Организация сети между городами?

Question

[Ecologic]

Прошу Вас разъяснить мне как можно решить следующую задачу, без гипер танцев.
Дано:
В рамках одного города находятся 3 здания с оборудованием. Сейчас взаимодействую с каждым зданием физически туда приезжая и подключаясь к WIFI.
Здание "1":
1. Микротик 5G установлен внешним админом, доступа к нему нет, разговоры на эту тему бесполезны.
2. Wifi роутер TP-link. установлен внешним админом, доступа к нему нет, подключен к Микротику и IOTам. Доступ в сеть есть.
3. Wifi Камера. Подключена к роутеру.

Здание "2":
1. Wifi роутер TP-link. с полным доступом. Подключен IOTам
2. Wifi Камера. Подключена к роутеру.
3. Скуд. сейчас его нет, но нужно делать такой чтобы по удаленке взаимодействовать.

Здание "3":
1. Wifi роутер. с полным доступом. Шнурком от Ростелекома.

Задача:
Из здания "3" удаленно работать с оборудованием из 1 и 2 зданий

Comments

[Sand]

Это в рамках одной организации?

[Алексей Уколов]

между городами

В рамках одного города

[Артём]

Можно арендовать у провайдера L2-VPN, если он один во всех зданиях

[CityCat4]

Прежде всего поясните, кто такой "внешний админ", какое он отношение имеет к сети и какое отношение к сети имеете Вы.

[Ecologic]

внешний админ, чел чей микротик. он из другой дружественной страны шьет IOTы.
я в этой сети их тоже шью, его софтом. но физически надо быть на точках, а не хотелось бы.
для того и цирк с коняшами. я и дело бы делал, и на месте меня не присутствовал, но ему это не известно былоб.

Answer 1

[Drno]

вопрос то в чем? подними впн на роутерах и соедини подсети

Comments

[Ecologic]

Dude u the best of the best.
хочешь-ешь, не хочешь-не ешь ХD
ты конечно же прав, я в общем и целом тебя понимаю в двух словах. но не более.

Answer 2

[Komrus]

Если более подробно:
0) Согласовать с собственником сетей (лично, или с ИТшником, или с безопасником) согласие на сам факт организации удалённого доступа.
1) (Для упрощения жизни в дальнейшем) - согласовать бюджет и закупить единообразные роутеры в каждое здание. Важно, чтобы они умели VРN протоколы. Учитывая, что с этим випиеном нонче всё непросто - желательно, чтобы их умения в этой области были разнообразны.
Если умеете готовить - Микротики.
Если лень возиться, и учитывая невеликие (совсем невеликие) размеры описанных Вами сетей - можно и КИнетики.
2) Убедиться, что все роутеры имеют от провайдеров статические публичные IP адреса. Если нет - докупить у провайдеров соответствующую услугу.
3) Настроить между сетями удалённый доступ через VРN.

Comments

[Rsa97]

> все роутеры имеют от провайдеров статические публичные IP адреса

В принципе, достаточно, чтобы один из роутеров имел статический белый адрес. Но настройка тогда будет несколько сложнее.

[Ecologic]

Спасибо за разъяснения. бюджета на Микротики вряд-ли хватит, на lte свистки и кинетики вполне

Answer 3

[Антон Весельчак]

Используем VPN
Настраиваем Site-to-Site VPN или Zerotier / Tailscale между всеми точками, где есть доступ к роутеру.

Вариант (удобный):
Установи на роутеры прошивку OpenWRT (если TP-Link позволяет), и накатай туда WireGuard VPN или Zerotier.
Вариант (ещё проще):
Поставь Zerotier или Tailscale на обычный ПК или Raspberry Pi, и оставь включенным. Это даст туннель в сеть.

Comments

[Ecologic]

Спасибо за ответ. буду почитать за терминолию

Answer 4

[99insania99]

3-2 организовывать l2tp/ikev2/openvpn соединение. Сейчас даже всякий ширпотреб из коробки позволяет поднять l2tp.
3-1 договариваться с админом на предмет предоставления доступа или организации такового. Настраивается быстро, доступ к нужным узлам сети ограничить через NAT.
Но если вы не являетесь штатным айтишником, то маловероятно что вам дадут такие бэкдоры в сеть

Comments

[Ecologic]

доступ запрашивал. не согласовали братья BEL.
буду изучать за l2tp

[SunTechnik]

Ecologic, если доступ не согласовали, а Вы его организует сами, то есть риск получить большие проблемы.

По сути, Вы взламываете штатные режимы доступа и осуществляете неконтролируемый доступ в инфраструктуру организации. Дальше зависит от фантазии и вредности безопасников. Можно и уголовку пришить...

[Ecologic]

SunTechnik, благодарю за наставления. Есть над чем подумать.

Answer 5

[Dupych]

Во всех 4 офисах и дома стоят микротики.
Во всех офисах разные подсети.
В микротике поднять туннель это 2 строчки.
В офисную сеть хожу как себе домой. Мои сервера мониторят всю сеть и оборудование.
Работает 4 год
Просто и надежно IPSEC

Comments

[Dupych]

Недавно понадобилось VLAN пробросить по Eoip все супер. 2 сети.
Просто и надежно.