Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

IP Adressbereich für Firmennetz

Frage Netzwerke Netzwerkgrundlagen

Mitglied: Dirmhirn

Dirmhirn (Level 2) - Jetzt verbinden

24.05.2009, aktualisiert 16:23 Uhr, 8289 Aufrufe, 13 Kommentare

Hi!

Wir haben bis jetzt den Adressbereich 192.168.0.x in der Firma. Jetzt kam VPN und wir haben Probleme mit den Heimnetzen die im gleichen Bereich liegen.

Da ja 192.168.0/1/2.x wohl die meist genutzten Bereiche im privaten sind, wollen wir die Adressen in der Firma ändern.
Die Adresszahl sollte auch für die nächsten Jahre mit einerm Class C Netz passen.
Gibt es weiter 192.168.er Netze die weit verbreitet sind und es daher wieder Probleme gäbe.

lg Dirm
Mitglied: mrtux
24.05.2009 um 16:37 Uhr
Hi !

Zitat von Dirmhirn:
Gibt es weiter 192.168.er Netze die weit verbreitet sind und es daher

Ja Fritzbox 192.168.178.x

Warum gebt ihr das den Homeofficeleuten nicht vor ?

Du wirst doch um Himmelswillen nicht einfach irgendwelche Privat-PCs/Netze ungeprüft (mit den 4904395 Spielen und Viren der Kinder) auf dein Firmennetz lassen ?

mrtux
Bitte warten ..
Mitglied: HL1234
24.05.2009 um 16:51 Uhr
Hallo,
mir fällt hierzu ein, dass es mehrere private Adressbereiche gibt:

siehe hierzu auch (eng) http://en.wikipedia.org/wiki/Private_network

und in RFC1918 http://tools.ietf.org/html/rfc1918 heißt dann dazu:

01.
Private Address Space 
02.
 
03.
   The Internet Assigned Numbers Authority (IANA) has reserved the 
04.
   following three blocks of the IP4 address space for private internets: 
05.
 
06.
     10.0.0.0        -   10.255.255.255  (10/8 prefix) 
07.
     172.16.0.0      -   172.31.255.255  (172.16/12 prefix) 
08.
     192.168.0.0     -   192.168.255.255 (192.168/16 prefix)
Ich hab gesehen das in Firmen gerne auch 172.16.0.101/102/10x z.B. verwendet wird.
Bitte warten ..
Mitglied: education
24.05.2009 um 16:56 Uhr
wenn du dir echt die arbeit machen willst die IP von Firmennetz zu ändern. dann geh ins B netz. wer weis was in 2-3 jahren für ip von C-Netz noch kommt. wie gesagt der bereich 192.168.x.x ist für private nutzung frei. die fritzbox hängt ja in bereich 192.168.178.x vielleicht kommt genau wieder dein netzwerk für ein anderen router dann hängst du wieder da.


also wenn du die IP von Firmennetz ändern willst geh ins B netz. wenn dir das zu gross ist häng anstatt subnetz 255.255.0.0 ein subnet 255.255.255.0 rein da bist auf der sichern seite ein C-Netz in B-Netz
Bitte warten ..
Mitglied: aqui
24.05.2009 um 17:41 Uhr
Nimm für dein Firmennetz irgendwas "Krummes" aus dem 172er RFC 1918 Bereich:

http://de.wikipedia.org/wiki/Private_IP-Adresse

Sowas wie 172.27.147.0 /24 oder 172.31.17.0 /24 usw. usw.
Ebenso etwas so krummes aus dem 10er Netz sollte auch gut sein.
Eine Migration ist sehr einfach zu machen wenn du DHCP einsetzt also kein Thema !

Mit einem krummen Netz ist die Chance sehr sehr gering das einer zuhause ein ähnliches Netz hat.
192.168.0.0 /24 oder .1.0 /24 ist nicht sehr intelligent denn jeder Dummbatz Consumer Router hat das als default und damit ist das dann der Tod jeglichen VPNs wenn das auch das Unternehmensnetz ist...logisch !!

