Mengatasi IP Jaringan yang benar jika pengguna Anda memiliki kemampuan untuk masuk VPN

10

Jaringan internal saya adalah 192.168.0.x dengan gateway 192.168.0.1.

Saya memiliki pengguna yang VPN ke firewall kami yang kemudian pada dasarnya menambahkan mereka ke jaringan.

Namun, jika router rumah mereka memiliki alamat IP 192.168.0.1 maka tentu saja kami memiliki semua jenis masalah.

Jadi, apa pengaturan alamat jaringan yang ideal untuk menghindari ini? Saya telah melihat pengaturan di mana pengguna jarak jauh memiliki alamat router dalam kisaran 10.x juga jadi tidak yakin apa yang bisa saya lakukan untuk mencegah hal ini.

Setiap komentar sangat disambut!

networking vpn ip John
sumber

Jawaban:

14

Techspot memiliki Daftar Alamat IP Router Default Umum yang membantu dalam hal ini. Biasanya router rumah menggunakan /24subnet. Saat ini ponsel sering digunakan untuk berbagi koneksi jaringan, jadi kita juga harus mempertimbangkan rentang ini. Menurut daftar yang dapat kita simpulkan, kita harus menghindari :

  • 192.168.0.0/19- Sebagian besar router tampaknya menggunakan beberapa di atas 192.168.31.255.
  • 10.0.0.0/24juga banyak digunakan, dan Apple menggunakan 10.0.1.0/24.
  • 192.168.100.0/24 digunakan oleh Motorola, ZTE, Huawei dan Thomson.
  • Motorola menggunakan (sebagai tambahan) 192.168.62.0/24dan 192.168.102.0/24.
  • 192.168.123.0/24 digunakan oleh LevelOne, Repotec, Sitecom dan US Robotics (kurang umum)
  • Beberapa D-Link memiliki 10.1.1.0/24dan 10.90.90.0/24.

Kami memiliki tiga rentang yang disediakan untuk jaringan pribadi ; kami masih memiliki banyak ruang untuk menghindari ini di:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Beberapa rentang atas acak dari 10.0.0.0/8bisa menjadi pilihan paling aman untuk menghindari tabrakan. Anda juga mungkin ingin menghindari nomor 42di bagian mana pun dari rentang alamat IP: itu mungkin nomor "acak" yang paling umum, karena itu adalah Jawaban untuk Pertanyaan Utama Kehidupan, Semesta, dan Segalanya .

Esa Jokinen
sumber
4
Pengalaman saya adalah bahwa 172.16.0.0/12 adalah yang paling jarang digunakan, jadi saya akan memilih a / 24 dari itu, tetapi ujung atas 10.0.0.0/8 juga merupakan saran yang bagus.
Henrik mendukung komunitas
1
Pilih beberapa digit dari nomor telepon utama kantor Anda atau alamat IP statis atau nomor jalan, asalkan di bawah 255. Jadi 10.246.xy atau 172.25.54.y akan menjadi rentang IP yang sah untuk digunakan. Peretasan kotor lainnya adalah dengan menggunakan subnet yang lebih besar atau lebih kecil dari / 24, untuk perutean yang lebih spesifik. Tapi ini tidak ideal dan pecah dalam banyak hal.
Criggie
172.16 / 12 jarang digunakan karena bukan kelipatan yang bagus dari 8. Jadi 172.16-through-31.xy adalah alamat IP pribadi yang valid.
Criggie
2
Saya senang Anda menyebutkan 42, sangat penting untuk diingat.
Tero Kilkanen
1

Yang terbaik yang dapat Anda lakukan adalah menggunakan rentang untuk jaringan yang Anda beri akses vpn, yang Anda harapkan tidak akan digunakan oleh pengguna. Ada kemungkinan besar banyak pengguna Anda tidak akan berubah bahwa router mereka menggunakan 192.168.0.0/24 atau 192.168.1.0/24 (dua rentang yang paling banyak saya lihat di perangkat konsumen), jika Anda memiliki gagasan tentang beberapa yang mungkin memilih untuk menggunakan rentang yang berbeda, bertanya kepada mereka apa yang mereka gunakan, tetapi pengguna yang telah melakukannya juga akan tahu bagaimana mengubah pengaturan router mereka sendiri untuk menghindari konflik.

