Возможно ли назначение устройства в качестве шлюза, если для выхода в интернет на нём необходимо поднимать VPN?

Question

[selivanov-a-s]

Здравствуйте!

Помогите, пожалуйста, новичку в сетевых технологиях решить проблему.

Являюсь сотрудником крупной организации, где присутствует куча правил и условий использования сети интернет. Специалисты сетевой службы отказываются идти навстречу, в связи с чем приходится придумывать различные способы обойти ограничения.

Для того, чтобы выйти в глобальную сеть интернет, необходимо со своего устройства авторизироваться на vpn-сервере организации. Таким образом, становятся невозможными для выполнения некоторые рабочие задачи на устройствах, требующих постоянного доступа в интернет.
Например, нужен выход в сеть одновременно с двух устройств, что является невозможным, так как авторизация на vpn-сервере с двух устройств одним аккаунтом запрещена.
Ну а на самом деле, это одна из множества ситуаций, расписывать которые не имеет смысла.

Вариант решения №1

Рисунок 1

Возможно ли установить в сети устройство (Маршрутизатор Mikrotik RB3011UiAS-RM), поднять на нём VPN-соединение и указать адрес этого устройства 10.10.10.100 в качестве шлюза для всех остальных устройств подсети 10.10.10.0 вместо стандартного 10.10.10.1?
Осуществима ли данная конфигурация?
Будут ли другие устройства и виртуальные машины из этой подсети выходить в интернет таким образом?
Что необходимо предусмотреть, если пытаться её реализовать?

Вариант решения №2

Рисунок 2

Организация выделила постоянный доступ в интернет без vpn-авторизации всего на одном статическом адресе: 10.10.10.222.
И, может быть, просто на этом микротике прописать данный адрес с выходом в интернет, чтобы работа в интернете осуществлялась без поднятия VPN.
Но, опять же, возможна ли в принципе такая конфигурация?
Будет ли выход в интернет с других устройств и ВМ?
Какие могут быть подводные камни?

_______________________________________________
На представленных изображениях лишь условные схемы того, что хочется реализовать.
Просто для понимания концепции.

Comments

[aleks-th]

возможно
другой вопрос а нужно ли, а зачем ?

[Valentin Barbolin]

Можно, только стоит изменить адресацию на вашем микротик что бы не пересекаться с сетью организации и все ваши устройства подключать в микротик.

Answer 1

[Drno]

возможно сделать то что Вы хотите, но Вы можете за это огрести вплоть до увольнения
пишите служебки, пусть админы делают то, что нужно Вам для работы
Это самый логичный вариант

Answer 2

[pindschik]

Настроить можно...

Но давайте посмотрим правде в глаза. В вашей организации бюрократия непробиваема, а безопасность поставлена в абсолют. Если работа мешает безопасности - побеждает безопасность. Если нормальная работа невозможна - тем хуже для работы. Организация нужна для спокойной работы службы безопасности, а не служба безопасности - для обеспечания максимально эффективной работы организации.

Как скоро выловят вашу серую "схему" при таком подходе? Может даже сразу. Что сделают? Скорее всего будут показательно пороть, при массовом стечении народа, и не будут разбираться - а зачем оно вами было сделано (ну как слуба безопасности, которая будет вас наказывать, может прийти к выводу, что корень проблемы в самой службе безопасности?).
Возможно даже выстявят на мороз...

Я думаю, что для подлинного решения вашей проблемы с маршрутизаторами, есть только два варианта:

- Первый (крайне эффективный, но часто малореальный) - "итальянская забастовка" - это когда все начнут работать строго по правилам безопасности и КПД труда станет близок к нулю. Это приведет к краху работы и руководству "прилетит по башке", да так, что придется разбираться с неприкосновенными безопасниками.
Или вашему руководству придется, или другим людям вместо них, если они не справятся (вместе со сменой руководства).
Но возможно, что большинство работников морально не готовы к такому шагу. Их держит в страхе великая вера в бесконечную силу управленцев, да к тому же "за забором стоит очередь из желающих"... Они не видели ни разу, что происходит, когда весь коллектив разворачивается и уходит из офиса. И как мгновенно решаются все вопросы, когда под директором начинает качаться стул.
Хотя чаще бывает так, что большинство сотрудников действительно можно заменить - ведь когда бюрократия и кумовство - многие некомпетентные товарищи могут сидеть на "теплых" должностях, ничерта не умея работать. А из рабочих навыков - у них хорошо развито только чувство собственной важности.
Тварь вы дрожащая, или право имете? Можете сказать свое мнение открыто там, где оно будет услышано?

- И второй путь, вполне реальный, зависит только от вас. Вы о нём знаете, думаете... Ведь это слово "бежать".
И со временем он у вас обязательно превратиться в нечто гораздо более конкретное - "быстро бежать".
Так не лучше ли, вместо страданий и героического преодоления искуственно создаваемых трудностей, в ожидании момента, когда вам скажут "Мери Поппинс - до свидания!" - принять решение и самому освободиться от оков?
И сменить работу, улучив удачный момент.

Comments

[Drno]

судя по тому как там построена "безопастность" бежать надо было вчера)

Answer 3

[thedenko]

Как вариант можно поднять WiFi хотспот и через iptables перенаправить трафик на IP тун адаптера, ну замаскировать маскарадом, должно сработать, а лучше запроси конфиг для телефона, мне на моей работе выдавали конфиг на пк и телефон