IP Adressbereich für Firmennetz
Hi!
Wir haben bis jetzt den Adressbereich 192.168.0.x in der Firma. Jetzt kam VPN und wir haben Probleme mit den Heimnetzen die im gleichen Bereich liegen.
Da ja 192.168.0/1/2.x wohl die meist genutzten Bereiche im privaten sind, wollen wir die Adressen in der Firma ändern.
Die Adresszahl sollte auch für die nächsten Jahre mit einerm Class C Netz passen.
Gibt es weiter 192.168.er Netze die weit verbreitet sind und es daher wieder Probleme gäbe.
lg Dirm
Wir haben bis jetzt den Adressbereich 192.168.0.x in der Firma. Jetzt kam VPN und wir haben Probleme mit den Heimnetzen die im gleichen Bereich liegen.
Da ja 192.168.0/1/2.x wohl die meist genutzten Bereiche im privaten sind, wollen wir die Adressen in der Firma ändern.
Die Adresszahl sollte auch für die nächsten Jahre mit einerm Class C Netz passen.
Gibt es weiter 192.168.er Netze die weit verbreitet sind und es daher wieder Probleme gäbe.
lg Dirm
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 116657
Url: https://administrator.de/forum/ip-adressbereich-fuer-firmennetz-116657.html
Ausgedruckt am: 24.12.2024 um 12:12 Uhr
13 Kommentare
Neuester Kommentar
Hi !
Ja Fritzbox 192.168.178.x
Warum gebt ihr das den Homeofficeleuten nicht vor ?
Du wirst doch um Himmelswillen nicht einfach irgendwelche Privat-PCs/Netze ungeprüft (mit den 4904395 Spielen und Viren der Kinder) auf dein Firmennetz lassen ?
mrtux
Ja Fritzbox 192.168.178.x
Warum gebt ihr das den Homeofficeleuten nicht vor ?
Du wirst doch um Himmelswillen nicht einfach irgendwelche Privat-PCs/Netze ungeprüft (mit den 4904395 Spielen und Viren der Kinder) auf dein Firmennetz lassen ?
mrtux
Hallo,
mir fällt hierzu ein, dass es mehrere private Adressbereiche gibt:
siehe hierzu auch (eng) http://en.wikipedia.org/wiki/Private_network
und in RFC1918 http://tools.ietf.org/html/rfc1918 heißt dann dazu:
Ich hab gesehen das in Firmen gerne auch 172.16.0.101/102/10x z.B. verwendet wird.
mir fällt hierzu ein, dass es mehrere private Adressbereiche gibt:
siehe hierzu auch (eng) http://en.wikipedia.org/wiki/Private_network
und in RFC1918 http://tools.ietf.org/html/rfc1918 heißt dann dazu:
Private Address Space
The Internet Assigned Numbers Authority (IANA) has reserved the
following three blocks of the IP4 address space for private internets:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
Ich hab gesehen das in Firmen gerne auch 172.16.0.101/102/10x z.B. verwendet wird.
wenn du dir echt die arbeit machen willst die IP von Firmennetz zu ändern. dann geh ins B netz. wer weis was in 2-3 jahren für ip von C-Netz noch kommt. wie gesagt der bereich 192.168.x.x ist für private nutzung frei. die fritzbox hängt ja in bereich 192.168.178.x vielleicht kommt genau wieder dein netzwerk für ein anderen router dann hängst du wieder da.
also wenn du die IP von Firmennetz ändern willst geh ins B netz. wenn dir das zu gross ist häng anstatt subnetz 255.255.0.0 ein subnet 255.255.255.0 rein da bist auf der sichern seite ein C-Netz in B-Netz
also wenn du die IP von Firmennetz ändern willst geh ins B netz. wenn dir das zu gross ist häng anstatt subnetz 255.255.0.0 ein subnet 255.255.255.0 rein da bist auf der sichern seite ein C-Netz in B-Netz
Nimm für dein Firmennetz irgendwas "Krummes" aus dem 172er RFC 1918 Bereich:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Sowas wie 172.27.147.0 /24 oder 172.31.17.0 /24 usw. usw.
Ebenso etwas so krummes aus dem 10er Netz sollte auch gut sein.
Eine Migration ist sehr einfach zu machen wenn du DHCP einsetzt also kein Thema !
Mit einem krummen Netz ist die Chance sehr sehr gering das einer zuhause ein ähnliches Netz hat.
192.168.0.0 /24 oder .1.0 /24 ist nicht sehr intelligent denn jeder Dummbatz Consumer Router hat das als default und damit ist das dann der Tod jeglichen VPNs wenn das auch das Unternehmensnetz ist...logisch !!
Gleich ne Class B Subnetzmaske wie education ist eigentlich mit Kanonen auf Spatzen und überflüssig...
Es reicht ja auch wenn du statt einer 24 Bit Maske eine 23 Bit Maske nimmst, das beschert dir dann 253 Hosts mehr im Netz. Ob du das in einer 172er oder 10er Adressumgebung machst spielt mehr oder weniger nur eine kosmetische Rolle. 192er solltest du aber vermieden
Nur schön krumm und exotisch sollte das netzwerk sein um Überschneidungen zu vermeiden mit Heimnetzen !!!
http://de.wikipedia.org/wiki/Private_IP-Adresse
Sowas wie 172.27.147.0 /24 oder 172.31.17.0 /24 usw. usw.
Ebenso etwas so krummes aus dem 10er Netz sollte auch gut sein.
Eine Migration ist sehr einfach zu machen wenn du DHCP einsetzt also kein Thema !
Mit einem krummen Netz ist die Chance sehr sehr gering das einer zuhause ein ähnliches Netz hat.
192.168.0.0 /24 oder .1.0 /24 ist nicht sehr intelligent denn jeder Dummbatz Consumer Router hat das als default und damit ist das dann der Tod jeglichen VPNs wenn das auch das Unternehmensnetz ist...logisch !!
Gleich ne Class B Subnetzmaske wie education ist eigentlich mit Kanonen auf Spatzen und überflüssig...
Es reicht ja auch wenn du statt einer 24 Bit Maske eine 23 Bit Maske nimmst, das beschert dir dann 253 Hosts mehr im Netz. Ob du das in einer 172er oder 10er Adressumgebung machst spielt mehr oder weniger nur eine kosmetische Rolle. 192er solltest du aber vermieden
Nur schön krumm und exotisch sollte das netzwerk sein um Überschneidungen zu vermeiden mit Heimnetzen !!!
Im Grunde ist es wurst welchen privaten IP-Bereich man fürs Firmen-Netz wählt.
"Untypisch" für Heim-Netze wäre beispielsweise
10.10.10.0 mit 255.255.255.0
Es ist auch wurst ob man ein privates A, B oder C Klasse Netz für die Firma nimmt.
Die Grösse des Netzes bzw. der Netze hängt eh von der Subnetzmaske ab und nicht von der Netz-Klasse.
"Untypisch" für Heim-Netze wäre beispielsweise
10.10.10.0 mit 255.255.255.0
Es ist auch wurst ob man ein privates A, B oder C Klasse Netz für die Firma nimmt.
Die Grösse des Netzes bzw. der Netze hängt eh von der Subnetzmaske ab und nicht von der Netz-Klasse.
Hi !
Genau ! Evt. auch noch die Drucker per Reservierungen im DHCP setzen, was auch Nachteile haben kann, da ich aber faul bin...
Muss ich bei einigen Kunden auch noch machen, habe ich bei der Übernahme vom Vorgänger verpennt, krestlavieh
OK ! Aber auf alle Patches (Windows Updates) achten, da die Firmenlaptops in dem privaten (W)LAN evt. schon mit den PCs der Kids in Kontakt kommen Könnten.
mrtux
Zitat von @Dirmhirn:
Wir haben nur die Server und Drucker statisch, sonst DHCP. Jetzt ist
die Umstellung noch sehr einfach.
Wir haben nur die Server und Drucker statisch, sonst DHCP. Jetzt ist
die Umstellung noch sehr einfach.
Genau ! Evt. auch noch die Drucker per Reservierungen im DHCP setzen, was auch Nachteile haben kann, da ich aber faul bin...
Ein 172er werde ich nehmen.
Muss ich bei einigen Kunden auch noch machen, habe ich bei der Übernahme vom Vorgänger verpennt, krestlavieh
Die Clients kommen hauptsächlich mit ihren Laptops, die sie auch
in der Firma nutzen. Wenn sich ein Client per VPN verbindet, ist ja
in der Firma nutzen. Wenn sich ein Client per VPN verbindet, ist ja
OK ! Aber auf alle Patches (Windows Updates) achten, da die Firmenlaptops in dem privaten (W)LAN evt. schon mit den PCs der Kids in Kontakt kommen Könnten.
mrtux
Yoyo, die alte Panik ... "ujjj, die pööösen homeuser mit ihren vergeigten PCs...machen volles VPN ins LAN und verpesten die Büroluft...".
