Địa chỉ IP mạng chính xác nếu người dùng của bạn có khả năng VPN trong

Mạng nội bộ của tôi là 192.168.0.x với cổng 192.168.0.1.

Tôi có người dùng VPN vào tường lửa của chúng tôi, sau đó về cơ bản sẽ thêm họ vào mạng.

Tuy nhiên, nếu bộ định tuyến gia đình của họ có địa chỉ IP là 192.168.0.1 thì tất nhiên chúng ta có tất cả các loại vấn đề.

Vì vậy, thiết lập địa chỉ mạng lý tưởng để tránh điều này là gì? Tôi cũng đã thấy các thiết lập trong đó người dùng từ xa có địa chỉ bộ định tuyến trong phạm vi 10.x cũng vì vậy không chắc chắn tôi có thể làm gì để ngăn chặn điều này.

Mọi ý kiến ​​rất hoan nghênh!

Techspot có Danh sách các Địa chỉ IP Bộ định tuyến Mặc định Chung giúp xử lý việc này. Thông thường các bộ định tuyến gia đình sử dụng /24mạng con. Ngày nay, điện thoại di động thường được sử dụng để chia sẻ kết nối mạng, vì vậy chúng ta cũng phải tính đến các phạm vi này. Theo danh sách chúng ta có thể suy ra chúng ta nên tránh :

• 192.168.0.0/19- hầu hết các bộ định tuyến dường như sử dụng một số trong số này, ở trên 192.168.31.255.
• 10.0.0.0/24cũng được sử dụng rộng rãi và Apple sử dụng 10.0.1.0/24.
• 192.168.100.0/24 được sử dụng bởi Motorola, ZTE, Huawei và Thomson.
• Motorola sử dụng (ngoài ra) 192.168.62.0/24và 192.168.102.0/24.
• 192.168.123.0/24 được sử dụng bởi LevelOne, Repotec, Sitecom và US Robotics (ít phổ biến hơn)
• Một số D-Links có 10.1.1.0/24và 10.90.90.0/24.

Chúng tôi có ba phạm vi dành riêng cho các mạng riêng ; chúng ta vẫn còn nhiều không gian để tránh những thứ này trong:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Một số phạm vi trên ngẫu nhiên từ 10.0.0.0/8có thể là sự lựa chọn an toàn nhất để tránh va chạm. Bạn cũng có thể muốn tránh số 42trong bất kỳ phần nào của dải địa chỉ IP: đó có thể là số "ngẫu nhiên" phổ biến nhất, vì đó là Câu trả lời cho Câu hỏi cuối cùng về Sự sống, Vũ trụ và Mọi thứ .

Điều tốt nhất bạn có thể làm là sử dụng một phạm vi cho mạng mà bạn cấp quyền truy cập vpn, mà bạn mong đợi không có người dùng nào của bạn sử dụng. Có nhiều khả năng rất nhiều người dùng của bạn sẽ không thay đổi rằng bộ định tuyến của họ sử dụng 192.168.0.0/24 hoặc 192.168.1.0/24 (hai phạm vi tôi đã thấy nhiều nhất trong thiết bị tiêu dùng), nếu bạn có ý tưởng về một số những người có thể đã chọn sử dụng một phạm vi khác, hỏi họ những gì họ sử dụng, nhưng những người dùng đã làm như vậy cũng sẽ biết cách thay đổi thiết lập bộ định tuyến của riêng họ để tránh xung đột.

Bạn không bao giờ có thể chắc chắn 100% nhưng bạn có thể giảm thiểu rủi ro bằng cách tránh sử dụng cùng một mạng con mà mọi người khác làm.

Tôi sẽ tránh sử dụng các mạng con ở dưới cùng của các khối vì nhiều người bắt đầu đánh số mạng của họ từ sự năn nỉ của một khối.

IMO đặt cược an toàn nhất của bạn để tránh xung đột là sử dụng mạng con từ một nơi nào đó ở giữa khối 172.16.0.0/12. Tôi chưa bao giờ thấy một bộ định tuyến gia đình được cấu hình sẵn với một mạng con từ khối đó.

Một mạng con ngẫu nhiên từ 10.0.0.0/8 cũng tương đối an toàn nhưng tôi đã từng sử dụng một bộ định tuyến gia đình đã phân bổ toàn bộ 10.0.0.0/8 cho lan theo mặc định và sẽ chỉ cho phép các mặt nạ phù hợp với mặc định phân loại.

192.168 là dễ bị xung đột nhất vì nó là một khối tương đối nhỏ và được sử dụng rộng rãi trên các bộ định tuyến gia đình.

Để tránh tất cả các vấn đề được đề cập ở trên, tôi chắc chắn sẽ đầy đủ cho một phạm vi IP trong phạm vi 172.16.nn hoặc 10.nnn. Ví dụ: trong tệp cấu hình máy chủ cho máy chủ VPN, tôi sẽ phân bổ dải địa chỉ IP là 10.66.77.0, với mặt nạ 255.255.255.0 - máy chủ VPN sẽ mất 10.66.77.1, mỗi máy khách VPN sẽ nhận được tiếp theo IP miễn phí trên này. Hoạt động với tôi, không có xung đột từ các kết nối sử dụng bộ định tuyến 'home', chủ yếu trong phạm vi 192.168.nn.

Điều này hơi khó hiểu với tôi vì trong hầu hết các môi trường mà người dùng từ xa có quyền truy cập VPN, quản trị viên cần có quyền kiểm soát / quản lý khi kết nối người dùng để đảm bảo mạng vẫn an toàn. Điều đó có nghĩa là quyền truy cập quản trị, kiểm soát, v.v ... của việc kết nối máy và người dùng. Điều này có nghĩa là quản trị viên có thể kiểm soát phạm vi địa chỉ IP, điều đó có nghĩa là cơ hội của những gì bạn đang mô tả về cơ bản là không thể.

Điều đó nói rằng, giải pháp của bạn có vẻ khả thi nhưng rất khó khăn khi sử dụng các dải IP khác nhau.

Một tùy chọn là tạo tập lệnh mà bạn chạy trên các hệ thống kết nối để ghi đè lên các bảng định tuyến để giảm khả năng xảy ra xung đột (nhận thức được rằng các giải pháp VPN nhất định có thể thực hiện việc này). Thực tế, việc thiết lập mạng tổ chức sẽ được ưu tiên hơn so với thiết lập mạng cục bộ.

/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

openvpn client ghi đè cổng mặc định cho vpn sever

Điều này dẫn đến các khả năng khác. Giả sử người dùng không kết nối trực tiếp với địa chỉ IP, bạn có thể sửa đổi cấu hình DNS / mục nhập tệp máy chủ để họ ghi đè kỹ thuật thiết lập mạng cục bộ hiện có.

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

Một cách khác là thay đổi thiết lập tổ chức của bạn để có đường trục địa chỉ IP ít phổ biến hơn. Vì bạn có quyền truy cập quản trị, bạn sẽ có thể thực hiện việc này một cách nhanh chóng và dễ dàng (mặc dù tôi đã đọc một bình luận khác có vấn đề về IPv6).

Rõ ràng, bạn sẽ cần thay đổi loại thiết lập VPN mà bạn phải cung cấp cho bạn một số tùy chọn mà tôi đã nêu ở trên nếu bạn chưa có chúng.