Jump to content
Калькуляторы

Разделение IP адресов нужен совет

В нашей локалке 2 подсети:

- первый это пограничный сеть: 192.168.0.0/24 (шлюз 192.168.0.1)

- второй это локальный сеть: 192.168.1.0/24 (шлюз 192.168.1.1)

VPN сервер стоит на втором шлюзе (192.168.1.1)

У нас локальных 30 пользователей, + 10 IP оборудования.

Как говорится, все вроде нормально. НО!

недавно подключили удаленного офиса к нам, по VPN. сама VPN_ка раздает IP адреса из подсети 172.16.10.0/24

Как бы тоже все работает, но в логах файрвола замечаю, что из удаленного офиса к нам ломятся как широковещетельные, так и SNMP. проверил у них IP адресации, получается тоже как у нас: 192.168.1.0/24 . Хотя долго думал то же IP адрес на которую идет SNMP запросы 192.168.1.30, это у нас или у них, т.к. у обеих есть такой адрес.

 

Теперь думаю поменять у них IP адресацию, потому что там всего 7 рабочих мест + сетевой принтер.

Если там у них поставлю 192.168.2.0/24 , решится же проблема с путаницей адресами ?

Share this post


Link to post
Share on other sites

Конечно решится. Адресация не должна пересекаться (адресация оконечных устройств), при этом можно либо разрешить всем доступ друг на друга, или файрволом ограничить как раз на основе этих адресов, ведь легко определить кто из удаленного офиса, кто из локалки и т.п.

Share this post


Link to post
Share on other sites

Saab95

 

Спасибо, значит поставлю им адресацию 192.168.2.0/24 и все.

Share this post


Link to post
Share on other sites

Адреса 192.168.0.0/24, 192.168.1.0/24, 10.0.0.0/24 и 10.0.1.0/24 частоиспользуемые в приватных сетях.

Если не хотите пересечений, с последующей маршрутизаций и NAT, то используйте свой диапазон.

При использовании DHCP и DNS пользователи не заметят разницы.

Share this post


Link to post
Share on other sites

vlad11

 

Ну если менять на удаленном сегменте адресацию, то все должно наладиться ведь?

Share this post


Link to post
Share on other sites

Поставьте сразу 192.168.34.0/24 к примеру. А то ещё сегмент появится и опять все менять.

Share this post


Link to post
Share on other sites

Negator

 

Это сарказм или вы серьезно ? )))

ну появится новый сегмент, обозначим 192.168.3.0/24

Share this post


Link to post
Share on other sites

192.168.0.0/24, 192.168.1.1/24 использовать на сети, пусть даже и небольшого предприятия чревато геморроем на ровном месте.

Share this post


Link to post
Share on other sites

myth

Ну сразу 2 вопроса:

> чем гемморно ?

> какие IP адресации использовать тогда для нас и удаленного офиса ?

Share this post


Link to post
Share on other sites

гемморно тем, что пересекается с 99% SOHO устройств. Первый же принесенный кем-то вифи роутер, точка доступа или что-нибудь еще доставит массу незабываемых впечатлений

Share this post


Link to post
Share on other sites

myth

 

Ну в этом случае да, согласен. А с другой стороны нехер в контору привести свои девайсы. А все девайсы через админ и сменой дефолт IP адресов на нужные.

Share this post


Link to post
Share on other sites

Лучше пусть все продолжит работать, чем не продолжит

Share this post


Link to post
Share on other sites

В корп сегменте лучше использовать 10-ую сеть. Особенно когда используется VPN доступ к ней. Потому что всего одной галочкой в настройках VPN автоматически получается 10/8 маршрут на VPN соединение, что решает массу головняков.

10.0.0 и 10.1.1 лучше пропустить, а дальше свободно нарезать как хочешь.

А еще лучше начинать осваивать IPv6.

Share this post


Link to post
Share on other sites

+ гемоорой с удаленщиками(если есть). Т.к у них дома будет таки та же адресация

Share this post


Link to post
Share on other sites

А еще лучше начинать осваивать IPv6.

или хотя бы DHCP и Vlan на доступе, а так же домены :) а если уж пофеншуйнее то и базовый функционал port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров.

Share this post


Link to post
Share on other sites

port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров

Мак компьютера гвоздями к порту прибить? Ну и чем это удобно?

Share this post


Link to post
Share on other sites

port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров

Мак компьютера гвоздями к порту прибить? Ну и чем это удобно?

 

802.1x, MAC based VLAN, и т.п., только когда зоопарк - тяжко.

Share this post


Link to post
Share on other sites

функция подделки мака есть в любом роутере

Share this post


Link to post
Share on other sites

функция подделки мака есть в любом роутере

 

Еще бывают отмычки, отвертки, пояса шахидов и прочее.

Тут надо определиться, от чего защищаемся - от случано всунутого г-на или от целенаправленной атаки.

Share this post


Link to post
Share on other sites

От случайно всунутого Г хорошо помогает не использовать в сети сегменты, встречаемые в SOHO. От целенаправленных атак - loop detect, port security(ограничить количество маков на порту одним любым). 802.1x - крив и глючен. Настройка клонирования мака имеется прямо в веб морде роутера и целенаправленной атакой ее считать глупо. Напротив, это повод задуматься и установить туда легальную точку доступа.

Share this post


Link to post
Share on other sites

мы о чем спорим то? эрудицией меряемся? :)

Share this post


Link to post
Share on other sites

Я эту свою мысль пытался ТС внушить, а то с квалификацией у него все плохо... Рано или поздно могут и удаленщики появиться. И вот тогда проблема встанет в полный рост

Share this post


Link to post
Share on other sites

port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров

Мак компьютера гвоздями к порту прибить? Ну и чем это удобно?

 

А чего неудобного? Речь идёт об офисе на 7 компов, очевидно с продаванами и бухгалтерами. sticky-learning, bpdufilter, portfast, storm-control, loopback detect - вполне себе сойдёт за базовый джентельменский набор, и высылкой всего добра на сислог сервер. Как отработает секьюрити на порту - глядеть что за мак прилетал и дальше принимать меры согласно требований ИБ конторы.

 

И да меры впервую очередь направлены на защиту от дурака, а не целенаправленную атаку. Да и что вы будете атаковать вашим роутером с клонированным МАКом такое, чего не могли сделать имея доступ к ПК сотрудника?

Share this post


Link to post
Share on other sites

Ничего не буду. Просто принесу роутер. С ip вашего сервака - 192.168.0.1, например

 

bpdufilter

Зачем это в

офисе на 7 компов

Share this post


Link to post
Share on other sites
офисе на 7 компов

сислог сервер

 

Ага, Cisco Prime еще поставить :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this