Несколько внешних IP для одного или нескольких ПК в одной локальной сети?
Здравствуйте.
Руководство озвучило практический вопрос: можно завести в локальную сеть несколько внешних ("белых") IP и, в зависимости от необходимости, раздать нескольким или присвлить все 10 одному клиенту.
О необходимости подавать заявку в RIPE я оповещён, форма заявки и описание есть, технических препятствий у нашего провайдера нет. Но я никогда не занимался ничем подобным, и слабо представляю реализацию. Вопросы (простите за возможные глупости) навскидку следующие:
- Какое оборудование/ПО потребуется с моей стороны?
- Будет ли это один физический кабель (что-то связанное с VLAN?), несколько, или это вопрос только к провайдеру?
- Небходимо ли будет присваивать конкретным компьютерам конкретные внешние IP или можно(нужно?) будет настроить под это дело NAT?
- Можно ли сетевому интерфейсу присвоить более двух IP? Точнее - сетевому интерфейсу при работе под Windows?
Сейчас всё настроено банально: провайдер -> маршрутизатор -> клиенты на Win (XP/7). Вопросов, скорее всего, будет больше, просто не знаю, с чего начать.
Я, наверное, не до конца понятно выразился. В локалке должны сосуществовать ОДНОВРЕМЕННО и белые, и внутренние IP; белые - отдельно, серые, соответственно, отдельно. При этом необходимо, чтобы на ряде рабочих местах (в оригинале было вообще озвучено - на одном) на сетевом интерфейсе сидел один внутренний IP, для доступа к локальным ресурсам, и один (в оригинале - несколько) белых IP.
Короче говоря, чтобы несколько ПО "Банк-Клиент" разных банков использовали каждый свой белый IP.
@YujiTFD тогда всё равно читайте мой комментарий =)
В принципе, для удобства администрирования в таком случае лучше будет поставить третью сетевую карту, но в целом это делается и на двух (просто nat включается только для серого диапазона адресов), а белые адреса прописываются руками на машинах (или прибиваются к маку по dhcp) и ходят напрямую через бридж.
Кстати, как вариант тогда - ставить банк клиенты на виртуалки, по одному на одну штуку. Каждой виртуалке давать адрес белый. А остальным - только серые.
Кстати, да! Виртуалки - это вполне себе может быть выход. Выделенный под бухгалтерию мощный компьютер, выполняющий роль сервера, у нас есть. А под нужды роутинга можно действительно взять mikrotik, настроив раздачу белых IP сетевым интерфейсам на виртуалках, так можно решить и проблему сосуществования в локалке нескольких внешних IP без угрозы безопасности; всё равно ведь эти хосты будут жить в песочнице и запускаться только по мере необходимости!
По большому счёту, если я прав с вышесказанным, осталось разобраться только с правилами для микротика. Или я что0то упускаю?
@bk0011m а рациональность тут обсуждать перестали давно =)
Железку под одну программу - дорого. А легче всего получить выделенный адрес для программы - поставить её в отдельную ос с отдельным адресом.
К тому же разница между железкой и виртуалкой всё же есть - на виртуалку вряд ли будут тащить всякую гадость, чтобы рейтинг в вк прокачать. Или на странные сайты заходить. Можно вообще завернуть в One-app RDP и проблем не знать.
@inkvizitor68sl для пользователя нет никакой разницы, виртуалка или нет. Всякую гадость с таким же успехом можно и на виртуалку затащить. Вопрос в другом.
Я вообще не вижу смысла назначать IP отдельным машинам. Как-то по колхозному это. Не проще ли рулить IP на рутере?
@bk0011m покажите простой в эксплуатации способ рулить IP адресами в пределах одной машины так, чтобы разные софтины ходили наружу с разного белого адреса. Под линуксами я парочку таких способов назову. А под виндой?
Для пользователя разница будет - он будет запускать какую-то гуйню, в которой ему ничего не разрешено делать, кроме как банк-клиент запустить. А в случае с RemoteApp он вообще не будет знать, что этот банк-клиент запущен не с его локальной машины (ну то есть будет догадываться, но что он с этим сделает).
@inkvizitor68sl А какой смысл виндовую машину наружу выставлять? Рутер однозначно должен быть или железкой или UNIXлайк системой. А на нем рулить IP легко и просто.
А виндовая пусть висит со своим RDP в ДМЗ за натом
@bk0011m ну ок, поставили вы роутер, поставили виндовую машину за DMZ (который, кстати, не подразумевает того, что весь исходящий трафик этой машины будет ходить через правильный внешний адрес).
Дальше то что? Как вы приложения по адресам внутри винды разносить будете? Ок, пусть не внутри винды, а на шлюзе.
@inkvizitor68sl В смысле внутри винды? Я как понял, у человека куча виндовых машин и он собрался на них внешние IP вешать. так?
Так что там тогда разносить то?
@bk0011m у человека несколько банк-клиентов (ну или других похожих софтин), каждый из которых должен работать с отдельного внешнего адреса, на котором больше ничего работать не должно.
@bk0011m вы какую-то херню придумываете уже сидите, простите.
Человеку нужен простой и понятный способ решить его задачу. Предлагать ему в данном случае пляски с угадыванием портов для каждой софтины, port-based роутинга и прочих няшностей ip ro + fwmark - примерно то же самое, что предлагать человеку, который просит подвезти его до дома с работы, собрать вертолет самому и полететь на нём.
Порт может поменяться. Банк клиенты могут работать на одном порту (у половины банков один и тот же бк на java). Более того, половина остальных банк-клиентов - ничто иное, как браузерный апплет, который работает, внезапно, по 443-му порту (а адресочки иногда меняются, да). В итоге следить за всей
той конструкцией - ад кромешный.
@inkvizitor68sl Я не несу херню, а говорю конкретно по той информации что есть.
Банк клиенты бывают разные, и не все на Java и подобное.
Порты тоже у них разные. Вычислить какой порт использует программа - плевое дело. Для нормального админа, вроде меня займет не более минуты.
И для меня не проблема развесить программы на одном хосте на разные IP.
Если интересно, вот, изучайте: www.openbsd.org/faq/pf/ru/nat.html
Стоп, ребята, брейк!
Я понимаю прелести гибкого администрирования в лице форвардинга, маскарадинга и прочей красоты, но весь этот цирк с конями, боюсь, не оценят. Не те масштабы, чтобы курить маны по фре, нет такой необходимости.
Я сейчас соберу мозги в кулак и буду раскладывать всё по полочкам. Спасибо всем ещё раз!
@bk0011m ну вот и оставайтесь нормальным админом, который за минуту находит порт, который использует программа (кстати, долго).
Я же останусь, пожалуй, ненормальным, который читает задачи и понимает, кому эту задачу реализовывать и насколько понятной система должна быть.
Сидите себе, проверяйте каждый день, что у бк не сменился порт/чтототам ещё. Можете даже мониторинг написать ;)
Благо, таких не берут в космонавты.
@inkvizitor68sl Разговор шел не обо мне вообще то.
Вы утверждали что невозможно приложения развесить на разные IP. Я доказал что возможно.
Другое дело нужно ли в данной ситуации. Если у человека есть деньги и ресурсы, то можно легко плодить виртуалки и хосты.
Если денег нет, то мой вариант реально выгоднее и красивее с точки зрения администрирования.
А уж какой вариант он выберет - его дело.
Как говорится можно гвозди и золотым подсвешником забивать, но молотком удобнее.
А вот вам незачет за то что вы незная элементарных вещей, пытаетесь выставить меня идиотом. Мне противно с Вами общаться. Надеюсь больше не придется.
