我的内部网络是 192.168.0.x,网关是 192.168.0.1。
我有一些用户通过 VPN 接入我们的防火墙,然后防火墙实际上将他们添加到了网络中。
但是,如果他们家里的路由器的 IP 地址是 192.168.0.1,那么我们当然会遇到各种各样的问题。
那么,为了避免这种情况,理想的网络地址设置是什么?我也看到过远程用户的路由器地址在 10.x 范围内的设置,所以不确定我能做些什么来防止这种情况。
欢迎任何评论!
答案1
Techspot 有常见默认路由器 IP 地址列表这有助于解决此问题。通常家用路由器使用/24子网。如今,手机经常用于共享网络连接,因此我们也必须考虑这些范围。根据列表,我们可以推断出我们应该避免:
192.168.0.0/19- 大多数路由器似乎都使用上述其中一些192.168.31.255。10.0.0.0/24也被广泛使用,并且Apple使用了10.0.1.0/24。192.168.100.0/24被摩托罗拉、中兴、华为和汤姆逊所采用。- 摩托罗拉(此外)还使用
192.168.62.0/24和192.168.102.0/24。 192.168.123.0/24由 LevelOne、Repotec、Sitecom 和 US Robotics 使用(不太常见)- 一些 D-Links 有
10.1.1.0/24和10.90.90.0/24。
我们保留了三个范围私有网络;我们仍然有足够的空间来避免这些问题:
10.0.0.0/8172.16.0.0/12192.168.0.0/16
一些随机的上限范围10.0.0.0/8可能是避免冲突的最安全选择。您可能还希望避免42IP 地址范围的任何部分的数字:它可能是最常见的“随机”数字,因为它是生命、宇宙和一切的终极问题的答案。
答案2
您能做的最好的事情就是使用一个范围来作为您授予 vpn 访问权限的网络,而您不希望任何用户使用这个范围。您的很多用户很可能不会更改他们的路由器使用 192.168.0.0/24 或 192.168.1.0/24(这两个范围是我在消费设备中见过最多的),如果您知道有些人可能选择使用不同的范围,请询问他们使用什么,但这样做的用户也会知道如何更改自己的路由器设置以避免冲突。
答案3
您永远无法 100% 确定,但可以通过避免使用与其他人相同的子网来最大限度地降低风险。
我会避免使用块底部的子网,因为许多人从块的开头开始对他们的网络进行编号。
我认为避免冲突的最安全方法是使用 172.16.0.0/12 块中间某个位置的子网。我从未见过家用路由器预先配置了该块中的子网。
来自 10.0.0.0/8 的随机子网也相对安全,但我曾经使用过家用路由器,它默认将整个 10.0.0.0/8 分配给局域网,并且只允许与有类默认值匹配的掩码。
192.168 最容易发生冲突,因为它是一个相对较小的块,并且在家庭路由器上广泛使用。
答案4
这让我有点困惑,因为在我遇到的大多数环境中,远程用户要想获得 VPN 访问权限,管理员需要对连接用户进行控制/管理,以确保网络保持安全。这意味着对连接的机器和用户进行管理访问、控制等。这意味着管理员可以控制 IP 地址范围,这意味着您所描述的情况基本上不可能发生。
也就是说,您的解决方案确实看起来可行,但在使用不同的 IP 范围方面却非常困难。
一个选项是创建一个脚本,在连接系统上运行该脚本来覆盖路由表,以减少可能发生冲突的可能性(我知道某些 VPN 解决方案可以做到这一点)。实际上,组织网络设置将优先于本地网络设置。
这导致了其他可能性。假设用户不直接连接到 IP 地址,您可以修改 DNS 配置/主机文件条目,以便它们在技术上覆盖现有的本地网络设置。
https://hostsfileeditor.codeplex.com/
https://support.rackspace.com/how-to/modify-your-hosts-file/
另一种方法是更改您的组织设置,使其拥有不太常见的 IP 地址主干。由于您具有管理权限,因此您应该能够快速轻松地完成此操作(尽管我后来读到另一条涉及 IPv6 问题的评论)。
显然,如果您还没有我上面列出的一些选项,那么您就需要更改 VPN 设置类型,以便获得这些选项。