#

вопросы:
- а почему не пробросить кабель? (это в тундре?)
- что еще можно поднять в локалке? я VPN поднимал только на MS ISA (то есть всегда внешний ip и весь фарш), но смутно подозреваю, что можно изнутри создать VPN туннель в какое-то-всем-удобное-место (типа VPS или сервера в штаб-квартире)... или поднять внутри клиент https://ngrok.com (при условии что трафик небольшой, и тусовка с портами не слишком сложная)

dotnet core rsignal смотрели? если нет, рекомендую

на сколько глубоко?
https://ru.wikipedia.org/wiki/%D0%A2%D1%80%D0%B0%D...
https://ru.wikipedia.org/wiki/%D0%A0%D0%B5%D0%B7%D...
https://ru.wikipedia.org/wiki/%D0%94%D0%B8%D0%BE%D...
или
https://ru.wikipedia.org/wiki/%D0%91%D0%B8%D0%BF%D...
https://ru.wikipedia.org/wiki/%D0%9F%D0%BE%D0%BB%D...
или
https://ru.wikipedia.org/wiki/%D0%90%D1%81%D1%81%D...
https://ru.wikipedia.org/wiki/%D0%90%D1%80%D1%85%D...
https://ru.wikipedia.org/wiki/%D0%9E%D0%BF%D0%B5%D...
.. все знания открыты... ну или все, достаточные для развития

комп с ТИ должен иметь адреса во всех vlan. дальше дело техники

upd точнее ТИ должен пропускать сквозь себя весь трафик. обычно это значит иметь 2 карты - wan и lan.

на vlan, в теории, один vlan можно выделить для канала между ТИ и циской, остальные для дробления lan.

Т.Е. на карточки должны VLAn поддерживать ?

а как еще иначе вы можете использовать vlan?

посмотрите еще https://www.infowatch.ru/products/traffic_monitor

у провайдера вообще не о том голова болит, если реально большой трафик. его оборудование обслуживает запросы по мере поступления и либо справляется с ними, либо не очень. а при просмотре видео, в действительности, стратегию подкачки выстраивает плеер. точнее кодеры, которые его писали

Пытался настроить сервер 2012 в VM и подключить 2 ПК,но что то пошло не так.

плз, подробнее о схеме сети:
- все ли компы виртуальные?
- если нет, имеется ли роутер в физической сети? его ip и ip машины хоста гипервизора VM в студию плз
- на виртуальных машинах NAT или Bridge? upd надо Bridge точнее надо плясать от цели и подробностей конфигурации. для виртуального макета может и как раз virt only /upd (но это далеко не все.. остальное зависит от подробностей по всем пунктам)

PS

ХР айпишник не получает у вас..

у "7" тоже откровенный левак..
но самое главное:
- если контроллер на VM, то где клиенты?
- каковы настройки VM в части сети?
.. и это только начало разговора, врядли короткого

.. или просто - поднять VPN

1 - изучите особенности подключения своего провайдера. если используются логин/пароль или привязка по MAK - забудьте о всех сомнениях. 2 одинаковых мака в одной сети не живут, а логин и пароль еще надо суметь украсть
2 - в любом случае работайте со службой поддержки провайдера. даже если они ленивые и тупые, что бывает, все равно - реальные проблемы, реально вы сможете и найти и решить, только совместно с ними

upd все еще веселее - у вас либо динамический ip, либо купленный статический, в любом случае билинг (начисление счетов) ведется по конкретному ip, а халявщик не сможет иметь собственный трафик на том же ip, только зеркалировать ваш трафик. вопрос о врезке актуален скорее в плане информационной безопасности - у вас есть секреты? такие, в погоне за которыми кто то был бы рад тратить усилия? если нет - расслабьтесь ))

upd 2 обезопасьте ваш роутер - смените логин/пароль админа если они дефолтные, запретите подключения с wan порта, изучите логи сеансов - и все прояснится

upd 3 если внимательно перечитать статью, все ваши опасения решаются в 5 минут телефонной беседы с сапортом провайдера

vpn да, но и не единственный вариант*. по сути вам надо что бы ноут работал роутером. тут нет ни чего невозможного. даже ни какой магии. только базовый ликбез

начнем с того, что

сервер с белым айпи и открытыми нужными портами для работы терминала

может быть и не нужен (с большой вероятностью, если не хотите брать у МТС фиксированный ip)

начните с более простого решения (при условии понимания базовых вещей) допустим - https://ngrok.com/ (бесплатно, но без гарантии скорости и трафика.. по опыту, для малого трафика - выше крыши)
что бы опубликовать порты терминала, вам надо, что бы его локальный адрес тоже был фиксированным, остальное дело техники (и чтения+понимания инструкций)

добейтесь результата - доступа к терминалу "из вне".. а дальше, думаю вам все станет на много понятнее, и проще будет выбрать оптимальное решение

upd по моему твердому убеждению, через ngrok, проще получить первый рабочий макет. после чего, будет понятно - ноут=роутер, ngrok="внешний сервер" (напомню, бесплатный).. набив руку, при наличии профита с этой связки, сможете приобрести именно роутер с фишками сотовой связи и правильно настроить свой внешний сервер (ну или продолжать юзать ngrok)

upd 2 * - вообще, основная задача vpn не роутить, а прятать контент трафика, возможность сложного роутинга, там лишь вторичное свойство

https://www.google.com/search?q=%D0%93%D0%B4%D0%B5...

https://www.google.com/search?q=%D1%80%D1%8B%D0%BD...

Суть в том что как я понимаю "общаются" панель и контроллер между собой по своему протоколу PROFINET IO. Но там ведь тоже есть ip адреса?

