ユーザーがVPNを使用できる場合は、正しいネットワークIPアドレス指定

10

私の内部ネットワークは192.168.0.xで、ゲートウェイは192.168.0.1です。

私は、VPNをファイアウォールに接続するユーザーを持っています。これにより、実質的にネットワークに追加されます。

ただし、ホームルーターのIPアドレスが192.168.0.1の場合は、もちろん、あらゆる種類の問題が発生します。

では、これを回避するための理想的なネットワークアドレスの設定は何でしょうか。リモートユーザーが10.xの範囲のルーターアドレスを持っている設定も見たので、これを防ぐために何ができるかわかりません。

コメントは大歓迎です!

networking  vpn  ip 
ジョン
ソース

回答:

14

Techspotには、これに役立つ一般的なデフォルトルーターIPアドレスのリストがあります。通常、ホームルーターは/24サブネットを使用します。最近では、ネットワーク接続の共有に携帯電話がよく使用されるため、これらの範囲も考慮する必要があります。リストによれば、避けるべきだと推測できます:

  • 192.168.0.0/19-ほとんどのルーターは、上記の一部を使用しているよう192.168.31.255です。
  • 10.0.0.0/24も広く使用されており、Appleはを使用してい10.0.1.0/24ます。
  • 192.168.100.0/24 Motorola、ZTE、Huawei、Thomsonで使用されています。
  • Motorolaは(さらに)192.168.62.0/24およびを使用し192.168.102.0/24ます。
  • 192.168.123.0/24 LevelOne、Repotec、Sitecom、US Robotics(あまり一般的ではない)で使用されています
  • 一部のDリンクには10.1.1.0/24およびがあり10.90.90.0/24ます。

プライベートネットワーク用に3つの範囲が予約されています。これらを回避するために、まだ十分なスペースがあります。

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

からのランダムな上限範囲は、10.0.0.0/8衝突を回避するための最も安全な選択です。また42、IPアドレス範囲のどの部分でも番号を使用しないようにすることもできます。これは、最も一般的な「ランダムな」番号である可能性があります。これは、生命、宇宙、およびすべてに関する究極の質問への回答であるためです。

エサ・ヨキネン
ソース
4
私の経験では、172.16.0.0 / 12が最も一般的に使用されているため、その中から/ 24を選択しますが、10.0.0.0 / 8の上限も良い提案です。
Henrikは
1
255未満である限り、オフィスのメインの電話番号、静的IPアドレス、または番地からいくつかの数字を選択します。したがって、10.246.xyまたは172.25.54.yは、使用する完全に正当なIP範囲です。別のダーティーハックは、より具体的なルーティングのために、/ 24よりも大きいまたは小さいサブネットを使用することです。しかし、これは理想的ではなく、多くの点で失敗します。
クリギー
172.16 / 12は、8の倍数ではないため、ほとんど使用されません。したがって、172.16〜31.xyは、有効なプライベートIPアドレスです。
クリギー
2
42についてお話いただきありがとうございます。覚えておくことが非常に重要です。
Tero Kilkanen 2017年
1

できる最善の方法は、vpnアクセスを許可するネットワークの範囲を使用することです。この範囲は、どのユーザーも使用しないと予想されます。一部のアイデアがあれば、多くのユーザーが変更せずに、ルーターが192.168.0.0/24または192.168.1.0/24(私がコンシューマギアで最も多く見ている2つの範囲)を使用する可能性があります。別の範囲を使用することを選択した可能性のあるユーザーは、何を使用するかを尋ねますが、そうしたユーザーは、競合を回避するために自分のルーターの設定を変更する方法も知っています。

Henrikはコミュニティをサポートしています
ソース
私が抱えている問題は、一部のユーザーがISP提供のルーターを使用しているため、IPアドレッシングシステムを変更できないことです。私が持っている2番目の問題は、ユーザーが予測も制御もできないさまざまなアドレス指定システムを持っていることです。ですから、10.xや192.xなどを使用している人もいます。オフィスネットワークを1つのものに変更した場合、それがまだユーザーの将来の証明にならない可能性があります。
John
1
合理的に将来性のある唯一のソリューションはIPv6を使用することですが、それはすぐに他の問題を引き起こす可能性があります。あなたと同じアドレスを使用し、変更できないISP提供のルーターでユーザーを取得しないことを期待することができます。
Henrikは
1

100%確実になることは決してありませんが、他の人が行うのと同じサブネットを使用しないようにすることで、リスクを最小限に抑えることができます。

多くの人がブロックの最初からネットワークに番号を付け始めるので、ブロックの下部にあるサブネットの使用は避けます。

IMO競合を回避するための最も安全な方法は、172.16.0.0 / 12ブロックの中央のどこかからサブネットを使用することです。ホームルーターがそのブロックのサブネットで事前構成されているのを見たことがありません。

10.0.0.0/8からのランダムなサブネットも比較的安全ですが、10.0.0.0 / 8全体をデフォルトでLANに割り当て、クラスフルなデフォルトに一致するマスクのみを許可するホームルーターを一度使用しました。

192.168は比較的小さなブロックであり、ホームルーターで広く使用されているため、競合に対して最も脆弱です。

ピーター・グリーン
ソース
0

上記のすべての問題を回避するために、172.16.nnまたは10.nnnの範囲のIP範囲に間違いなくふさわしいと思います。たとえば、VPNサーバーのサーバー構成ファイルで、IPアドレス範囲10.66.77.0をマスク255.255.255.0で割り当てます。VPNサーバー自体は10.66.77.1を使用し、各VPNクライアントは次のIPアドレスを取得しますこの上の無料のIP。主に192.168.nnの範囲にある「ホーム」ルーターを使用した接続からの競合はありません。

Trader0
ソース
-2

リモートユーザーがVPNアクセスを持つために遭遇したほとんどの環境では、管理者はネットワークのセキュリティを維持するために、接続するユーザーを制御/管理する必要があるため、これは私にとって少し面白くなります。つまり、接続するマシンとユーザーの管理アクセス、制御などを意味します。これは、管理者がIPアドレスの範囲を制御できることを意味します。つまり、あなたが説明している可能性は基本的に不可能です。

そうは言っても、あなたのソリューションは機能しているように見えますが、異なるIP範囲の使用に関しては非常に困難です。

1つのオプションは、接続システムで実行するスクリプトを作成してルーティングテーブルを上書きし、競合の可能性を減らすことです(特定のVPNソリューションがこれを実行できることに注意してください)。事実上、組織のネットワーク設定はローカルネットワーク設定よりも優先されます。

/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec

openvpnクライアントがvpnサーバーのデフォルトゲートウェイを上書き

これは他の可能性につながります。ユーザーがIPアドレスに直接接続しない場合は、DNS構成/ホストファイルのエントリを変更して、技術的に既存のローカルネットワーク設定をオーバーライドすることができます。

https://hostsfileeditor.codeplex.com/

https://support.rackspace.com/how-to/modify-your-hosts-file/

もう1つの方法は、組織の設定を変更して、あまり一般的ではないIPアドレスバックボーンを持つようにすることです。管理アクセス権があるので、これをすばやく簡単に実行できるはずです(IPv6の問題を引き起こす別のコメントを読んだ後ですが)。

明らかに、VPNセットアップのタイプを変更する必要があります。これらのオプションをまだ用意していない場合は、上記のオプションのいくつかを提供する必要があります。

dtbnguyen
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.