我的内部networking是192.168.0.x,网关是192.168.0.1。
我有用户把VPNjoin我们的防火墙,然后把它们添加到networking中。
但是,如果他们的家庭路由器的IP地址是192.168.0.1那么当然我们有各种各样的问题。
那么,什么是理想的networking地址设置,以避免这一点? 我已经看到远程用户在10.x范围内的路由器地址的设置也不知道我能做些什么来防止这一点。
任何意见非常欢迎!
Techspot有一个共同的默认路由器IP地址列表 ,帮助这一点。 通常家庭路由器使用/24子网。 如今手机常用于共享networking连接,因此我们也必须考虑这些范围。 根据名单我们可以推断我们应该避免 :
192.168.0.0/19 – 大部分路由器似乎都使用其中的一些,高于192.168.31.255 。 10.0.0.0/24也被广泛使用,苹果使用10.0.1.0/24 。 192.168.100.0/24 。 192.168.62.0/24和192.168.102.0/24 。 192.168.123.0/24 (较less见) 10.90.90.0/24有10.1.1.0/24和10.90.90.0/24 。 我们有三个范围保留专用networking ; 我们仍然有足够的空间来避免这些:
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 10.0.0.0/8一些随机上限可能是避免碰撞的最安全select。 你也可以在IP地址范围的任何部分避免使用第42数字:它可能是最常见的“随机”数字,因为它是对生命,宇宙和一切终极问题的回答 。
你可以做的最好的办法是使用你给vpn访问的networking的范围,你希望你的用户没有使用。 很有可能很多用户不会改变他们的路由器使用192.168.0.0/24或192.168.1.0/24(我在消费级设备中看到的两个范围),如果你有一些想法谁可能select使用不同的范围,问他们使用什么,但是这样做的用户也将知道如何改变他们自己的路由器的设置,以避免冲突。
你永远无法100%确定,但你可以通过避免使用其他人所使用的相同的子网来将风险降到最低。
我会避免在块的底部使用子网,因为许多人开始从块的开始编号他们的networking。
为避免冲突,IMO最安全的做法是在172.16.0.0/12块中间的某个地方使用子网。 我从来没有见过一个家庭路由器预先configuration了从该块的子网。
10.0.0.0/8中的一个随机子网也是相对安全的,但是我曾经使用一个家庭路由器,默认情况下它将整个10.0.0.0/8分配给局域网,并且只允许匹配有类别默认的掩码。
192.168是最容易受到冲突的,因为它是一个相对较小的块,广泛用于家庭路由器。
为了避免上面提到的所有问题,我肯定会在172.16.nn或10.nnn范围内使用IP范围。 例如,在VPN服务器的服务器configuration文件中,我会分配一个IP地址范围,例如10.66.77.0,掩码为255.255.255.0 – VPN服务器本身将占用10.66.77.1,每个VPN客户端将获得下一个免费IP以上。 对我来说,使用“家”路由器,主要在192.168.nn范围内的连接没有冲突。
这对我来说有些困惑,因为在我遇到的大多数环境中,远程用户都有VPN访问权限,pipe理员需要对连接用户进行控制/pipe理,以确保networking的安全。 这意味着连接机器和用户的pipe理访问,控制等。 这意味着pipe理员可以控制IP地址范围,这意味着您所描述的机会基本上是不可能的。
也就是说,你的解决scheme似乎可行,但在使用不同的IP范围方面非常困难。
一种方法是创build一个在连接系统上运行的脚本来覆盖路由表,以减less可能发生冲突的可能性(我们知道某些VPN解决scheme可以做到这一点)。 实际上,组织networking设置将优先于本地networking设置。
openvpn客户端覆盖vpn服务器的默认网关
这导致了其他的可能性。 假设用户不直接连接到IP地址,则可以修改DNSconfiguration/主机文件条目,以便在技术上覆盖现有的本地networking设置。
https://hostsfileeditor.codeplex.com/
https://support.rackspace.com/how-to/modify-your-hosts-file/
另一种方法是将您的组织设置更改为拥有不太常见的IP地址主干。 既然你有pipe理权限,你应该能够快速,轻松地做到这一点(虽然我已经读了另一个评论,带来了IPv6问题)。
很明显,你需要改变VPN设置的types,如果你还没有的话,你可以给我一些上面列出的选项。