Как возможно обратиться к определённому компьютеру сети, если все компы объедены в одной организации в единую локальную сеть?

Question

[Юрий Ерусалимский]

Есть организация, имеющая около сотни компьютеров, объединённых в единую локальную сеть. Все компьютеры подсоединяются к единому многопротовому концентратору, к которому, в свою очередь, так же подведён провод от серверного компьютера, на котором запущен UserGate Proxy & Firewall. Далее, через отдельную сетевую карту сервер соединён с роутером, в который входит витая пара интернета. Таким образом, на сервере имеются две подсети, для роутера (192.168.1.2) и для обработки запросов от остальных компов (192.168.0.1). У всех обычных компов прописано:
1. IP адрес (192.168.0.2...100)
2. Маска подсети (255.255.255.0)
3. Основной шлюз (192.168.0.1)
4. Предпочитаемый DNS-сервер (192.168.0.1)
Прокси не используется (которое обычно активируется через Панель управления -> Свойства браузера -> Подключения -> Настройка сети)

Такова основная конфигурация сети в организации. Можно ли как-то достучаться до отдельного компьютера из локальной сети, если вся сеть в целом извне имеет один единственный, единный статичный IP адрес?

Answer 1

[Владимир Кивва]

Вам нужно просто пробросить порты

Comments

[res2001]

zionkv: Пробросить порты на все компы в сети? Вы серьезно?

[res2001]

SyavaSyava: Действительно, про все компы речи не было.
Юрий Ерусалимский: В общем случае, если доступ нужен к 1-2-3 компам или сервисам, то проброс портов на NAT самое простое решение. Если же нужно больше (например хотите админить сетку удаленно или нужно организовать доступ пользователей ко всем ресурсам внутри сети) - ВПН.

[Владимир Кивва]

res2001: даже пробросить порты на все компы в сети - какой кошмар, написать один цикл, который заполнит табличку правил.

[res2001]

Ну прописать то можно, конечно, но пользоваться этим - кошмар.
К тому же не все можно пробросить - например SMB порты вы сможете пробросить только для одного компа, потому что на другие порты винда ходить не будет. В общем это не вариант для всей сети.
Я, кстати, исправился, после поста SyavaSyava и лайкнул ваш пост.

[Владимир Кивва]

res2001: миу :) Если хотите по SMB "видеть" окружение, то вам нужен l2 тоннель. Через l2tp, либо openvpn в режиме TAP.

[res2001]

Я не хочу, но топикстартер не конкретизирует что ему надо.
Собственно я и предлагал ВПН постом ниже.

Answer 2

[res2001]

Обычно организуют ВПН сервер внутри сети, на который делают доступ из вне, и через ВПН уже имеют доступ к любому компу в сети. OpenVPN например.

Answer 3

[Андрей]

Поскольку "достучаться до внутреннего IP" на самом деле означает "достучаться до конкретного сервиса (порта) на конкретном внутреннем IP", обычно делают NAT-туннель (по другому именуемый "проброс портов").

Из Вашего описания непонятно, выполняет ли Usergate-сервер еще и NAT, либо просто маршрутизацию. Если выполняет NAT, то необходимо решить, нужен ли Вам второй NAT, а если нужен то туннелировать дважды.

Если же Вы хотите отображение ВСЕХ портов одного из внутренних АРМ один-в-один в некий белый IP, то Вам соответственно нужен отдельный (второй) белый IP на этом роутере и проверить, умеет ли он полный NAT (т.н. full-cone NAT)