13
IP Adressbereich für Firmennetz
Hi!
Wir haben bis jetzt den Adressbereich 192.168.0.x in der Firma. Jetzt kam VPN und wir haben Probleme mit den Heimnetzen die im gleichen Bereich liegen.
Da ja 192.168.0/1/2.x wohl die meist genutzten Bereiche im privaten sind, wollen wir die Adressen in der Firma ändern.
Die Adresszahl sollte auch für die nächsten Jahre mit einerm Class C Netz passen.
Gibt es weiter 192.168.er Netze die weit verbreitet sind und es daher wieder Probleme gäbe.
lg Dirm
Wir haben bis jetzt den Adressbereich 192.168.0.x in der Firma. Jetzt kam VPN und wir haben Probleme mit den Heimnetzen die im gleichen Bereich liegen.
Da ja 192.168.0/1/2.x wohl die meist genutzten Bereiche im privaten sind, wollen wir die Adressen in der Firma ändern.
Die Adresszahl sollte auch für die nächsten Jahre mit einerm Class C Netz passen.
Gibt es weiter 192.168.er Netze die weit verbreitet sind und es daher wieder Probleme gäbe.
lg Dirm
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 116657
Url: https://administrator.de/contentid/116657
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
13 Kommentare
Neuester Kommentar
Hi !
Ja Fritzbox 192.168.178.x
Warum gebt ihr das den Homeofficeleuten nicht vor ?
Du wirst doch um Himmelswillen nicht einfach irgendwelche Privat-PCs/Netze ungeprüft (mit den 4904395 Spielen und Viren der Kinder) auf dein Firmennetz lassen ?
mrtux
Ja Fritzbox 192.168.178.x
Warum gebt ihr das den Homeofficeleuten nicht vor ?
Du wirst doch um Himmelswillen nicht einfach irgendwelche Privat-PCs/Netze ungeprüft (mit den 4904395 Spielen und Viren der Kinder) auf dein Firmennetz lassen ?
mrtux
Hallo,
mir fällt hierzu ein, dass es mehrere private Adressbereiche gibt:
siehe hierzu auch (eng) http://en.wikipedia.org/wiki/Private_network
und in RFC1918 http://tools.ietf.org/html/rfc1918 heißt dann dazu:
Ich hab gesehen das in Firmen gerne auch 172.16.0.101/102/10x z.B. verwendet wird.
mir fällt hierzu ein, dass es mehrere private Adressbereiche gibt:
siehe hierzu auch (eng) http://en.wikipedia.org/wiki/Private_network
und in RFC1918 http://tools.ietf.org/html/rfc1918 heißt dann dazu:
Private Address Space
The Internet Assigned Numbers Authority (IANA) has reserved the
following three blocks of the IP4 address space for private internets:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)Ich hab gesehen das in Firmen gerne auch 172.16.0.101/102/10x z.B. verwendet wird.
wenn du dir echt die arbeit machen willst die IP von Firmennetz zu ändern. dann geh ins B netz. wer weis was in 2-3 jahren für ip von C-Netz noch kommt. wie gesagt der bereich 192.168.x.x ist für private nutzung frei. die fritzbox hängt ja in bereich 192.168.178.x vielleicht kommt genau wieder dein netzwerk für ein anderen router dann hängst du wieder da.
also wenn du die IP von Firmennetz ändern willst geh ins B netz. wenn dir das zu gross ist häng anstatt subnetz 255.255.0.0 ein subnet 255.255.255.0 rein da bist auf der sichern seite ein C-Netz in B-Netz
also wenn du die IP von Firmennetz ändern willst geh ins B netz. wenn dir das zu gross ist häng anstatt subnetz 255.255.0.0 ein subnet 255.255.255.0 rein da bist auf der sichern seite ein C-Netz in B-Netz
Nimm für dein Firmennetz irgendwas "Krummes" aus dem 172er RFC 1918 Bereich:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Sowas wie 172.27.147.0 /24 oder 172.31.17.0 /24 usw. usw.
Ebenso etwas so krummes aus dem 10er Netz sollte auch gut sein.
Eine Migration ist sehr einfach zu machen wenn du DHCP einsetzt also kein Thema !
Mit einem krummen Netz ist die Chance sehr sehr gering das einer zuhause ein ähnliches Netz hat.
192.168.0.0 /24 oder .1.0 /24 ist nicht sehr intelligent denn jeder Dummbatz Consumer Router hat das als default und damit ist das dann der Tod jeglichen VPNs wenn das auch das Unternehmensnetz ist...logisch !!
Gleich ne Class B Subnetzmaske wie education ist eigentlich mit Kanonen auf Spatzen und überflüssig...
Es reicht ja auch wenn du statt einer 24 Bit Maske eine 23 Bit Maske nimmst, das beschert dir dann 253 Hosts mehr im Netz. Ob du das in einer 172er oder 10er Adressumgebung machst spielt mehr oder weniger nur eine kosmetische Rolle. 192er solltest du aber vermieden
Nur schön krumm und exotisch sollte das netzwerk sein um Überschneidungen zu vermeiden mit Heimnetzen !!!
http://de.wikipedia.org/wiki/Private_IP-Adresse
Sowas wie 172.27.147.0 /24 oder 172.31.17.0 /24 usw. usw.
Ebenso etwas so krummes aus dem 10er Netz sollte auch gut sein.
Eine Migration ist sehr einfach zu machen wenn du DHCP einsetzt also kein Thema !
Mit einem krummen Netz ist die Chance sehr sehr gering das einer zuhause ein ähnliches Netz hat.
192.168.0.0 /24 oder .1.0 /24 ist nicht sehr intelligent denn jeder Dummbatz Consumer Router hat das als default und damit ist das dann der Tod jeglichen VPNs wenn das auch das Unternehmensnetz ist...logisch !!
Gleich ne Class B Subnetzmaske wie education ist eigentlich mit Kanonen auf Spatzen und überflüssig...
Es reicht ja auch wenn du statt einer 24 Bit Maske eine 23 Bit Maske nimmst, das beschert dir dann 253 Hosts mehr im Netz. Ob du das in einer 172er oder 10er Adressumgebung machst spielt mehr oder weniger nur eine kosmetische Rolle. 192er solltest du aber vermieden
Nur schön krumm und exotisch sollte das netzwerk sein um Überschneidungen zu vermeiden mit Heimnetzen !!!
Im Grunde ist es wurst welchen privaten IP-Bereich man fürs Firmen-Netz wählt.
"Untypisch" für Heim-Netze wäre beispielsweise
10.10.10.0 mit 255.255.255.0
Es ist auch wurst ob man ein privates A, B oder C Klasse Netz für die Firma nimmt.
Die Grösse des Netzes bzw. der Netze hängt eh von der Subnetzmaske ab und nicht von der Netz-Klasse.
"Untypisch" für Heim-Netze wäre beispielsweise
10.10.10.0 mit 255.255.255.0
Es ist auch wurst ob man ein privates A, B oder C Klasse Netz für die Firma nimmt.
Die Grösse des Netzes bzw. der Netze hängt eh von der Subnetzmaske ab und nicht von der Netz-Klasse.
Warum gebt ihr das den Homeofficeleuten nicht vor ?
naja das 192.168.0er ist ja "typisch home" - ich will ja nicht auch noch die Heimhardware mitbetreuen
Wir haben nur die Server und Drucker statisch, sonst DHCP. Jetzt ist die Umstellung noch sehr einfach.
Ein 172er werde ich nehmen.
Du wirst doch um Himmelswillen nicht einfach irgendwelche Privat-PCs/Netze ungeprüft (mit den 4904395 Spielen und Viren der Kinder) auf dein Firmennetz lassen ?
Die Clients kommen hauptsächlich mit ihren Laptops, die sie auch in der Firma nutzen. Wenn sich ein Client per VPN verbindet, ist ja nicht gleich das ganze externe LAN mitverbunden - oder?!
(hab wenig Erfahrung mit VPN und null mit VPN-Sicherheitsfragen)
Wer sich verbinden darf, regel ich dann über die Benutzer.
Es gäbe zwar eine Möglichkeit die IP-Bereiche zu beschränken, allerdings kann man sich dann nicht mehr verbinden sobald man die eigene IP nicht selbst wählen kann (zB mobiles Internet).
lg Dirm
Sehr viel einfacher in der Einrichtung, aber auch beschränkter in den Funktionen sind SSL-VPNs und SSH-Tunnel.
Das erspart einen den ganzen Umstand mit den Subnetzen.
Grüße
Max
Das erspart einen den ganzen Umstand mit den Subnetzen.
Grüße
Max
Wenn du unter SSL-VPN aber soetwas wie OpenVPN verstehst trifft deine Aussage nicht zu - da gibt es genau die selben Probleme wie bei jedem IPSec auch, was das Routing betrifft...
