Вход | Регистрация
    1  2   
1С:Предприятие :: Администрирование

Как объединить две сети с одинаковой подсетью? это вообще реально?

Как объединить две сети с одинаковой подсетью? это вообще реально?
Я
   Бешеный заяц
 
23.01.19 - 08:48
Изначально хотели тупо бросить впн,выяснили что подсети свопадают,нет желания курочить сеть так как два предприятия большие,какие варианты объединения существуют?Или как минимум чтобы пользователи разных предприятий видили 1с друг друга через толстый клиент (не rdp).
Может существует что то системы синонимов IP адресов для подобного?
 
 
   МимохожийОднако
 
1 - 23.01.19 - 08:53
что значит "совпадают"?
   Asmody
 
2 - 23.01.19 - 08:55
(0) А зачем пользователям видеть друг друга?
   Asmody
 
3 - 23.01.19 - 08:55
(1) Подсети одинаковые. Например, 192.168.1.х
   Fram
 
4 - 23.01.19 - 08:57
(0) ну через нат можно попробовать, если роутеры достаточно гибкие в настройке
   YaFedor
 
5 - 23.01.19 - 08:57
(0) Проброс портов через шлюз на сервер , где 1с крутится
   Fram
 
6 - 23.01.19 - 09:00
(4)+ в кластере сервер как прописан? если по айпи, то проблемно может быть.. если по имени, то можно поиграться
   Asmody
 
7 - 23.01.19 - 09:02
На микротиках можно было бы замутить какой-нибудь туннель с подменой адресов на концах, но при интенсивном трафике грузить маршрутизатор оно будет нещадно. Всё таки, надо задумываться об изменении адресации.
   arsik
 
8 - 23.01.19 - 09:04
(0) Есть такая конструкция в iptables - netmap. У нас так все объединено.
   Fram
 
9 - 23.01.19 - 09:10
(8) интересно.. смотрю в микротике тоже есть
   NorthWind
 
10 - 23.01.19 - 09:10
(0) я бы советовал сменить адресацию на одном из предприятий. Если даже решения без изменения адресации и есть - они однозначно из серии выстрелить себе в ногу, потому что на выходе вы получите неоднозначность адресации разных машин внутри сети.
 
 Рекламное место пустует
   arsik
 
11 - 23.01.19 - 09:11
+ (8) Например
-A PREROUTING -d 10.10.1.0/24 -i tun0 -j NETMAP --to 192.168.1.0/24
-A POSTROUTING -s 192.168.1.0/24 -o tun0 -j NETMAP --to 10.10.1.0/24

ТО есть при обращении из своей сети (192.168.1.0) к адресу 10.10.1.1 - я попаду во вторую сеть на адрес 192.168.1.1

Ну кроме этого нужно еще и маршрутизацию конечно настроить, что бы маршрутизаторы знали где находятся подсети 10.10.1.0/24,10.10.2.0/24 и тд.
   NorthWind
 
12 - 23.01.19 - 09:16
(11) а прикинь потом еще снаружи подключаться придется, например, удаленным работникам?
   Fram
 
13 - 23.01.19 - 09:18
(12) и? какие проблемы при корректно настроенной маршрутизации?
   arsik
 
14 - 23.01.19 - 09:19
(12) И? У нас так и сделано. Это все внутри опенвпна.
При подключении впн выдает клиенту маршруты и на этом все. Нетмап делается на роутере, на том, куда подключается клиент.
   Fram
 
15 - 23.01.19 - 09:19
(11) кстати, проблема (6) все равно остается
   uno-group
 
16 - 23.01.19 - 09:20
И как локальный комп поймет что 192.168.1.10 находится в нашей подсети, а не в чужой и что к нему нужно обращаться через шлюз? Как минимум нужно обеспечить чтобы ИП не совпадали. А потом их можно будет накрыть маской 255.255.255.198 например. Можно прописать таблицы маршрутов для каждого ИП адреса но делать это придется не только на шлюзе но и на каждой машине которая должна выходить в другую подсеть. так что проще сменить подсеть.
   arsik
 
17 - 23.01.19 - 09:22
(16) Так и не надо обращаться к 192.168.1.10, к другим подсетям обращаемся по другим IP. Например 10.10.1.10.
   NorthWind
 