Was passiert denn WIRKLICH?
Bin seit Jahren im IT Bereich tötig und so langsam wird man relaxed.
Ich denke man stürzt sich allzusehr auf "Risiken" die soo gross garnicht sind und vernachlässigt aufgrund fehlendem Überblick die richtig fiesen Risiken, z. B. Surfen mit admin. Rechten und Internet Explodierer, kein Contentfilter im Webproxy, mitgebrachte Notebooks, Dateiaustausch privater natur via USB-Sticks, keine regelmässigen Backup-Widerherstellungs-Tests (macht das überhaupt jemand jemals???), spielende Praktikanten die auch wissen dass Cain&Abel nicht nur biblische Figuren sind sondern auch ne fiese Software....
Wo steht denn geschrieben dass ein VPN Client VOLLEN Netzzugriff kriegen MUSS?
Man kann den Zugriff auf das Nötigste Reduzieren und Risiken dramatisch minimieren.
Zugriff auf Fileserver, Mails, bissl SSH und ausdiemaus. Warum sollte ein VPN Client alle internen Clients erreichen können dürfen sollen?
Vielleicht via RDP - ok dann schalt halt RDP frei.
Ich finde client Firewalls wichtig auch in Firmenumgebungen, dann kann nämlich kommen was will, juckt nix. Wurm im Netz?= Wurst weil der client hat ja ne lokale FW und kommuniziert nur mit dem Server wo die guten Daten liegen und surft. Client mal nicht up to date (wer kann schon IMMER garantieren dass JEDER kritische Patch rechtzeitig installiert ist..) - WURST! Weil der hat ja ne lokale FW die Netzattacken blockt.
Ohne lokaler FW ist man auf Gedeih und Verderb dem Patchmanagement und weiteren Massnahmen ausgeliefert. Bei Day zero Geschichten nützt auch das Patchen nix - die client firewall schützt vor dem meisten was übers Netz schwappt. Und lässt sich mit netsh prima skripten und frisst kein Brot.
Was passiert denn WIRKLICH?
Bin seit Jahren im IT Bereich tötig und so langsam wird man relaxed.
Ich denke man stürzt sich allzusehr auf "Risiken" die soo gross garnicht sind und vernachlässigt aufgrund fehlendem Überblick die richtig fiesen Risiken, z. B. Surfen mit admin. Rechten und Internet Explodierer, kein Contentfilter im Webproxy, mitgebrachte Notebooks, Dateiaustausch privater natur via USB-Sticks, keine regelmässigen Backup-Widerherstellungs-Tests (macht das überhaupt jemand jemals???), spielende Praktikanten die auch wissen dass Cain&Abel nicht nur biblische Figuren sind sondern auch ne fiese Software....
Wo steht denn geschrieben dass ein VPN Client VOLLEN Netzzugriff kriegen MUSS?
Man kann den Zugriff auf das Nötigste Reduzieren und Risiken dramatisch minimieren.
Zugriff auf Fileserver, Mails, bissl SSH und ausdiemaus. Warum sollte ein VPN Client alle internen Clients erreichen können dürfen sollen?
Vielleicht via RDP - ok dann schalt halt RDP frei.
Ich finde client Firewalls wichtig auch in Firmenumgebungen, dann kann nämlich kommen was will, juckt nix. Wurm im Netz?= Wurst weil der client hat ja ne lokale FW und kommuniziert nur mit dem Server wo die guten Daten liegen und surft. Client mal nicht up to date (wer kann schon IMMER garantieren dass JEDER kritische Patch rechtzeitig installiert ist..) - WURST! Weil der hat ja ne lokale FW die Netzattacken blockt.
Ohne lokaler FW ist man auf Gedeih und Verderb dem Patchmanagement und weiteren Massnahmen ausgeliefert. Bei Day zero Geschichten nützt auch das Patchen nix - die client firewall schützt vor dem meisten was übers Netz schwappt. Und lässt sich mit netsh prima skripten und frisst kein Brot.