Hi !
Genau ! Evt. auch noch die Drucker per Reservierungen im DHCP setzen, was auch Nachteile haben kann, da ich aber faul bin...
Muss ich bei einigen Kunden auch noch machen, habe ich bei der Übernahme vom Vorgänger verpennt, krestlavieh
OK ! Aber auf alle Patches (Windows Updates) achten, da die Firmenlaptops in dem privaten (W)LAN evt. schon mit den PCs der Kids in Kontakt kommen Könnten.
mrtux
Zitat von @Dirmhirn:
Wir haben nur die Server und Drucker statisch, sonst DHCP. Jetzt ist
die Umstellung noch sehr einfach.
Wir haben nur die Server und Drucker statisch, sonst DHCP. Jetzt ist
die Umstellung noch sehr einfach.
Genau ! Evt. auch noch die Drucker per Reservierungen im DHCP setzen, was auch Nachteile haben kann, da ich aber faul bin...
Ein 172er werde ich nehmen.
Muss ich bei einigen Kunden auch noch machen, habe ich bei der Übernahme vom Vorgänger verpennt, krestlavieh
Die Clients kommen hauptsächlich mit ihren Laptops, die sie auch
in der Firma nutzen. Wenn sich ein Client per VPN verbindet, ist ja
in der Firma nutzen. Wenn sich ein Client per VPN verbindet, ist ja
OK ! Aber auf alle Patches (Windows Updates) achten, da die Firmenlaptops in dem privaten (W)LAN evt. schon mit den PCs der Kids in Kontakt kommen Könnten.
mrtux
@ssl, SSH - kenn ich eigentlich nur von Linux, als remote-shell. Das geht leider nicht, muss Windows-Bunt sein. Dateifreigabe, SharePoint...
Außerdem haben wir ein Hardwaregerät (Check Point UTM-1 Egde X) und jetzt funktionierts mit dem eigentlich langsam aber doch, recht gut.
ich bemühe mich - ist aber nicht einfach *gg*
Außerdem ist da noch der Client in China ;-/ Legale SW gibts da nur wenn du sie ihnen kaufst und installierst und das Wort Virenscanner ist völlig unbekannt.
Aber das müssen wir auch noch lösen...
lg Dirm
Außerdem haben wir ein Hardwaregerät (Check Point UTM-1 Egde X) und jetzt funktionierts mit dem eigentlich langsam aber doch, recht gut.
OK ! Aber auf alle Patches (Windows Updates) achten,
ich bemühe mich - ist aber nicht einfach *gg*
Außerdem ist da noch der Client in China ;-/ Legale SW gibts da nur wenn du sie ihnen kaufst und installierst und das Wort Virenscanner ist völlig unbekannt.
Aber das müssen wir auch noch lösen...
lg Dirm
Naja, die werden ja ihre Landsmänner nicht gleich ausspionieren Und noch sind die westlichen Wirtschaften ja interessanter. Außer es kommen dann die Kollegen vom RBN :D
Und noch sind die westlichen Wirtschaften ja interessanter. Außer es kommen dann die Kollegen vom RBN :D
Yoyo, die alte Panik ... "ujjj, die pööösen homeuser mit ihren vergeigten PCs...machen volles VPN ins LAN und verpesten die Büroluft...".
Was passiert denn WIRKLICH?
Bin seit Jahren im IT Bereich tötig und so langsam wird man relaxed.
Ich denke man stürzt sich allzusehr auf "Risiken" die soo gross garnicht sind und vernachlässigt aufgrund fehlendem Überblick die richtig fiesen Risiken, z. B. Surfen mit admin. Rechten und Internet Explodierer, kein Contentfilter im Webproxy, mitgebrachte Notebooks, Dateiaustausch privater natur via USB-Sticks, keine regelmässigen Backup-Widerherstellungs-Tests (macht das überhaupt jemand jemals???), spielende Praktikanten die auch wissen dass Cain&Abel nicht nur biblische Figuren sind sondern auch ne fiese Software....
Wo steht denn geschrieben dass ein VPN Client VOLLEN Netzzugriff kriegen MUSS?
Man kann den Zugriff auf das Nötigste Reduzieren und Risiken dramatisch minimieren.
Zugriff auf Fileserver, Mails, bissl SSH und ausdiemaus. Warum sollte ein VPN Client alle internen Clients erreichen können dürfen sollen?
Vielleicht via RDP - ok dann schalt halt RDP frei.
