Василий Назаров, хмм. Может и что пропустил, неюрист, спорить не буду. Но все «знакомые» с проблемами, или кидаловом, с ооо без проблем съехали. В отличии от ИПшников
Александр, выставьте в конфиге клиента - шлюз впн по умолчанию. И весь трафф туда пойдет
Либо выставьте запрет - тогда туда пойдет только инфа для нужного маршрута
d-stream, ну это не мое дело, квалификация, я и так знаю как от них защищаться)
хотя если личное мнение - она у них так себе, не в обиду, не их вина, что этим у нас не занимаются и их не учат нормально.
я как раз хотел бы получить ответ удастся или нет им что то сделать, так как это интересно для всех сторон
lazix, писал с тел, поэтому лень расписывать было.
Смысл такой, как я делал.
Выделяем порт на микротике под гостевой инет. настраиваем на нем отдельную подсеть, NAT, всё необходимое.
Выделяем порт (бридж) под локальную сеть, так же всё настраиваем
Далее - если роутер умеет 2 и более локалок, умеет делить интерфейсы как микротик, можно просто подцепить 2 патчкорда, и далее (создав 2 вифи сети), закинуть их в бриджи
Тоесть Гостевой вифи+ гостевой входящий объединить в бридж (на томато)
Тож самое с основной сетью (на томато)
Не забыть прописать на ether интерфейсы томато IP адреса из нужных подсетей соответственно.
Вариант 2 - если соединять 1 кабель, и если томато умеет VLAN.
По настройкам микр ниче не меняется, только добавляется в интерфейсах VLAN с привязкой к гостевому интерфейсу (он может быть физический, виртуальный, бридж... итд)
Выглядит это так. На микр создаем гостевой интерфейс, создаем влан, объединяем их в бридж.
Далее во вкладке вланов привязываем созданный влан к интерфейсу ЛОКАЛЬНОЙ сети
Пихаем кабель из микр > томато в порт для локальной сети
На томато. Так же создаем 2 вифи, 1 привязываем к интерфейсу лок сети, второй создаем отдельно и назначаем ему номер влана, созданного на мироктике.
В итоге имеем по одному кабелю 2 разных подсети, которые полностью управляются с микротика
RIBAdminio, насчет литературы - не подскажу. я всё изучал сам, фактически по месту первой работы(обслуживание юр лиц, в конторе работал), остальное гугл, и поднятие дома виртуалок, с последующей настройкой.
В телефоне все конечно немного по другому, но общая схема ВСЕГДА такая, если Вы не просите у провайдера другую.
Телефон (роутер) > ближ шлюз порвайдера (баз станция(телефон), свитч на доме(если дом инет) ) > основной шлюз провайдера ( на котором он делает masquarade Вашего траффика) > интернет
У провайдера ограниченное число белых IP , поэтому почти все юзеры выходят в инет через одинаковый белый IP (понятно что они делятся по сегментам, но по сути так). К примеру у моего провайдера на 1 то ли многоэтажный дом, то ли "район" - 1 белый IP (у нас 600 квартир на секундочку, только в нашем доме)
Шлюз провайдера помимо пуска Вас в инет выступает в роли firewall. И по умолчанию работает по схеме - любой траффик выпускаем, но никого внутрь не пускаем(так же настроены дом роутеры с завода)
Исходя из всего этого , даже если ломиться на белый IP , который вам покажет к примеру сайт 2ip или speedtest, злоумышленник в первую очередь попадет на firewall на шлюзе провайдера, который пошлет его нахрен... если только Вы не купили услугу "белый IP", тогда шлюз переадресует запрос на купленный Вами адрес, а дальше уже ваша задача, знать что с таким запросом делать.
Еще коммент про програмиста. Его задача писать программы, и не думать про настройки серверов. Поэтому в настройках его компетенция минимальна. Обычно программеры не знают как что и где настраивается. они в ИТ лопухи
Это прямая задача сисАдинистратора. Сделать "просьбу" по поводу например удаленки, но сделать это безопасно и на своих "правилах"
lazix, ну если один сервер
В роутинге можно было отсечь всё, кроме опр ip (сервера к примеру), если я не ошибаюсь
Или выключить прокси арп и написать маршрут только до сервера, а не для все подсети(тут не уверен)