не факт. см https://ru.wikipedia.org/wiki/PROFINET

слова про

В PROFINET, существует две перспективы PROFINET CBA и PROFINET IO. PROFINET CBA подходит для компонентов на основе связи через TCP / IP, а PROFINET IO используется для общения в режиме реального времени с требованиями в модульных инженерных системах. Обе коммуникационные возможности можно использовать параллельно.

навевают мне мысли, что ваши предположения могут быть не верны в корне

начальный ликбез тут - https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D...

айпи адресация - уровень 3 (а все основные протоколы - вообще 4), а мак - 2. что означает возможность, построить свою сетевую логику. а для Сименса это вполне ожидаемо

далее.. для такой системы, поставка в эксплуатацию .. без документации?.. и без доступа с к службе поддержки?...

кхм... вы хотите на халяву хакнуть свой ВУЗ?.. боюсь не тот случай.. (а если тот, то с некоторой вероятностью, он подпадает под УК)

вряд ли вам стоит искать помощь тут

ps ни чего не напоминает? ;))) https://ru.wikipedia.org/wiki/Stuxnet .. да да.. центрифуги были от Сименса

192.168.0.102

локальный ip, и не может быть доступен на прямую вне пределов сети вашего роутера. начальный либез тут https://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%82%D... и тут https://ru.wikipedia.org/wiki/%D0%9B%D0%BE%D0%BA%D...

Есть только ПК, являющийся шлюзом 192.168.0.1

он не при делах внутри сети

Как одному из компьютеров дать доступ ТОЛЬКО к одному ip из этой подсети?

1 - можно настроить в ручную адреса на целевом компе:
- для его собственной работы, в ручную прописать правильные ip, шлюз и днс (проследить что бы ip, был вне диапазона DHCP, а то рано или поздно произойдет конфликт адресов и сбой сети)
- прописать на нем же второй адрес из другой подсети, допустим 192.168.10.1/24
- на компе подвергаемом ограничениям, только один адрес, допустим 192.168.10.2/24, шлюз и днс не обязательны, ибо их в этой подсети нет
.. возможно придется повозиться с настройками сетей - вторичная сеть должна быть частной у обоих компов, иначе ни чего не заработает. может потребоваться использование фала hosts. в общем место для творчества наверняка найдется

2 - если сетевые карты всех компов поддерживают vlan - изучить что это такое и развести по vlan

в любом случае самообразованием заниматься придется. но все решаемо

ps - но если пользователь грамотный - это все будет в пустую (... или права урезать? смотреть надо)

upd исправлена копипаста! (доп.сеть - 192.168.10.*)

pps - а вообще - какая цель? может все гораздо проще?
- доступ к файловым ресурсам и принтерам, можно развести по юзернеймам/паролям. свободные шары запретить
- выход в интернет забанить персонально на шлюзе. гугл в помощ по ПО шлюза, но если там просто винда - своего фаервола за уши хватит для бана конкретного ip. просто на арестанте придется ставить фиксированный ip что бы все работало
... ну или смотрите сами что проще

RFC - https://tools.ietf.org/html/rfc1918

upd действительно, ответ DevMan (еще точнее каменты к нему) дополняет в части

Почему эти диапазоны находятся так далеко?

тут довольно наглядное пояснение www.vlsm-calc.net/ipclasses.php?lang=ru

байка про пентагон не срабатывает ;))

классность сети определяется не только длинной маски, но и битовой структурой первого октета, что очевидно удобно для программного анализа принадлежности адреса к классу, при маршрутизации. а видимое на глаз расхождение длины маски 172.16.0.0/12 и 192.168.0.0/16 с заявленными классами, на самом деле таковым не является - оба диапазона рекомендованы как наборы сетей классов B и C соответственно, но не как полностью доступные диапазоны:

не 172.16.0.0/12 - а 16 сетей с 172.16.0.0/16 по 172.31.0.0/16
не 192.168.0.0/16 - а 256 сетей с 192.168.0.0/24 по 192.168.255.0/24

но и ни кто не запрещает нарушать данные рекомендации используя эти сети не строго B и C. так же как и 10.0.0.0/8 сплошь и рядом, используется для разбиения крупных корпоративных сетей, на гораздо более мелкие сегменты

если у вас сервисы на разных портах - проще на обычном роутере развести пробросы портов, на разные внутренние ip. совпадающие порты можно сдвинуть на внешнем интерфейсе. если сервисов не много, это будет гораздо проще, быстрее и дешевле. и можно обойтись одним именем

В данный офис сотрудники офисного центра завели канал связи с ip 10.x.x.x

это уже интранет.
проброс невозможен, точнее говоря возможен, но только двойной* проброс - вам надо пробросить порты с роутера на целевую машину у себя в офисе + уговорить офисных ИТ на проброс протов с их роутера на ваш офисный (что обычно мало вероятно).
самостоятельно вы можете использовать два способа:
- VPN через внешний хост, либо свой (есть у гугла пожизненно бесплатный вариант, читать тут и пробовать, или покупать vps) upd если дома можно поднять внешний ip, тогда VPN хост можно и дома поднять
- https://ngrok.com просто, бесплатно, но с умеренным лагом. все однопортовые протоколы (http, rdp, ssh) настраиваются просто, а вот ftp, к примеру, оказывается использует динамические порты после авторизации. мне не удалось настроить

ps * - если офисный комплекс большой, 10.x.x.x может быть порублена на подсети, тогда в цепочке может быть более двух (один ваш и один реально выходящий в интернет точно уже два) маршрутизаторов. можно проверить командой tracert, если у офисников разрешены пинги роутеров, вы увидите всю интранетовскую цепочку

если винда принципиально основная платформа, ответ напрашивается сам собой onedrive