Ich finde client Firewalls wichtig auch in Firmenumgebungen, dann kann nämlich kommen was will, juckt nix. Wurm im Netz?= Wurst weil der client hat ja ne lokale FW und kommuniziert nur mit dem Server wo die guten Daten liegen und surft. Client mal nicht up to date (wer kann schon IMMER garantieren dass JEDER kritische Patch rechtzeitig installiert ist..) - WURST! Weil der hat ja ne lokale FW die Netzattacken blockt.
Ohne lokaler FW ist man auf Gedeih und Verderb dem Patchmanagement und weiteren Massnahmen ausgeliefert. Bei Day zero Geschichten nützt auch das Patchen nix - die client firewall schützt vor dem meisten was übers Netz schwappt. Und lässt sich mit netsh prima skripten und frisst kein Brot.
Was passiert denn WIRKLICH?
Bin seit Jahren im IT Bereich tötig und so langsam wird man relaxed.
Ich denke man stürzt sich allzusehr auf "Risiken" die soo gross garnicht sind und vernachlässigt aufgrund fehlendem Überblick die richtig fiesen Risiken, z. B. Surfen mit admin. Rechten und Internet Explodierer, kein Contentfilter im Webproxy, mitgebrachte Notebooks, Dateiaustausch privater natur via USB-Sticks, keine regelmässigen Backup-Widerherstellungs-Tests (macht das überhaupt jemand jemals???), spielende Praktikanten die auch wissen dass Cain&Abel nicht nur biblische Figuren sind sondern auch ne fiese Software....
Wo steht denn geschrieben dass ein VPN Client VOLLEN Netzzugriff kriegen MUSS?
Man kann den Zugriff auf das Nötigste Reduzieren und Risiken dramatisch minimieren.
Zugriff auf Fileserver, Mails, bissl SSH und ausdiemaus. Warum sollte ein VPN Client alle internen Clients erreichen können dürfen sollen?
Vielleicht via RDP - ok dann schalt halt RDP frei.
Ich finde client Firewalls wichtig auch in Firmenumgebungen, dann kann nämlich kommen was will, juckt nix. Wurm im Netz?= Wurst weil der client hat ja ne lokale FW und kommuniziert nur mit dem Server wo die guten Daten liegen und surft. Client mal nicht up to date (wer kann schon IMMER garantieren dass JEDER kritische Patch rechtzeitig installiert ist..) - WURST! Weil der hat ja ne lokale FW die Netzattacken blockt.
Ohne lokaler FW ist man auf Gedeih und Verderb dem Patchmanagement und weiteren Massnahmen ausgeliefert. Bei Day zero Geschichten nützt auch das Patchen nix - die client firewall schützt vor dem meisten was übers Netz schwappt. Und lässt sich mit netsh prima skripten und frisst kein Brot.
Also der Thread geht Off-Topic - aber das eigentliche Problem ist ja gelöst...
habt ihr auf Windows Servern die WIndows Firewall laufen?
bei uns kam der einzige Virus den unser Scanner bis jetzt gefunden hat vom USB-Stick einer Software Firma
Bin noch am überlegen ob ich nur die gewünschten Dienste übers VPN freischalte. Zmdest kann ich mit unserer Firewall auch Regeln für die VPN-Verbindung erstellen.
Wenn ich zB nur die Ports für SharePoint und Dateifreigabe freischalte, müsste das ja auch schon einen gewissen Sicherheitsbonus bringen.
Wie ich verhinder, dass sich die Kollegen die SW auch auf ihren Privatrechnern installieren und verbinden, weiß ich noch nicht. Allerdings bevor sie das machen, verwenden sie die FirmenLaptops eher privat...
lg Dirm
habt ihr auf Windows Servern die WIndows Firewall laufen?
bei uns kam der einzige Virus den unser Scanner bis jetzt gefunden hat vom USB-Stick einer Software Firma
Bin noch am überlegen ob ich nur die gewünschten Dienste übers VPN freischalte. Zmdest kann ich mit unserer Firewall auch Regeln für die VPN-Verbindung erstellen.
Wenn ich zB nur die Ports für SharePoint und Dateifreigabe freischalte, müsste das ja auch schon einen gewissen Sicherheitsbonus bringen.
Wie ich verhinder, dass sich die Kollegen die SW auch auf ihren Privatrechnern installieren und verbinden, weiß ich noch nicht. Allerdings bevor sie das machen, verwenden sie die FirmenLaptops eher privat...
lg Dirm
