Две разные сети

[kubiq]

Две разные сети

Столкнулся с проблемой на предприятии.
Есть два канала: первый защищенный контур, в который лезть нельзя и нельзя, чтобы компы двух сетей видели друг друга и нельзя никакие делать vlan. И вторая сеть с обычным интернетом. Микротик и умный коммутатор.
Ранее организация сидела вся на защищенном канале, есть сетевая папка на основном компьютере на котором работают и как позже выяснилось, там же лежит база бухгалтерии.
Компьютер 1 остается в защищенном контуре первого канала, а второй(который с папкой) в обычном инете. Как вы понимаете, бухгалтерская программа осталась без БД, так как она не видит компьютер 2.
По началу думал ставить ноутбук пользователю с защищенным контуром, через wifi присоединить его к компьютеру 2, все прекрасно видится и работается, а оказывается, есть два нюанса - первый это то, что на компьютере, который в защищенном сегменте работают в программе, из которой будут брать данные, которая сейчас не работает, соответственно копипаст уже не будет работать и плюсом у человека один принтер, а один принтер на две машины я не подключу, т.к. подсети разные. В итоге получаем, что вариант с ноутбуком не получается.
Думаю уже пойти на крайние меры - заказывать белый ип, папку с БД выпускать в сеть через какой нибудь ftp сервис и чтобы компьютер 1 через сеть обращался с БД. Да, будут заморочки, как папку расшарить в сеть и как настроить микротик я не знаю и помимо этого организовывается уязвимость в сети.
Что подскажете?

 

[Smith]

для начала нарисовать топологию.

 

[kubiq]

Прикрепляю карту

 

[Smith]

хорошая схема. теперь чо надо сделать? в виде "допустим ГБ -> Кассир:порт". ну и какое железо под вашим управлением?

 

[kubiq]

Под управление L3 коммутатор который на канале 1. Что за ним неизвестно какое оборудование. Но там стоит на уровне провайдера и циско и шифрование.
Второй канал пока не под моими настройками, но могу забрать себе.
Зa VLAN даже не знаю, совмещать его с защищенным контуром может быть опасно.

 

[Smith]

чо сделать то надо? пустить комп 1 в сетку за микротом?

для начала я советую обратится к документации: политика информационной безопасности компании\учреждения, проконсультироваться со старшими одминами.

простейший вариант - воткнуть в комп1 еще сетевуху и сунуть ее в микротик. на микротике настроить жесткий фаерволл.
можно и по сложнее - допустим если на комп1 есть выход в интернет - поднять впн туннельчик на микрот, получать там адресок, настроить маршрутизацию. физически развязаны. но все упрется в скорость интернетов.

 

[kubiq]

чо сделать то надо? пустить комп 1 в сетку за микротом?

не знаю даже, что там надо сделать. vlan или второй ноутбук ставить и бубном плясать.

для начала я советую обратится к документации: политика информационной безопасности компании\учреждения, проконсультироваться со старшими одминами.

я и есть старший. старший и младший в одном лице. и понимаю, ответственность перед безопасностью.

простейший вариант - воткнуть в комп1 еще сетевуху и сунуть ее в микротик. на микротике настроить жесткий фаерволл.

прокладка еще одного кабеля проблемна очень будет. Может как вариант расшить UTP? Каким образом будет настраиваться коммутация в микротике? Я никогда с ним не работал

 

[Smith]

У вас есть некий защищенный контур, его ктото защищает и настраивает. Соответственно эти люди и ответственны за ИБ политику. Уточните у них. Навключать и понастроить дело не долгое.

 

[kubiq]

Что у них спрашивать? БД в сеть кидать нельзя это будет только наша ответственность.
Узнают, что хоть один компьютер из другой сети будет видеть другой - будут возникать.
Возможно ли развернуть vlan на микротике путем расшития витой пары в коммутационном шкафе, настройке шлюза и задав определенный порт, а на компьютер один будет подключатся полноценная витая пара через которую будет идти защищенный контур и открытый порт компьютера 2 через который будет БД загружаться?

 

[Smith]

Такие решения принимать не вам. их надо согласовать с руководством.