Gleich ne Class B Subnetzmaske wie education ist eigentlich mit Kanonen auf Spatzen und überflüssig...
Es reicht ja auch wenn du statt einer 24 Bit Maske eine 23 Bit Maske nimmst, das beschert dir dann 253 Hosts mehr im Netz. Ob du das in einer 172er oder 10er Adressumgebung machst spielt mehr oder weniger nur eine kosmetische Rolle. 192er solltest du aber vermieden
Nur schön krumm und exotisch sollte das netzwerk sein um Überschneidungen zu vermeiden mit Heimnetzen !!!
Bitte warten ..
Mitglied: spacyfreak
24.05.2009 um 21:27 Uhr
Im Grunde ist es wurst welchen privaten IP-Bereich man fürs Firmen-Netz wählt.

"Untypisch" für Heim-Netze wäre beispielsweise
10.10.10.0 mit 255.255.255.0

Es ist auch wurst ob man ein privates A, B oder C Klasse Netz für die Firma nimmt.
Die Grösse des Netzes bzw. der Netze hängt eh von der Subnetzmaske ab und nicht von der Netz-Klasse.
Bitte warten ..
Mitglied: Dirmhirn
24.05.2009 um 22:15 Uhr
Warum gebt ihr das den Homeofficeleuten nicht vor ?

naja das 192.168.0er ist ja "typisch home" - ich will ja nicht auch noch die Heimhardware mitbetreuen

Wir haben nur die Server und Drucker statisch, sonst DHCP. Jetzt ist die Umstellung noch sehr einfach.

Ein 172er werde ich nehmen.

Du wirst doch um Himmelswillen nicht einfach irgendwelche Privat-PCs/Netze ungeprüft (mit den 4904395 Spielen und Viren der Kinder) auf dein Firmennetz lassen ?

Die Clients kommen hauptsächlich mit ihren Laptops, die sie auch in der Firma nutzen. Wenn sich ein Client per VPN verbindet, ist ja nicht gleich das ganze externe LAN mitverbunden - oder?!
(hab wenig Erfahrung mit VPN und null mit VPN-Sicherheitsfragen)

Wer sich verbinden darf, regel ich dann über die Benutzer.


Es gäbe zwar eine Möglichkeit die IP-Bereiche zu beschränken, allerdings kann man sich dann nicht mehr verbinden sobald man die eigene IP nicht selbst wählen kann (zB mobiles Internet).

lg Dirm
Bitte warten ..
Mitglied: dog
24.05.2009 um 22:34 Uhr
Sehr viel einfacher in der Einrichtung, aber auch beschränkter in den Funktionen sind SSL-VPNs und SSH-Tunnel.
Das erspart einen den ganzen Umstand mit den Subnetzen.

Grüße

Max
Bitte warten ..
Mitglied: kingkong
25.05.2009 um 08:27 Uhr
Wenn du unter SSL-VPN aber soetwas wie OpenVPN verstehst trifft deine Aussage nicht zu - da gibt es genau die selben Probleme wie bei jedem IPSec auch, was das Routing betrifft...
Bitte warten ..
Mitglied: mrtux
25.05.2009 um 08:48 Uhr
Hi !

Zitat von Dirmhirn:
Wir haben nur die Server und Drucker statisch, sonst DHCP. Jetzt ist
die Umstellung noch sehr einfach.

Genau ! Evt. auch noch die Drucker per Reservierungen im DHCP setzen, was auch Nachteile haben kann, da ich aber faul bin...

Ein 172er werde ich nehmen.

Muss ich bei einigen Kunden auch noch machen, habe ich bei der Übernahme vom Vorgänger verpennt, krestlavieh

Die Clients kommen hauptsächlich mit ihren Laptops, die sie auch
in der Firma nutzen. Wenn sich ein Client per VPN verbindet, ist ja

OK ! Aber auf alle Patches (Windows Updates) achten, da die Firmenlaptops in dem privaten (W)LAN evt. schon mit den PCs der Kids in Kontakt kommen Könnten.

mrtux
Bitte warten ..
Mitglied: Dirmhirn
25.05.2009 um 10:51 Uhr
@SSL, SSH - kenn ich eigentlich nur von Linux, als remote-shell. Das geht leider nicht, muss Windows-Bunt sein. Dateifreigabe, SharePoint...

Außerdem haben wir ein Hardwaregerät (Check Point UTM-1 Egde X) und jetzt funktionierts mit dem eigentlich langsam aber doch, recht gut.

