคุณยังไม่มี

dtbnguyen
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.