Две разные сети
 

Столкнулся с проблемой на предприятии.
Есть два канала: первый защищенный контур, в который лезть нельзя и нельзя, чтобы компы двух сетей видели друг друга и нельзя никакие делать vlan. И вторая сеть с обычным интернетом. Микротик и умный коммутатор.
Ранее организация сидела вся на защищенном канале, есть сетевая папка на основном компьютере на котором работают и как позже выяснилось, там же лежит база бухгалтерии.
Компьютер 1 остается в защищенном контуре первого канала, а второй(который с папкой) в обычном инете. Как вы понимаете, бухгалтерская программа осталась без БД, так как она не видит компьютер 2.
По началу думал ставить ноутбук пользователю с защищенным контуром, через wifi присоединить его к компьютеру 2, все прекрасно видится и работается, а оказывается, есть два нюанса - первый это то, что на компьютере, который в защищенном сегменте работают в программе, из которой будут брать данные, которая сейчас не работает, соответственно копипаст уже не будет работать и плюсом у человека один принтер, а один принтер на две машины я не подключу, т.к. подсети разные. В итоге получаем, что вариант с ноутбуком не получается.
Думаю уже пойти на крайние меры - заказывать белый ип, папку с БД выпускать в сеть через какой нибудь ftp сервис и чтобы компьютер 1 через сеть обращался с БД. Да, будут заморочки, как папку расшарить в сеть и как настроить микротик я не знаю и помимо этого организовывается уязвимость в сети.
Что подскажете?

для начала нарисовать топологию.

Прикрепляю карту

хорошая схема. теперь чо надо сделать? в виде "допустим ГБ -> Кассир:порт". ну и какое железо под вашим управлением?

Под управление L3 коммутатор который на канале 1. Что за ним неизвестно какое оборудование. Но там стоит на уровне провайдера и циско и шифрование.
Второй канал пока не под моими настройками, но могу забрать себе.
Зa VLAN даже не знаю, совмещать его с защищенным контуром может быть опасно.

чо сделать то надо? пустить комп 1 в сетку за микротом?

для начала я советую обратится к документации: политика информационной безопасности компании\учреждения, проконсультироваться со старшими одминами.

простейший вариант - воткнуть в комп1 еще сетевуху и сунуть ее в микротик. на микротике настроить жесткий фаерволл.
можно и по сложнее - допустим если на комп1 есть выход в интернет - поднять впн туннельчик на микрот, получать там адресок, настроить маршрутизацию. физически развязаны. но все упрется в скорость интернетов.

не знаю даже, что там надо сделать. vlan или второй ноутбук ставить и бубном плясать.

я и есть старший. старший и младший в одном лице. и понимаю, ответственность перед безопасностью.

прокладка еще одного кабеля проблемна очень будет. Может как вариант расшить UTP? Каким образом будет настраиваться коммутация в микротике? Я никогда с ним не работал

У вас есть некий защищенный контур, его ктото защищает и настраивает. Соответственно эти люди и ответственны за ИБ политику. Уточните у них. Навключать и понастроить дело не долгое.

Что у них спрашивать? БД в сеть кидать нельзя это будет только наша ответственность.
Узнают, что хоть один компьютер из другой сети будет видеть другой - будут возникать.
Возможно ли развернуть vlan на микротике путем расшития витой пары в коммутационном шкафе, настройке шлюза и задав определенный порт, а на компьютер один будет подключатся полноценная витая пара через которую будет идти защищенный контур и открытый порт компьютера 2 через который будет БД загружаться?

Такие решения принимать не вам. их надо согласовать с руководством.

Не пойму что вы привязались к vlan? Вы знаете, что это такое и как этим пользоваться?

а вот это вообще какой-то сумбур.

если нельзя физически связывать 2 компьютера - используйте l2tp ipsec vpn. простейшее средство. на компе, что в контуре, если есть выход в инет настраиваете подключение, поднимаете сервер на микротике(должен быть белый статичный ip). на самом микротике пилите точные правила пакетного фильтра.

если возьмете на себя ответственность за физическое соединение - ставите вторую сетевуху в комп и тащите витуху к микроту ну или ставите драйвера на сетевуху и разрешаете на ней о боже vlan! на свитче который якобы l3(а вы знаете что это значит?) прописываете taged интерфейс к компу и untaged еще какойнить порт. этот порт соединяете с микротом.