OK ! Aber auf alle Patches (Windows Updates) achten,

ich bemühe mich - ist aber nicht einfach *gg*
Außerdem ist da noch der Client in China ;-/ Legale SW gibts da nur wenn du sie ihnen kaufst und installierst und das Wort Virenscanner ist völlig unbekannt.
Aber das müssen wir auch noch lösen...

lg Dirm
Bitte warten ..
Mitglied: kingkong
25.05.2009 um 11:43 Uhr
Naja, die werden ja ihre Landsmänner nicht gleich ausspionieren Und noch sind die westlichen Wirtschaften ja interessanter. Außer es kommen dann die Kollegen vom RBN :D
Bitte warten ..
Mitglied: spacyfreak
26.05.2009 um 00:10 Uhr
Yoyo, die alte Panik ... "ujjj, die pööösen homeuser mit ihren vergeigten PCs...machen volles VPN ins LAN und verpesten die Büroluft...".

Was passiert denn WIRKLICH?

Bin seit Jahren im IT Bereich tötig und so langsam wird man relaxed.

Ich denke man stürzt sich allzusehr auf "Risiken" die soo gross garnicht sind und vernachlässigt aufgrund fehlendem Überblick die richtig fiesen Risiken, z. B. Surfen mit admin. Rechten und Internet Explodierer, kein Contentfilter im Webproxy, mitgebrachte Notebooks, Dateiaustausch privater natur via USB-Sticks, keine regelmässigen Backup-Widerherstellungs-Tests (macht das überhaupt jemand jemals???), spielende Praktikanten die auch wissen dass Cain&Abel nicht nur biblische Figuren sind sondern auch ne fiese Software....

Wo steht denn geschrieben dass ein VPN Client VOLLEN Netzzugriff kriegen MUSS?
Man kann den Zugriff auf das Nötigste Reduzieren und Risiken dramatisch minimieren.
Zugriff auf Fileserver, Mails, bissl SSH und ausdiemaus. Warum sollte ein VPN Client alle internen Clients erreichen können dürfen sollen?
Vielleicht via RDP - ok dann schalt halt RDP frei.


Ich finde client Firewalls wichtig auch in Firmenumgebungen, dann kann nämlich kommen was will, juckt nix. Wurm im Netz?= Wurst weil der client hat ja ne lokale FW und kommuniziert nur mit dem Server wo die guten Daten liegen und surft. Client mal nicht up to date (wer kann schon IMMER garantieren dass JEDER kritische Patch rechtzeitig installiert ist..) - WURST! Weil der hat ja ne lokale FW die Netzattacken blockt.

Ohne lokaler FW ist man auf Gedeih und Verderb dem Patchmanagement und weiteren Massnahmen ausgeliefert. Bei Day zero Geschichten nützt auch das Patchen nix - die client firewall schützt vor dem meisten was übers Netz schwappt. Und lässt sich mit netsh prima skripten und frisst kein Brot.
Bitte warten ..
Mitglied: Dirmhirn
26.05.2009 um 00:24 Uhr
Also der Thread geht Off-Topic - aber das eigentliche Problem ist ja gelöst...

habt ihr auf Windows Servern die WIndows Firewall laufen?

bei uns kam der einzige Virus den unser Scanner bis jetzt gefunden hat vom USB-Stick einer Software Firma

Bin noch am überlegen ob ich nur die gewünschten Dienste übers VPN freischalte. Zmdest kann ich mit unserer Firewall auch Regeln für die VPN-Verbindung erstellen.
Wenn ich zB nur die Ports für SharePoint und Dateifreigabe freischalte, müsste das ja auch schon einen gewissen Sicherheitsbonus bringen.

Wie ich verhinder, dass sich die Kollegen die SW auch auf ihren Privatrechnern installieren und verbinden, weiß ich noch nicht. Allerdings bevor sie das machen, verwenden sie die FirmenLaptops eher privat...

lg Dirm
Bitte warten ..
Neuester Wissensbeitrag
DSL, VDSL

Telekom blockiert immer noch den Port 7547 in ihrem Netz

(3)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Ähnliche Inhalte
Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Erkennung und -Abwehr
Backdoor in IP-Kameras von Sony (3)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Netzwerke
LAN und WLAN je mit gleicher IP (13)

Frage von dauatitsbest zum Thema Netzwerke ...

E-Mail
gelöst Mail Spam fremde IP (10)

Frage von BerndP zum Thema E-Mail ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...