Dahili ağım 192.168.0.1 ağ geçidi ile 192.168.0.x.
Güvenlik duvarımıza VPN uygulayan kullanıcılara sahibim, bu da onları ağa ekliyor.
Ancak, ev yönlendiricilerinin IP adresi 192.168.0.1 ise, elbette her türlü sorunumuz var.
Bundan kaçınmak için ideal ağ adresi kurulumu nedir? Uzak kullanıcıların 10.x aralığında yönlendirici adresleri olduğu kurulumları gördüm, bu yüzden bunu önlemek için ne yapabileceğimden emin değilim.
Herhangi bir yorum çok hoş geldiniz!
Yanıtlar:
Techspot, bu konuda yardımcı olan Ortak Varsayılan Yönlendirici IP Adreslerinin bir Listesine sahiptir . Genellikle ev yönlendiricileri /24alt ağları kullanır . Günümüzde cep telefonları genellikle ağ bağlantısını paylaşmak için kullanılmaktadır, bu nedenle bu aralıkları da dikkate almalıyız. Çıkarabileceğimiz listeye göre kaçınmalıyız :
192.168.0.0/19- Yönlendiricilerin çoğu yukarıda belirtilenlerden bazılarını kullanıyor gibi görünüyor 192.168.31.255.10.0.0.0/24ayrıca yaygın olarak kullanılır ve Apple kullanır 10.0.1.0/24.192.168.100.0/24 Motorola, ZTE, Huawei ve Thomson tarafından kullanılır.192.168.62.0/24ve kullanır 192.168.102.0/24.192.168.123.0/24 LevelOne, Repotec, Sitecom ve US Robotics tarafından kullanılır (daha az yaygın)10.1.1.0/24ve 10.90.90.0/24.Özel ağlar için ayrılmış üç serimiz var ; bunlardan kaçınmak için hala yeterince alanımız var:
10.0.0.0/8172.16.0.0/12192.168.0.0/16Bazı rastgele üst menzil, 10.0.0.0/8çarpışmaları önlemek için en güvenli seçim olabilir. 42IP adresi aralığının herhangi bir bölümündeki sayılardan kaçınmak da isteyebilirsiniz : Yaşam, Evren ve Her Şey'in Nihai Sorusuna Cevap olduğu için en yaygın "rastgele" sayı olabilir .
Yapabileceğiniz en iyi şey, vpn erişimine izin verdiğiniz ve kullanıcılarınızın hiçbirinin kullanmamasını beklediğiniz ağ için bir aralık kullanmaktır. Bazılarınız hakkında bir fikriniz varsa, kullanıcılarınızın çoğunun yönlendiricilerinin 192.168.0.0/24 veya 192.168.1.0/24 (tüketici ekipmanında en çok gördüğüm iki aralık) kullanması konusunda değişme şansı yoktur. farklı bir aralık kullanmayı seçmiş olabilir, onlara ne kullandıklarını sorabilir, ancak bunu yapan kullanıcılar da çatışmayı önlemek için kendi yönlendiricilerinin kurulumunu nasıl değiştireceklerini bileceklerdir.
Asla% 100 emin olamazsınız, ancak herkesin yaptığı aynı alt ağları kullanmaktan kaçınarak riski en aza indirebilirsiniz.
Birçok insan ağlarını bir bloğun başlangıcından itibaren numaralandırmaya başladığı için blokların altındaki alt ağları kullanmaktan kaçınırım.
IMO, çatışmalardan kaçınmak için en güvenli bahsiniz 172.16.0.0/12 bloğunun ortasında bir yerden bir alt ağ kullanmaktır. Bir ev yönlendiricisinin bu bloktan bir alt ağ ile önceden yapılandırılmış olarak geldiğini hiç görmedim.
10.0.0.0/8 arası rastgele bir alt ağ da nispeten güvenlidir, ancak bir kez 10.0.0.0/8'in tamamını varsayılan olarak lan'a tahsis eden ve yalnızca sınıf varsayılanıyla eşleşen maskelere izin veren bir ev yönlendiricisi kullandım.
192.168, nispeten küçük bir blok olduğu ve ev yönlendiricilerinde yaygın olarak kullanıldığı için çatışmalara en savunmasızdır.
Yukarıda belirtilen tüm sorunlardan kaçınmak için, 172.16.nn veya 10.nnn aralığında bir IP aralığı için kesinlikle dolgun olurum. Örneğin, VPN sunucusunun sunucu yapılandırma dosyasında, 255.255.255.0 maskesi ile 10.66.77.0 IP adresi aralığı tahsis ederdim - VPN sunucusunun kendisi 10.66.77.1 alacak, her VPN istemcisi bir sonraki alacak bunun üzerinde ücretsiz IP. Benim için çalışıyor, esas olarak 192.168.nn aralığında olan 'ev' yönlendiricileri kullanan bağlantılardan çakışma yok.
Bu biraz bana şaşırtıcı geliyor, çünkü uzak kullanıcıların VPN erişimine sahip olması için karşılaştığım ortamların çoğunda, ağın güvenli kalmasını sağlamak için yöneticinin kullanıcıları bağlamak üzerinde kontrol / yönetime sahip olması gerekiyor. Bu, bağlantı makineleri ve kullanıcıların idari erişimi, kontrolü vb. Anlamına gelir. Bu, yöneticinin IP adresi aralığını kontrol edebileceği anlamına gelir; bu, açıkladığınız şeyin şansının temelde imkansız olduğu anlamına gelir.
Bununla birlikte, çözümünüz farklı IP aralıkları kullanma konusunda uygulanabilir ama çok zor görünüyor.
Bir seçenek, olası bir çakışma olasılığını azaltmak için yönlendirme tablolarının üzerine yazmak için sistemleri bağlarken çalıştırdığınız bir komut dosyası oluşturmaktır (bazı VPN çözümlerinin bunu yapabildiğinin farkındayım). Etkin bir şekilde, kuruluş ağ kurulumu yerel ağ kurulumuna göre öncelikli olacaktır.
/unix/263678/openvpn-understand-the-routing-table-how-to-route-only-the-traffic-to-a-spec
vpn sever için openvpn istemcisi geçersiz kılma varsayılan ağ geçidini
Bu başka olasılıklara yol açar. Kullanıcıların doğrudan IP adreslerine bağlanmadığı varsayılarak, DNS yapılandırmalarını / ana bilgisayar dosya girdilerini, mevcut yerel ağ kurulumunu teknik olarak geçersiz kılacak şekilde değiştirebilirsiniz.
https://hostsfileeditor.codeplex.com/
https://support.rackspace.com/how-to/modify-your-hosts-file/
Başka bir yol, kuruluş ayarlarınızı daha az yaygın bir IP adresi omurgasına sahip olacak şekilde değiştirmektir. Yönetici erişiminiz olduğundan, bunu hızlı ve kolay bir şekilde yapabilmeniz gerekir (ancak IPv6 sorununu devreye sokan başka bir yorum okudum).
Açıkçası, eğer zaten sahip değilseniz, yukarıda özetlediğim seçeneklerden bazılarını vermek için ihtiyacınız olan VPN kurulum türünü değiştirmeniz gerekecektir.