Jump to content
Калькуляторы

Разделение IP адресов нужен совет

В нашей локалке 2 подсети:

- первый это пограничный сеть: 192.168.0.0/24 (шлюз 192.168.0.1)

- второй это локальный сеть: 192.168.1.0/24 (шлюз 192.168.1.1)

VPN сервер стоит на втором шлюзе (192.168.1.1)

У нас локальных 30 пользователей, + 10 IP оборудования.

Как говорится, все вроде нормально. НО!

недавно подключили удаленного офиса к нам, по VPN. сама VPN_ка раздает IP адреса из подсети 172.16.10.0/24

Как бы тоже все работает, но в логах файрвола замечаю, что из удаленного офиса к нам ломятся как широковещетельные, так и SNMP. проверил у них IP адресации, получается тоже как у нас: 192.168.1.0/24 . Хотя долго думал то же IP адрес на которую идет SNMP запросы 192.168.1.30, это у нас или у них, т.к. у обеих есть такой адрес.

 

Теперь думаю поменять у них IP адресацию, потому что там всего 7 рабочих мест + сетевой принтер.

Если там у них поставлю 192.168.2.0/24 , решится же проблема с путаницей адресами ?

Share this post


Link to post
Share on other sites

Конечно решится. Адресация не должна пересекаться (адресация оконечных устройств), при этом можно либо разрешить всем доступ друг на друга, или файрволом ограничить как раз на основе этих адресов, ведь легко определить кто из удаленного офиса, кто из локалки и т.п.

Share this post


Link to post
Share on other sites

Адреса 192.168.0.0/24, 192.168.1.0/24, 10.0.0.0/24 и 10.0.1.0/24 частоиспользуемые в приватных сетях.

Если не хотите пересечений, с последующей маршрутизаций и NAT, то используйте свой диапазон.

При использовании DHCP и DNS пользователи не заметят разницы.

Share this post


Link to post
Share on other sites

гемморно тем, что пересекается с 99% SOHO устройств. Первый же принесенный кем-то вифи роутер, точка доступа или что-нибудь еще доставит массу незабываемых впечатлений

Share this post


Link to post
Share on other sites

myth

 

Ну в этом случае да, согласен. А с другой стороны нехер в контору привести свои девайсы. А все девайсы через админ и сменой дефолт IP адресов на нужные.

Share this post


Link to post
Share on other sites

В корп сегменте лучше использовать 10-ую сеть. Особенно когда используется VPN доступ к ней. Потому что всего одной галочкой в настройках VPN автоматически получается 10/8 маршрут на VPN соединение, что решает массу головняков.

10.0.0 и 10.1.1 лучше пропустить, а дальше свободно нарезать как хочешь.

А еще лучше начинать осваивать IPv6.

Share this post


Link to post
Share on other sites

А еще лучше начинать осваивать IPv6.

или хотя бы DHCP и Vlan на доступе, а так же домены :) а если уж пофеншуйнее то и базовый функционал port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров.

Share this post


Link to post
Share on other sites

port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров

Мак компьютера гвоздями к порту прибить? Ну и чем это удобно?

Share this post


Link to post
Share on other sites

port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров

Мак компьютера гвоздями к порту прибить? Ну и чем это удобно?

 

802.1x, MAC based VLAN, и т.п., только когда зоопарк - тяжко.

Share this post


Link to post
Share on other sites

функция подделки мака есть в любом роутере

 

Еще бывают отмычки, отвертки, пояса шахидов и прочее.

Тут надо определиться, от чего защищаемся - от случано всунутого г-на или от целенаправленной атаки.

Share this post


Link to post
Share on other sites

От случайно всунутого Г хорошо помогает не использовать в сети сегменты, встречаемые в SOHO. От целенаправленных атак - loop detect, port security(ограничить количество маков на порту одним любым). 802.1x - крив и глючен. Настройка клонирования мака имеется прямо в веб морде роутера и целенаправленной атакой ее считать глупо. Напротив, это повод задуматься и установить туда легальную точку доступа.

Share this post


Link to post
Share on other sites

Я эту свою мысль пытался ТС внушить, а то с квалификацией у него все плохо... Рано или поздно могут и удаленщики появиться. И вот тогда проблема встанет в полный рост

Share this post


Link to post
Share on other sites

port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров

Мак компьютера гвоздями к порту прибить? Ну и чем это удобно?

 

А чего неудобного? Речь идёт об офисе на 7 компов, очевидно с продаванами и бухгалтерами. sticky-learning, bpdufilter, portfast, storm-control, loopback detect - вполне себе сойдёт за базовый джентельменский набор, и высылкой всего добра на сислог сервер. Как отработает секьюрити на порту - глядеть что за мак прилетал и дальше принимать меры согласно требований ИБ конторы.

 

И да меры впервую очередь направлены на защиту от дурака, а не целенаправленную атаку. Да и что вы будете атаковать вашим роутером с клонированным МАКом такое, чего не могли сделать имея доступ к ПК сотрудника?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.