如果您的用户具有VPN接入能力,请更正网络IP地址

10

我的内部网络是192.168.0.x,网关是192.168.0.1。

我让用户将VPN接入我们的防火墙,然后将其实质上添加到网络中。

但是,如果他们的家庭路由器的IP地址为192.168.0.1,那么我们当然会遇到各种各样的问题。

那么,避免这种情况的理想网络地址设置是什么?我已经看到了设置,其中远程用户的路由器地址在10.x范围内,因此不确定我能做些什么来防止这种情况。

任何意见都非常欢迎!

networking  vpn  ip 
约翰
source

Answers:

14

Techspot 的“通用默认路由器IP地址列表”对此有所帮助。通常,家用路由器使用/24子网。如今,手机经常用于共享网络连接,因此我们也必须考虑这些范围。据我们可以推断出我们应该名单避免

  • 192.168.0.0/19-大多数路由器似乎都在上面使用了其中一些192.168.31.255
  • 10.0.0.0/24也被广泛使用,而Apple则使用10.0.1.0/24
  • 192.168.100.0/24 由摩托罗拉,中兴通讯,华为和汤姆森使用。
  • 摩托罗拉(另外)使用192.168.62.0/24192.168.102.0/24
  • 192.168.123.0/24 由LevelOne,Repotec,Sitecom和US Robotics(较不常见)使用
  • 一些D-Link具有10.1.1.0/2410.90.90.0/24

我们为私有网络保留了三个范围;我们仍然有足够的空间来避免这些情况:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

某些随机上限范围10.0.0.0/8是避免碰撞的最安全选择。您可能还希望避免42在IP地址范围的任何部分使用数字:它可能是最常见的“随机”数字,因为它是生命,宇宙和一切最终问题答案

艾萨·乔金宁
source
4
我的经验是,最不常用的是172.16.0.0/12,因此我会从中选择一个/ 24,但是10.0.0.0/8的上限也是一个很好的建议。
Henrik支持社区
1
只要您的办公室主电话号码,静态IP地址或街道号码中的数字在255以下,请选择这些数字。因此,使用10.246.xy或172.25.54.y是一个完全合法的IP范围。另一个肮脏的技巧是使用比/ 24大或小的子网来进行更特定的路由。但这不是理想的方法,并且在很多方面都有所突破。
Criggie
很少使用172.16 / 12,因为它不是8的整数倍。因此172.16-through-31.xy是有效的专用IP地址。
Criggie '17
2
我很高兴您提到42,记住这一点非常重要。
Tero Kilkanen
1

最好的办法是为您授予vpn访问权限的网络使用一个范围,希望您的用户都不使用。如果您有一些想法,很可能您的许多用户都不会改变他们的路由器使用192.168.0.0/24或192.168.1.0/24(这是我在消费类设备中见过最多的两个范围)谁可能选择使用其他范围,请问他们使用什么,但是这样做的用户也将知道如何更改自己的路由器的设置以避免冲突。

Henrik支持社区
source
我的问题是我的一些用户使用的是ISP提供的路由器,他们无法更改IP寻址系统。我遇到的第二个问题是用户拥有各种我无法预测或无法控制的寻址系统。所以有些可能在10.x或192.x等上。我担心如果我将办公网络更改为一件事,那么对于用户来说,这可能还不是未来的证明。
约翰·
1
唯一可以合理地面向未来的解决方案是使用IPv6,但这可能很快导致其他问题。您只能希望不会让ISP提供的路由器的用户使用与您相同的地址并且无法更改的用户。
Henrik支持社区
1

您永远不能百分百确定,但是可以避免使用其他所有人都使用的相同子网来最大程度地降低风险。

我会避免使用块底部的子网,因为许多人从块的开始就开始为其网络编号。

IMO避免冲突的最安全的选择是在172.16.0.0/12块中间的某个地方使用子网。我从未见过家用路由器预先配置了该块中的子网。

来自10.0.0.0/8的随机子网也相对安全,但是我曾经使用过一个家用路由器,该路由器默认将整个10.0.0.0/8分配给局域网,并且只允许与有类默认值匹配的掩码。

192.168是最容易受冲突影响的地方,因为它是一个相对较小的块,并且广泛用于家用路由器。

彼得·格林
source
0

为避免上述所有问题,我绝对希望IP地址在172.16.nn或10.nnn范围内。例如,在VPN服务器的服务器配置文件中,我分配了一个IP地址范围,例如10.66.77.0,掩码为255.255.255.0-VPN服务器本身将使用10.66.77.1,每个VPN客户端将获得下一个上面有免费的IP。对我有用,使用“ home”路由器(​​主要在192.168.nn范围内)的连接没有冲突。

交易者0
source
-2

这对我来说有点令人困惑,因为在我遇到的大多数环境中,远程用户都可以访问VPN,管理员需要对连接用户进行控制/管理,以确保网络保持安全。这意味着对连接的机器和用户进行管理访问,控制等。这意味着管理员可以控制IP地址范围,这基本上使您无法描述您所描述的内容。

也就是说,您的解决方案确实可行,但在使用不同IP范围方面非常困难。

一种选择是创建一个脚本,该脚本可以在连接系统上运行以覆盖路由表,以减少可能发生冲突的可能性(要知道某些VPN解决方案能够做到这一点)。实际上,组织网络设置将优先于本地网络设置。

/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

openvpn客户端覆盖vpn服务器的默认网关

这导致其他可能性。假设用户不直接连接到IP地址,则可以修改DNS配置/主机文件条目,以使他们在技术上覆盖现有的本地网络设置。

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

另一种方法是将组织设置更改为不常见的IP地址主干。由于您具有管理访问权限,因此您应该能够轻松快捷地执行此操作(尽管此后,我已经阅读了另一条使IPv6问题发挥作用的评论)。

显然,您需要更改VPN设置的类型,如果您还没有,请给我上面概述的一些选项。

dtbnguyen
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.