Jump to content

Recommended Posts

Добрый день! Ситуация следующая. Для доступа к сети 2458 двух рабочих мест закуплен Vipnet Coordinator HW 50 B. Документация вся готова, нам передан диск с dst файлом и т.д. Кроме того, на этом диске указаны 5 ip адресов, выделенных для нашей организации из подсети 10.x.x.x. В настоящее время эти два рабочих места находятся в корпоративной сети 192.168.0.0/20 за корпоративным шлюзом и связываются ФИС ФРДО через Vipnet client по старой схеме.

Установщик всего этого добра потребовал выделение публичного Ip адреса для Vipnet Coordinator.

Вопрос 1: действительно ли это необходимо? Выделение публичного Ip для такого координатора и двух компов, на мой взгляд, слишком жирно... Исходя из документации, вроде бы возможно размещение координатора за шлюзом  с NAT (PAT: много приватных адресов транслируются в один публичный). Но NAT динамический, поэтому и спрашиваю. Могу настроить проброс портов.

Также настройщик требует изгнание этих двух компов из корпоративной сети и назначение им статических Ip адресов из тех пяти, что написаны на диске.

Вопрос 2: Нужно ли им назначать статические адреса из этого диапазона? Зачем тогда Vipnet coordinator? Ведь раньше они прекрасно работали в корпоративной сети и общались с ФИС через Vipnet.

Вопрос 3: с таким Vipnet coordinator, насколько понимаю, свою сеть мы создать не сможем?

Поясните, пожалуйста, как это всё по уму должно работать. Интересует схема ip адресации клиентов с vipnet client, vipnet coordinator нашего и его выход через шлюз.

PS. наш тех отдел должен обеспечить выход этого добра в интернет и сохранить возможность юзеров работать в корпоративной сети, к закупке именно этой модели устройства мы отношения не имеем(

Share this post


Link to post
Share on other sites
6 часов назад, Людмила1112 сказал:

Для доступа к сети 2458

Правила игры тут устанавливает администратор сети 2458. В соответствии с той моделью угроз, которая для этой сети установлена. Хотите подключаться к данной сети - выполняете правила, не хотите - не подключайтесь.

  Все, что Вы перечислили, является не техническими ограничениями данной модели координатора, а орг. мерами, установленными администратором сети.

Share this post


Link to post
Share on other sites

На самом деле надо еще раз внимательно пообщаться на счет требований. Что касается белого ip, вместо DNAT'a из Интернета, то это явно необосновано.

В остальном, если требуется ставить HW на границе защищаемой зоны, то придется хосты перетаскивать, при этом можно просто настроить маршрутизацию из одной сети в другую. Если не требуется, то можно HW поставить на одной ноге и на роутере сделать NAT требуемых адресов в локалке в целевые и завернуть в HW при обращении к ресурсам ФРДО, но это конечно фантастический вариант в том плане, что с вероятностью 99% так делать не разрешат. Но и та и другая схема пойдет по ветру, если HW вам управлять не дадут и откажутся настраивать транзитные фильтры.

В таком случае придется полностью подчиниться тому, что они хотят.

7 часов назад, Людмила1112 сказал:

Вопрос 3: с таким Vipnet coordinator, насколько понимаю, свою сеть мы создать не сможем?

А вот этот вопрос не понятен.

 

photo_2019-03-25_10-15-10.thumb.jpg.fafbd05cf7b1ffb72c49f8e29282fb29.jpg

Share this post


Link to post
Share on other sites

По поводу вопроса 3: наша модель координатора не поддерживает многие функции. Из "Общего описания": "В исполнениях с одним дисковым накопителем (HW50 N1, N2, N3 и HW100 X1, X8) не поддерживаются функции шлюзового координатора (см. глоссарий, стр. 86) и транспортного сервера ". Исходя из прочитанного, я предполагаю, что для построения в будущем своей защищенной сети данная модель координатора непригодна(

Данный координатор будет в нашем полном распоряжении после настройки. Настройщик видел эту железку впервые, поэтому и возникли вопросы по поводу его требований (и компетентности).

В идеале этим двум рабочим станциям и хотелось прописать отдельный маршрут, чтоб при необходимости доступа в защищенную сеть они лезли на координатор.

Все эти вопросы возникают по следующей причине: эти две рабочие станции прекрасно работали с ФИС ФРДО с использованием только Vipnet client, при этом находились в корпоративной сети, и все было благополучно. Тут этот отдел переходит на новую более совершенную схему, которая, по их словам, открывает новые чудесные возможности . Закупается координатор. В итоге плюсов ноль, компы должны покинуть нашу сеть, а этим сотрудникам теперь нужны дополнительные компы, чтоб была связь с корпоративной сетью. Непонятно, зачем тогда вообще этот координатор (именно эта урезанная по функциям модель). Поясните, пожалуйста, если кто знает!

 

Share this post


Link to post
Share on other sites
5 часов назад, Людмила1112 сказал:

Исходя из прочитанного, я предполагаю, что для построения в будущем своей защищенной сети данная модель координатора непригодна(

Да, это так.

5 часов назад, Людмила1112 сказал:

Данный координатор будет в нашем полном распоряжении после настройки.

В таком случае можете смело перенастроить по схеме на одной ноге, если это не будет противоречить подписанным докуменам.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.