Corrija el direccionamiento IP de la red si sus usuarios tienen capacidad para VPN en


10

Mi red interna es 192.168.0.x con una puerta de enlace de 192.168.0.1.

Tengo usuarios que VPN en nuestro firewall que luego esencialmente los agrega a la red.

Sin embargo, si su enrutador doméstico tiene una dirección IP de 192.168.0.1, por supuesto, tenemos todo tipo de problemas.

Entonces, ¿cuál es la configuración de dirección de red ideal para evitar esto? He visto configuraciones donde los usuarios remotos tienen direcciones de enrutador en el rango 10.x, así que no estoy seguro de qué puedo hacer para evitar esto.

Cualquier comentario muy bienvenido!

Respuestas:


14

Techspot tiene una lista de direcciones IP de enrutador predeterminadas comunes que ayuda con esto. Por lo general, los enrutadores domésticos utilizan /24subredes. Hoy en día, los teléfonos móviles se usan a menudo para compartir la conexión de red, por lo que también debemos tener en cuenta estos rangos. Según la lista que podemos deducir, debemos evitar :

  • 192.168.0.0/19- la mayoría de los enrutadores parecen usar algunos de estos, arriba 192.168.31.255.
  • 10.0.0.0/24también se usa ampliamente y Apple lo usa 10.0.1.0/24.
  • 192.168.100.0/24 es utilizado por Motorola, ZTE, Huawei y Thomson.
  • Motorola utiliza (además) 192.168.62.0/24y 192.168.102.0/24.
  • 192.168.123.0/24 es utilizado por LevelOne, Repotec, Sitecom y US Robotics (menos común)
  • Algunos D-Links tienen 10.1.1.0/24y 10.90.90.0/24.

Tenemos tres rangos reservados para redes privadas ; Todavía tenemos mucho espacio para evitarlos en:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Algún rango superior aleatorio 10.0.0.0/8podría ser la opción más segura para evitar colisiones. También puede evitar el número 42en cualquier parte del rango de direcciones IP: podría ser el número "aleatorio" más común, ya que es la respuesta a la última pregunta de la vida, el universo y todo .


44
Mi experiencia es que 172.16.0.0/12 es el menos utilizado, por lo que seleccionaría un / 24 de eso, pero el extremo superior de 10.0.0.0/8 también es una buena sugerencia.
Henrik apoya a la comunidad el

1
Elija algunos dígitos del número de teléfono principal de su oficina o dirección IP estática o número de calle, siempre que sean menores de 255. Entonces 10.246.xy o 172.25.54.y sería un rango de IP perfectamente legítimo para usar. Otro truco sucio es usar subredes que son más grandes o más pequeñas que a / 24, para un enrutamiento más específico. Pero esto no es ideal y se rompe de muchas maneras.
Criggie

172.16 / 12 rara vez se usa porque no es un buen múltiplo de 8. Por lo tanto, 172.16 a 31.xy son direcciones IP privadas válidas.
Criggie

2
Me alegra que hayas mencionado 42, es extremadamente importante recordarlo.
Tero Kilkanen

1

Lo mejor que puede hacer es usar un rango para la red a la que le da acceso vpn, que espera que ninguno de sus usuarios use. Hay una buena posibilidad de que muchos de sus usuarios no hayan cambiado que sus enrutadores usen 192.168.0.0/24 o 192.168.1.0/24 (los dos rangos que he visto más en equipos de consumo), si tiene una idea de algunos quién podría haber elegido usar un rango diferente, pregúnteles qué usan, pero los usuarios que lo hayan hecho también sabrán cómo cambiar la configuración de su propio enrutador para evitar el conflicto.


El problema que tengo es que algunos de mis usuarios están utilizando un enrutador proporcionado por el ISP y no pueden cambiar el sistema de direccionamiento IP. El segundo problema que tengo es que los usuarios tienen varios sistemas de direccionamiento que no puedo predecir ni controlar. Por lo tanto, algunos pueden estar en 10.xo 192.x, etc. Me temo que si cambio la red de la oficina a una sola cosa, es posible que aún no sea una prueba futura para un usuario.
John

1
La única solución razonablemente segura para el futuro es usar IPv6, pero eso podría causar otros problemas rápidamente. Solo puede esperar que no obtendrá usuarios con enrutadores provistos por el ISP que usen las mismas direcciones que usted y no puedan cambiarse.
Henrik apoya a la comunidad el

1

Nunca puede estar 100% seguro, pero puede minimizar el riesgo al evitar usar las mismas subredes que todos los demás.

Evitaría usar las subredes en la parte inferior de los bloques, ya que muchas personas comienzan a numerar sus redes desde el comienzo de un bloque.

En mi opinión, su apuesta más segura para evitar conflictos es utilizar una subred en algún lugar en el medio del bloque 172.16.0.0/12. Nunca he visto un enrutador doméstico preconfigurado con una subred de ese bloque.

Una subred aleatoria de 10.0.0.0/8 también es relativamente segura, pero una vez utilicé un enrutador doméstico que asignó todo el 10.0.0.0/8 a la LAN de forma predeterminada y solo permitía máscaras que coincidían con el valor predeterminado con clase.

192.168 es el más vulnerable a los conflictos porque es un bloque relativamente pequeño y se usa ampliamente en los enrutadores domésticos.


0

Para evitar todos los problemas mencionados anteriormente, definitivamente elegiría un rango de IP en el rango 172.16.nn o 10.nnn. Por ejemplo, en el archivo de configuración del servidor para el servidor VPN, asignaría un rango de dirección IP de digamos 10.66.77.0, con la máscara 255.255.255.0: el servidor VPN tomará 10.66.77.1, cada cliente VPN obtendrá el siguiente IP libre por encima de esto. Funciona para mí, no hay conflictos por conexiones que usan enrutadores 'domésticos', que están principalmente en el rango 192.168.nn.


-2

Esto es un poco desconcertante para mí porque en la mayoría de los entornos que he encontrado para que los usuarios remotos tengan acceso VPN, el administrador debe tener control / administración sobre la conexión de los usuarios para garantizar que la red permanezca segura. Eso significa acceso administrativo, control, etc. de conectar máquinas y usuarios. Esto significa que el administrador puede controlar el rango de direcciones IP, lo que significa que las posibilidades de lo que está describiendo son básicamente imposibles.

Dicho esto, su solución parece viable pero muy difícil con respecto al uso de diferentes rangos de IP.

Una opción es crear una secuencia de comandos que ejecute en los sistemas de conexión para sobrescribir las tablas de enrutamiento para reducir las posibilidades de un posible conflicto (soy consciente de que ciertas soluciones VPN pueden hacerlo). Efectivamente, la configuración de la red organizacional tendrá prioridad sobre la configuración de la red local.

/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

El cliente openvpn anula la puerta de enlace predeterminada para vpn sever

Esto lleva a otras posibilidades. Suponiendo que los usuarios no se conectan directamente a las direcciones IP, puede modificar las configuraciones de DNS / entradas de archivos host para que técnicamente anulen la configuración de red local existente.

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

Otra forma es cambiar la configuración de su organización para tener una red troncal de direcciones IP menos común. Dado que tiene acceso administrativo, debería poder hacerlo de manera rápida y fácil (aunque desde entonces he leído otro comentario que pone en juego el problema de IPv6).

Obviamente, necesitará cambiar el tipo de configuración de VPN que tiene para darle algunas de las opciones que describo anteriormente si aún no las tiene.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.