Технический форум
Вернуться   Технический форум > Компьютерный форум > Компьютерное железо > Сетевые подключения


Ответ
 
Опции темы Опции просмотра
Старый 28.11.2019, 17:41   #1 (permalink)
kubiq
Member
 
Регистрация: 30.06.2013
Сообщений: 219
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию Две разные сети

Столкнулся с проблемой на предприятии.
Есть два канала: первый защищенный контур, в который лезть нельзя и нельзя, чтобы компы двух сетей видели друг друга и нельзя никакие делать vlan. И вторая сеть с обычным интернетом. Микротик и умный коммутатор.
Ранее организация сидела вся на защищенном канале, есть сетевая папка на основном компьютере на котором работают и как позже выяснилось, там же лежит база бухгалтерии.
Компьютер 1 остается в защищенном контуре первого канала, а второй(который с папкой) в обычном инете. Как вы понимаете, бухгалтерская программа осталась без БД, так как она не видит компьютер 2.
По началу думал ставить ноутбук пользователю с защищенным контуром, через wifi присоединить его к компьютеру 2, все прекрасно видится и работается, а оказывается, есть два нюанса - первый это то, что на компьютере, который в защищенном сегменте работают в программе, из которой будут брать данные, которая сейчас не работает, соответственно копипаст уже не будет работать и плюсом у человека один принтер, а один принтер на две машины я не подключу, т.к. подсети разные. В итоге получаем, что вариант с ноутбуком не получается.
Думаю уже пойти на крайние меры - заказывать белый ип, папку с БД выпускать в сеть через какой нибудь ftp сервис и чтобы компьютер 1 через сеть обращался с БД. Да, будут заморочки, как папку расшарить в сеть и как настроить микротик я не знаю и помимо этого организовывается уязвимость в сети.
Что подскажете?
kubiq вне форума   Ответить с цитированием

Старый 28.11.2019, 17:41
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Рекомендую вам потратить минутку и прочитать схожие обсуждения

Будут ли работать разные ОС в домашней локальной сети?
можно ли играть в сталкер чистое небо по сети с 3g модемом мтс в сети EDGE
Разные PC
Два компа, один кабельный модем, независимый нет, разные IP - нет сети!!!

Старый 28.11.2019, 19:08   #2 (permalink)
Smith
Специалист
 
Аватар для Smith
 
Регистрация: 13.08.2007
Сообщений: 4,159
Записей в дневнике: 5
Сказал(а) спасибо: 41
Поблагодарили 16 раз(а) в 8 сообщениях
Репутация: 23496
По умолчанию

для начала нарисовать топологию.
Smith вне форума   Ответить с цитированием
Старый 28.11.2019, 20:47   #3 (permalink)
kubiq
Member
 
Регистрация: 30.06.2013
Сообщений: 219
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию

Прикрепляю карту
Миниатюры
aeieoiaio1.png  
kubiq вне форума   Ответить с цитированием
Старый 28.11.2019, 20:50   #4 (permalink)
Smith
Специалист
 
Аватар для Smith
 
Регистрация: 13.08.2007
Сообщений: 4,159
Записей в дневнике: 5
Сказал(а) спасибо: 41
Поблагодарили 16 раз(а) в 8 сообщениях
Репутация: 23496
По умолчанию

хорошая схема. теперь чо надо сделать? в виде "допустим ГБ -> Кассир:порт". ну и какое железо под вашим управлением?
Smith вне форума   Ответить с цитированием
Старый 28.11.2019, 20:56   #5 (permalink)
kubiq
Member
 
Регистрация: 30.06.2013
Сообщений: 219
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию

Под управление L3 коммутатор который на канале 1. Что за ним неизвестно какое оборудование. Но там стоит на уровне провайдера и циско и шифрование.
Второй канал пока не под моими настройками, но могу забрать себе.
Зa VLAN даже не знаю, совмещать его с защищенным контуром может быть опасно.
kubiq вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 28.11.2019, 21:04   #6 (permalink)
Smith
Специалист
 
Аватар для Smith
 
Регистрация: 13.08.2007
Сообщений: 4,159
Записей в дневнике: 5
Сказал(а) спасибо: 41
Поблагодарили 16 раз(а) в 8 сообщениях
Репутация: 23496
По умолчанию

чо сделать то надо? пустить комп 1 в сетку за микротом?

