Задать вопрос
BostonGeorge
@BostonGeorge
Айтишник и юрист

Как разделить WAN по IP адресам?

Здравствуйте, друзья!
Имеется офисная сеть, организованная по следующей схеме:
96b3a6f6d79d49beb06842f232dce0b7.jpg
Хотим иметь отдельный доступ к видеонаблюдению извне. Отдельный, то есть не связанный с офисной сетью, чтобы в случае получения доступа к видеонаблюдению злоумышленника, он не смог заодно попасть и внутрь офисной сети.

То, что придумали на сегодняшний день, выглядит следующим образом:0d6322c5677e4ca08994347722c78305.jpg

У нас два интернет-провайдера на случай перебоев с одним из них. Провайдера 1 не трогаем, у провайдера 2 заказываем второй IP-адрес, собираем то, что представлено на втором рисунке (после замены чем-то рабочим блока "Что-то") и отключаем коммутатор офисной сети от коммутатора видеонаблюдения. Логика следующая: доступ к видеонаблюдению будем осуществлять по второму ip-адресу провайдера 2, для остальной сети ничего не изменится (её защита обеспечивается уже дальше - маршрутизатором и прокси-сервером). Ну и соответственно, чтобы не забивать интернет-канал, доступ к видеонаблюдению из внутренней сети тоже должен осуществляться не "через интернет", а внутри блока "Что-то".

Следовательно, блок "что-то" должен:
1. На вход WAN получать поток с 2 ip адресами и разделять его на 2 LAN выхода (на каждый LAN свой ip)
2. Уметь пробрасывать порты. Видимо, это уже будет роутер, на WAN которого будет приходить шнурок с ip адресом для видеонаблюдения. Желательно ещё, чтобы он пробрасывал порты только для набора ip-адресов, с которых к нему осуществляется доступ, а остальным ip-адресам "отказывал".
3. Проводить обмен данными между сетями внутри себя, а не "через интернет".

Блоком "Что-то" можно заменить и наш маршрутизатор, если это будет правильнее.
Подскажите, пожалуйста, какое оборудование, или набор оборудования нам нужно купить, и где искать необходимые настройки?

Спасибо!
  • Вопрос задан
  • 1421 просмотр
Подписаться 1 Оценить 3 комментария
Пригласить эксперта
Ответы на вопрос 6
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
Как разделить WAN по IP адресам?
Маршруты и файервол.
Подскажите, пожалуйста, какое оборудование, или набор оборудования нам нужно купить
Никакое.
Ответ написан
@VitGun
А чем VPN с авторизацией по сертификату не угодил?
Ответ написан
Мне кажется все гораздо проще можно сделать, тем более у вас стоит микротик. Посмотрите в сторону DMZ, мне кажется это именно то, что вам нужно, в микротике настраивается на раз, в гугле много информации.
Ответ написан
BostonGeorge
@BostonGeorge Автор вопроса
Айтишник и юрист
Alex Suvoroff: Огромное спасибо за ответ! Есть ещё один момент: всё, что поступает на маршрутизатор, перенаправляется на прокси, где почти всё и запрещается, в том числе и наш выход на видеонаблюдение, поэтому из того, что было в наличии, собрали вот такую схемуac68c100c36843768ed16494b3d11fe8.jpg

Как думаете, будет правильно работать? Естественно, с учётом Вашего замечания о правиле дополнительного маршрута, т.е. к видеонаблюдению из внутренней сети будем обращаться только через порт маршрутизатора, соответствующий IP1
Ответ написан
dushako
@dushako
IT
Я бы смотрел в сторону настройки VLAN'ов. Видеонаблюдение - в одном VLAN'е, офисная сеть - в другом. К тому же, оборудование ваше VLAN (в том числе 802.1q) поддерживает.

P.S. А чтобы из офисной сети потом иметь доступ к просмотру видеонаблюдения, обращаемся к видеосерверу по внешнему IP, используя "обратную петлю" (loopback).
d1d2b2b068244427b4108fc3b7485fe1.jpg
Ответ написан
@nApoBo3
Коммутировать второй коммутатор к маршрутизатору. Настроить на маршрутизаторе фаервол и роутинг.
Есть два варианта атаки, первая атака периметра, т.е. попытка получить контроль над маршрутизатором извне, вторая атака на сервисы за "границей" маршрутизатора. Если вы хотите обезопасить сеть и полагаете, что сервисы в сети видеонаблюдения могут быть уязвимы, то следует относиться к ней как не доверенной сети и соответствующим образом настроить фаервол( т.е. считать, что это второй такой же интернет ).
Но не следует забывать, что получив доступ к сети видеонаблюдения, злоумышленник может использовать весьма изощренную атаку основанную на данных видеонаблюдения, начиная от подсмотра паролей, заканчивая хитрой социальной инженерией.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы