Требования по организации сети для подключения к сети 2458 через Vipnet Coordinator HW 50 B

[Людмила1112]

Добрый день! Ситуация следующая. Для доступа к сети 2458 двух рабочих мест закуплен Vipnet Coordinator HW 50 B. Документация вся готова, нам передан диск с dst файлом и т.д. Кроме того, на этом диске указаны 5 ip адресов, выделенных для нашей организации из подсети 10.x.x.x. В настоящее время эти два рабочих места находятся в корпоративной сети 192.168.0.0/20 за корпоративным шлюзом и связываются ФИС ФРДО через Vipnet client по старой схеме.

Установщик всего этого добра потребовал выделение публичного Ip адреса для Vipnet Coordinator.

Вопрос 1: действительно ли это необходимо? Выделение публичного Ip для такого координатора и двух компов, на мой взгляд, слишком жирно... Исходя из документации, вроде бы возможно размещение координатора за шлюзом  с NAT (PAT: много приватных адресов транслируются в один публичный). Но NAT динамический, поэтому и спрашиваю. Могу настроить проброс портов.

Также настройщик требует изгнание этих двух компов из корпоративной сети и назначение им статических Ip адресов из тех пяти, что написаны на диске.

Вопрос 2: Нужно ли им назначать статические адреса из этого диапазона? Зачем тогда Vipnet coordinator? Ведь раньше они прекрасно работали в корпоративной сети и общались с ФИС через Vipnet.

Вопрос 3: с таким Vipnet coordinator, насколько понимаю, свою сеть мы создать не сможем?

Поясните, пожалуйста, как это всё по уму должно работать. Интересует схема ip адресации клиентов с vipnet client, vipnet coordinator нашего и его выход через шлюз.

PS. наш тех отдел должен обеспечить выход этого добра в интернет и сохранить возможность юзеров работать в корпоративной сети, к закупке именно этой модели устройства мы отношения не имеем(

[zero]

6 часов назад, Людмила1112 сказал:

Для доступа к сети 2458

Правила игры тут устанавливает администратор сети 2458. В соответствии с той моделью угроз, которая для этой сети установлена. Хотите подключаться к данной сети - выполняете правила, не хотите - не подключайтесь.

  Все, что Вы перечислили, является не техническими ограничениями данной модели координатора, а орг. мерами, установленными администратором сети.

[R.Sheyn]

На самом деле надо еще раз внимательно пообщаться на счет требований. Что касается белого ip, вместо DNAT'a из Интернета, то это явно необосновано.

В остальном, если требуется ставить HW на границе защищаемой зоны, то придется хосты перетаскивать, при этом можно просто настроить маршрутизацию из одной сети в другую. Если не требуется, то можно HW поставить на одной ноге и на роутере сделать NAT требуемых адресов в локалке в целевые и завернуть в HW при обращении к ресурсам ФРДО, но это конечно фантастический вариант в том плане, что с вероятностью 99% так делать не разрешат. Но и та и другая схема пойдет по ветру, если HW вам управлять не дадут и откажутся настраивать транзитные фильтры.

В таком случае придется полностью подчиниться тому, что они хотят.

7 часов назад, Людмила1112 сказал:

Вопрос 3: с таким Vipnet coordinator, насколько понимаю, свою сеть мы создать не сможем?

А вот этот вопрос не понятен.

 

[Людмила1112]

По поводу вопроса 3: наша модель координатора не поддерживает многие функции. Из "Общего описания": "В исполнениях с одним дисковым накопителем (HW50 N1, N2, N3 и HW100 X1, X8) не поддерживаются функции шлюзового координатора (см. глоссарий, стр. 86) и транспортного сервера ". Исходя из прочитанного, я предполагаю, что для построения в будущем своей защищенной сети данная модель координатора непригодна(

Данный координатор будет в нашем полном распоряжении после настройки. Настройщик видел эту железку впервые, поэтому и возникли вопросы по поводу его требований (и компетентности).

В идеале этим двум рабочим станциям и хотелось прописать отдельный маршрут, чтоб при необходимости доступа в защищенную сеть они лезли на координатор.

Все эти вопросы возникают по следующей причине: эти две рабочие станции прекрасно работали с ФИС ФРДО с использованием только Vipnet client, при этом находились в корпоративной сети, и все было благополучно. Тут этот отдел переходит на новую более совершенную схему, которая, по их словам, открывает новые чудесные возможности . Закупается координатор. В итоге плюсов ноль, компы должны покинуть нашу сеть, а этим сотрудникам теперь нужны дополнительные компы, чтоб была связь с корпоративной сетью. Непонятно, зачем тогда вообще этот координатор (именно эта урезанная по функциям модель). Поясните, пожалуйста, если кто знает!

 

[R.Sheyn]

5 часов назад, Людмила1112 сказал:

Исходя из прочитанного, я предполагаю, что для построения в будущем своей защищенной сети данная модель координатора непригодна(

Да, это так.

5 часов назад, Людмила1112 сказал:

Данный координатор будет в нашем полном распоряжении после настройки.

В таком случае можете смело перенастроить по схеме на одной ноге, если это не будет противоречить подписанным докуменам.

[alexgrf]

Добрый день,

 

Я работаю по подключен к защищенной сети передачи данных № 2458 и у меня все работает ФРДО СПО и ФРДО ДПО,

 

имеет ли необходимость мне подключатся  к защищенной сети передачи данных № 3608 для чего эта сеть?