для начала я советую обратится к документации: политика информационной безопасности компании\учреждения, проконсультироваться со старшими одминами.

простейший вариант - воткнуть в комп1 еще сетевуху и сунуть ее в микротик. на микротике настроить жесткий фаерволл.
можно и по сложнее - допустим если на комп1 есть выход в интернет - поднять впн туннельчик на микрот, получать там адресок, настроить маршрутизацию. физически развязаны. но все упрется в скорость интернетов.
Smith вне форума   Ответить с цитированием
Старый 28.11.2019, 21:11   #7 (permalink)
kubiq
Member
 
Регистрация: 30.06.2013
Сообщений: 219
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию

Цитата:
Сообщение от Smith Посмотреть сообщение
чо сделать то надо? пустить комп 1 в сетку за микротом?
не знаю даже, что там надо сделать. vlan или второй ноутбук ставить и бубном плясать.

Цитата:
Сообщение от Smith Посмотреть сообщение
для начала я советую обратится к документации: политика информационной безопасности компании\учреждения, проконсультироваться со старшими одминами.
я и есть старший. старший и младший в одном лице. и понимаю, ответственность перед безопасностью.

Цитата:
Сообщение от Smith Посмотреть сообщение
простейший вариант - воткнуть в комп1 еще сетевуху и сунуть ее в микротик. на микротике настроить жесткий фаерволл.
прокладка еще одного кабеля проблемна очень будет. Может как вариант расшить UTP? Каким образом будет настраиваться коммутация в микротике? Я никогда с ним не работал
kubiq вне форума   Ответить с цитированием
Старый 28.11.2019, 21:26   #8 (permalink)
Smith
Специалист
 
Аватар для Smith
 
Регистрация: 13.08.2007
Сообщений: 4,159
Записей в дневнике: 5
Сказал(а) спасибо: 41
Поблагодарили 16 раз(а) в 8 сообщениях
Репутация: 23496
По умолчанию

У вас есть некий защищенный контур, его ктото защищает и настраивает. Соответственно эти люди и ответственны за ИБ политику. Уточните у них. Навключать и понастроить дело не долгое.
Smith вне форума   Ответить с цитированием
Старый 28.11.2019, 21:31   #9 (permalink)
kubiq
Member
 
Регистрация: 30.06.2013
Сообщений: 219
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию

Что у них спрашивать? БД в сеть кидать нельзя это будет только наша ответственность.
Узнают, что хоть один компьютер из другой сети будет видеть другой - будут возникать.
Возможно ли развернуть vlan на микротике путем расшития витой пары в коммутационном шкафе, настройке шлюза и задав определенный порт, а на компьютер один будет подключатся полноценная витая пара через которую будет идти защищенный контур и открытый порт компьютера 2 через который будет БД загружаться?
kubiq вне форума   Ответить с цитированием
Старый 29.11.2019, 01:22   #10 (permalink)
Smith
Специалист
 
Аватар для Smith
 
Регистрация: 13.08.2007
Сообщений: 4,159
Записей в дневнике: 5
Сказал(а) спасибо: 41
Поблагодарили 16 раз(а) в 8 сообщениях
Репутация: 23496
По умолчанию

Такие решения принимать не вам. их надо согласовать с руководством.

Не пойму что вы привязались к vlan? Вы знаете, что это такое и как этим пользоваться?

Цитата:
Сообщение от kubiq Посмотреть сообщение
Возможно ли развернуть vlan на микротике путем расшития витой пары в коммутационном шкафе, настройке шлюза и задав определенный порт, а на компьютер один будет подключатся полноценная витая пара через которую будет идти защищенный контур и открытый порт компьютера 2 через который будет БД загружаться?
а вот это вообще какой-то сумбур.

если нельзя физически связывать 2 компьютера - используйте l2tp ipsec vpn. простейшее средство. на компе, что в контуре, если есть выход в инет настраиваете подключение, поднимаете сервер на микротике(должен быть белый статичный ip). на самом микротике пилите точные правила пакетного фильтра.

если возьмете на себя ответственность за физическое соединение - ставите вторую сетевуху в комп и тащите витуху к микроту ну или ставите драйвера на сетевуху и разрешаете на ней о боже vlan! на свитче который якобы l3(а вы знаете что это значит?) прописываете taged интерфейс к компу и untaged еще какойнить порт. этот порт соединяете с микротом.
Smith вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 19:19.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.