Не пойму что вы привязались к vlan? Вы знаете, что это такое и как этим пользоваться?

Возможно ли развернуть vlan на микротике путем расшития витой пары в коммутационном шкафе, настройке шлюза и задав определенный порт, а на компьютер один будет подключатся полноценная витая пара через которую будет идти защищенный контур и открытый порт компьютера 2 через который будет БД загружаться?

а вот это вообще какой-то сумбур.

если нельзя физически связывать 2 компьютера - используйте l2tp ipsec vpn. простейшее средство. на компе, что в контуре, если есть выход в инет настраиваете подключение, поднимаете сервер на микротике(должен быть белый статичный ip). на самом микротике пилите точные правила пакетного фильтра.

если возьмете на себя ответственность за физическое соединение - ставите вторую сетевуху в комп и тащите витуху к микроту ну или ставите драйвера на сетевуху и разрешаете на ней о боже vlan! на свитче который якобы l3(а вы знаете что это значит?) прописываете taged интерфейс к компу и untaged еще какойнить порт. этот порт соединяете с микротом.

 

[kubiq]

Связывание двух сетей вместе - это уже крайние меры будут, но, что поделать...

Возможно, остановлюсь на варианте с VPN на компьютере с БД и через интернет уже ее раздавать.

если возьмете на себя ответственность за физическое соединение - ставите вторую сетевуху в комп и тащите витуху к микроту ну или ставите драйвера на сетевуху и разрешаете на ней о боже vlan! на свитче который якобы l3(а вы знаете что это значит?) прописываете taged интерфейс к компу и untaged еще какойнить порт. этот порт соединяете с микротом.

как будет выглядеть работа одновременно с двумя сетевыми? Надо будет вручную переключаться по подключениям?

 

[Smith]

Возможно, остановлюсь на варианте с VPN на компьютере с БД и через интернет уже ее раздавать.

никакие ресурсы в интернет выпускать нельзя.
только через vpn.

как будет выглядеть работа одновременно с двумя сетевыми? Надо будет вручную переключаться по подключениям?

одновременно. зачем переключаться то туда сюда?


Я вспоминаю что в июле мы уже с вами обсуждали всякие ИТ штуки, и я посоветовал вам пойти поучиться? Вы хоть что-нибудь из посоветованного мной прочитали?

 

[kubiq]

никакие ресурсы в интернет выпускать нельзя.
только через vpn.


одновременно. зачем переключаться то туда сюда?


Я вспоминаю что в июле мы уже с вами обсуждали всякие ИТ штуки, и я посоветовал вам пойти поучиться? Вы хоть что-нибудь из посоветованного мной прочитали?

не видел на практике двух одновременно работающих сетевых карт.

да, курс молодого бойца, но практики от этого не прибавилось, к сожалению

 

[Max]

kubiq я вас правильно понял: Вы хотите переместить БД из защищенной сети в обычную?
Если так, то в чем сложность просто скопировать БД с ПК из защищенной сети и положить эту БД на любой ПК в обычной?

 

[Smith]

не видел на практике двух одновременно работающих сетевых карт.

а их бывает и не 2. в стоечных серверах их зачастую 4. мало того их можно еще и объединять в одну.

в вашем случае 2 карты будут работать превосходно. на той что будет смотреть в микрот просто руками ip впишете, без шлюза например. и будете ходить на свой сервер.

скопировать БД с ПК из защищенной сети

на сколько я понял там как раз на оборот. бд в обычной, и она нужна всем. в том числе чуваку что в защищенной.

 

[Max]

kubiq что-то непонятно, а какая железка делит сеть на обычную и защищенную?
Территориально сети находятся в одном помещении/здании?

на сколько я понял там как раз на оборот. бд в обычной, и она нужна всем. в том числе чуваку что в защищенной.

Ну тогда да, только вторую сетевуху в комп с БД втыкать надо и разносить на обе сети.

 

[Smith]

у него 2 физически разных сети.

 

[Max]

у него 2 физически разных сети.

при условии

нельзя никакие делать vlan

остается бегать с флешкой