Henrik mendukung komunitas
sumber
Masalah yang saya miliki adalah bahwa beberapa pengguna saya menggunakan router yang disediakan ISP sehingga mereka tidak dapat mengubah sistem pengalamatan IP. Masalah kedua yang saya miliki adalah bahwa pengguna memiliki berbagai sistem pengalamatan yang tidak dapat saya prediksi atau kontrol. Jadi beberapa mungkin pada 10.x atau 192.x dll. Saya khawatir jika saya mengubah jaringan kantor ke satu hal, itu mungkin bukan bukti masa depan untuk pengguna yang belum.
John
1
Satu-satunya solusi yang cukup futureproof adalah dengan menggunakan IPv6, tetapi itu dapat dengan cepat menyebabkan masalah lain. Anda hanya bisa berharap bahwa Anda tidak akan mendapatkan pengguna dengan router yang disediakan ISP yang menggunakan alamat yang sama seperti Anda dan tidak dapat diubah.
Henrik mendukung komunitas
1

Anda tidak pernah bisa 100% yakin tetapi Anda bisa meminimalkan risiko dengan menghindari menggunakan subnet yang sama dengan yang dilakukan orang lain.

Saya akan menghindari menggunakan subnet di bagian bawah blok karena banyak orang mulai penomoran jaringan mereka sejak awal blok.

IMO taruhan teraman Anda untuk menghindari konflik adalah dengan menggunakan subnet dari suatu tempat di tengah blok 172.16.0.0/12. Saya belum pernah melihat router rumah yang sudah dikonfigurasikan sebelumnya dengan subnet dari blok itu.

Subnet acak dari 10.0.0.0/8 juga relatif aman tetapi saya pernah menggunakan router rumah yang mengalokasikan seluruh 10.0.0.0/8 ke lan secara default dan hanya akan memungkinkan masker yang cocok dengan default classful.

192.168 adalah yang paling rentan terhadap konflik karena merupakan blok yang relatif kecil dan banyak digunakan pada router rumah.

Peter Green
sumber
0

Untuk menghindari semua masalah yang disebutkan di atas, saya pasti akan mencari rentang IP pada rentang 172.16.nn atau 10.nnn. Misalnya, dalam file konfigurasi server untuk server VPN, saya akan mengalokasikan kisaran alamat IP katakanlah 10.66.77.0, dengan mask 255.255.255.0 - server VPN itu sendiri akan mengambil 10.66.77.1, setiap klien VPN akan mendapatkan yang berikutnya IP gratis di atas ini. Bekerja untuk saya, tidak ada konflik dari koneksi menggunakan router 'rumah', yang sebagian besar dalam kisaran 192.168.nn.

Trader0
sumber
-2

Ini agak membingungkan bagi saya karena di sebagian besar lingkungan yang saya temui untuk pengguna jarak jauh untuk memiliki akses VPN, administrator perlu memiliki kontrol / manajemen atas menghubungkan pengguna untuk memastikan bahwa jaringan tetap aman. Itu berarti akses administratif, kontrol, dll ... menghubungkan mesin dan pengguna. Ini berarti bahwa administrator dapat mengontrol rentang alamat IP yang berarti kemungkinan apa yang Anda uraikan pada dasarnya tidak mungkin.

Yang mengatakan, solusi Anda tampaknya bisa dilakukan tetapi sangat sulit berkaitan dengan menggunakan rentang IP yang berbeda.

Salah satu opsi adalah membuat skrip yang Anda jalankan pada sistem penghubung untuk menimpa tabel routing untuk mengurangi kemungkinan konflik yang mungkin terjadi (saya sadar bahwa solusi VPN tertentu dapat melakukan ini). Secara efektif, pengaturan jaringan organisasi akan diutamakan daripada pengaturan jaringan lokal.

/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

openvpn client menimpa gateway default untuk vpn sever

Ini mengarah pada kemungkinan lain. Dengan asumsi pengguna tidak terhubung langsung ke alamat IP Anda dapat memodifikasi konfigurasi DNS / entri file host sehingga secara teknis mereka menimpa pengaturan jaringan lokal yang ada.

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

Cara lain adalah mengubah pengaturan organisasi Anda untuk memiliki tulang punggung alamat IP yang kurang umum. Karena Anda memiliki akses administratif, Anda harus dapat melakukan ini dengan cepat dan mudah (meskipun saya sudah membaca komentar lain yang membawa masalah IPv6).

Tentunya, Anda harus mengubah jenis pengaturan VPN yang harus Anda berikan kepada Anda beberapa opsi yang saya uraikan di atas jika Anda belum memilikinya.

dtbnguyen
sumber