Людмила1112 Опубликовано 25 Марта 2019 Жалоба Поделиться Опубликовано 25 Марта 2019 Добрый день! Ситуация следующая. Для доступа к сети 2458 двух рабочих мест закуплен Vipnet Coordinator HW 50 B. Документация вся готова, нам передан диск с dst файлом и т.д. Кроме того, на этом диске указаны 5 ip адресов, выделенных для нашей организации из подсети 10.x.x.x. В настоящее время эти два рабочих места находятся в корпоративной сети 192.168.0.0/20 за корпоративным шлюзом и связываются ФИС ФРДО через Vipnet client по старой схеме. Установщик всего этого добра потребовал выделение публичного Ip адреса для Vipnet Coordinator. Вопрос 1: действительно ли это необходимо? Выделение публичного Ip для такого координатора и двух компов, на мой взгляд, слишком жирно... Исходя из документации, вроде бы возможно размещение координатора за шлюзом с NAT (PAT: много приватных адресов транслируются в один публичный). Но NAT динамический, поэтому и спрашиваю. Могу настроить проброс портов. Также настройщик требует изгнание этих двух компов из корпоративной сети и назначение им статических Ip адресов из тех пяти, что написаны на диске. Вопрос 2: Нужно ли им назначать статические адреса из этого диапазона? Зачем тогда Vipnet coordinator? Ведь раньше они прекрасно работали в корпоративной сети и общались с ФИС через Vipnet. Вопрос 3: с таким Vipnet coordinator, насколько понимаю, свою сеть мы создать не сможем? Поясните, пожалуйста, как это всё по уму должно работать. Интересует схема ip адресации клиентов с vipnet client, vipnet coordinator нашего и его выход через шлюз. PS. наш тех отдел должен обеспечить выход этого добра в интернет и сохранить возможность юзеров работать в корпоративной сети, к закупке именно этой модели устройства мы отношения не имеем( Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 25 Марта 2019 Жалоба Поделиться Опубликовано 25 Марта 2019 6 часов назад, Людмила1112 сказал: Для доступа к сети 2458 Правила игры тут устанавливает администратор сети 2458. В соответствии с той моделью угроз, которая для этой сети установлена. Хотите подключаться к данной сети - выполняете правила, не хотите - не подключайтесь. Все, что Вы перечислили, является не техническими ограничениями данной модели координатора, а орг. мерами, установленными администратором сети. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 25 Марта 2019 Жалоба Поделиться Опубликовано 25 Марта 2019 На самом деле надо еще раз внимательно пообщаться на счет требований. Что касается белого ip, вместо DNAT'a из Интернета, то это явно необосновано. В остальном, если требуется ставить HW на границе защищаемой зоны, то придется хосты перетаскивать, при этом можно просто настроить маршрутизацию из одной сети в другую. Если не требуется, то можно HW поставить на одной ноге и на роутере сделать NAT требуемых адресов в локалке в целевые и завернуть в HW при обращении к ресурсам ФРДО, но это конечно фантастический вариант в том плане, что с вероятностью 99% так делать не разрешат. Но и та и другая схема пойдет по ветру, если HW вам управлять не дадут и откажутся настраивать транзитные фильтры. В таком случае придется полностью подчиниться тому, что они хотят. 7 часов назад, Людмила1112 сказал: Вопрос 3: с таким Vipnet coordinator, насколько понимаю, свою сеть мы создать не сможем? А вот этот вопрос не понятен. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Людмила1112 Опубликовано 25 Марта 2019 Автор Жалоба Поделиться Опубликовано 25 Марта 2019 По поводу вопроса 3: наша модель координатора не поддерживает многие функции. Из "Общего описания": "В исполнениях с одним дисковым накопителем (HW50 N1, N2, N3 и HW100 X1, X8) не поддерживаются функции шлюзового координатора (см. глоссарий, стр. 86) и транспортного сервера ". Исходя из прочитанного, я предполагаю, что для построения в будущем своей защищенной сети данная модель координатора непригодна( Данный координатор будет в нашем полном распоряжении после настройки. Настройщик видел эту железку впервые, поэтому и возникли вопросы по поводу его требований (и компетентности). В идеале этим двум рабочим станциям и хотелось прописать отдельный маршрут, чтоб при необходимости доступа в защищенную сеть они лезли на координатор. Все эти вопросы возникают по следующей причине: эти две рабочие станции прекрасно работали с ФИС ФРДО с использованием только Vipnet client, при этом находились в корпоративной сети, и все было благополучно. Тут этот отдел переходит на новую более совершенную схему, которая, по их словам, открывает новые чудесные возможности . Закупается координатор. В итоге плюсов ноль, компы должны покинуть нашу сеть, а этим сотрудникам теперь нужны дополнительные компы, чтоб была связь с корпоративной сетью. Непонятно, зачем тогда вообще этот координатор (именно эта урезанная по функциям модель). Поясните, пожалуйста, если кто знает! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 26 Марта 2019 Жалоба Поделиться Опубликовано 26 Марта 2019 5 часов назад, Людмила1112 сказал: Исходя из прочитанного, я предполагаю, что для построения в будущем своей защищенной сети данная модель координатора непригодна( Да, это так. 5 часов назад, Людмила1112 сказал: Данный координатор будет в нашем полном распоряжении после настройки. В таком случае можете смело перенастроить по схеме на одной ноге, если это не будет противоречить подписанным докуменам. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
alexgrf Опубликовано 18 Апреля 2023 Жалоба Поделиться Опубликовано 18 Апреля 2023 Добрый день, Я работаю по подключен к защищенной сети передачи данных № 2458 и у меня все работает ФРДО СПО и ФРДО ДПО, имеет ли необходимость мне подключатся к защищенной сети передачи данных № 3608 для чего эта сеть? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.