18 - 23.01.19 - 09:23
(17) это крайне неудобно
   uno-group
 
19 - 23.01.19 - 09:23
Хотя если нужно обеспечить работу с разными подсетями 2-3 компов то можно прописать прямые маршруты на этих компах и шлюзах.
   uno-group
 
20 - 23.01.19 - 09:25
Я не понимаю какие проблемы на роутере 1 предприятия перенастроить ДНСП и он раздаст ИП другой подсети. 2 минуты работы и куча гемора отпадет
   Fram
 
21 - 23.01.19 - 09:28
(20) ну знаешь некоторые любят айпи адреса хардкодить в скриптах, роутерах, даже коде 1С, в списках баз 1С пользователей
   NorthWind
 
22 - 23.01.19 - 09:30
(20) не все любят DHCP по соображениям безопасности - админам спокойнее, когда посторонняя железка, будучи тупо воткнутой в сеть, не может просто так взять и начать проявлять активность без дополнительных телодвижений.
   arsik
 
23 - 23.01.19 - 09:35
(22) DHCP - тут при чем? Я уже давно не видел сетей без DHCP.
   uno-group
 
24 - 23.01.19 - 09:36
(21) В этом случае в роутере нужно сделать всего 1-2 подмену прописанных ИП адресов на новые. Хотя пройтись по реестру и заменить 192.168.1.100 на 192.168.2.100 + поиск и замена в коде 1с желательно на грамотную реализацию еще 20 минут времени.
   Fram
 
25 - 23.01.19 - 09:38
(24) насчет 20 мин сомневаюсь, но что желательно подсеть сменить согласен
   NorthWind
 
26 - 23.01.19 - 09:41
(23) я видел, причем на крупном предприятии. DHCP при том, что его достаточно простые реализации позволяют воткнуть в розетку любую не авторизованную железку и она тут же получит легальный IP. Понятно, что в принципе подобрать себе подходящий айпишник можно и без DHCP, но исходят из того, что это сложнее.
   Ordnung
 
27 - 23.01.19 - 09:42
(26) Ну получила железка айпи, дальше что?
   uno-group
 
28 - 23.01.19 - 09:43
(22) и как прямое указание ип адреса влияет на безопасность?
ДНСР выделяется узкий диапазон адресов. Где нужны фиксированные прописуем в ДНС. И это будет не куроченье сети а приведение ее к промышленным стандартам.
Чем дольше оставлять такой зоопарк тем труднее будет его исправить в будущем. Сеть имеет свойство расти и если сейчас нужно разово правильно настроить 5-255 устройств то потом их может быть гораздо больше и сделать это безболезненно будет еще проблемней. Сейчас это можно сделать задержавшись на 2-3 часа после работы или выйдя в выходные потом придется НГ или майские праздники встречать на предприятии.
   NorthWind
 
29 - 23.01.19 - 09:44
(27) дальше сканирование других IP и портов, атаки, взлом, кровькишкираспи...расило. Вам логику безопасников объяснять?
   uno-group
 
30 - 23.01.19 - 09:45
(26) Делай фильтрацию по мак адресам кто запрещает. Выдавай сертификаты подлинности компам юзерам и т.п. Вы ставите типа железные ворота забыв построить забор, смысл в железных воротах?
   eklmn
 
31 - 23.01.19 - 09:47
(29) мгагаг, а если без ДХЦП взломщика это остановит? )))
   Ordnung
 
32 - 23.01.19 - 09:48
(29) По логике нормальных безопасников, а не эникеев, никакая посторонняя железка в сети не может ни черта сделать, ибо посторонние порты закрыты, потенциально уязвимые узлы в DMZ, а чувствительные данные в сети шифруются на уровне протокола.
   eklmn
 
33 - 23.01.19 - 09:48
Как раз идиотизм НЕ использовать DHCP
 
 
   eklmn
 
34 - 23.01.19 - 09:49
(32) если у чела есть физичесткий доступ к сетке, то уже пофиг, уже все сломано
   uno-group
 
35 - 23.01.19 - 09:49
Если чел получи физический доступ, чтобы подключить устройство то узнать ип в сети вообще не проблема.
   Ordnung
 
36 - 23.01.19 - 09:50
Никакой свободный порт (ethernet, usb), никакая открытая гостевая вафля не должны давать ни малейшего преимущества атакующему.
   NorthWind
 
37 - 23.01.19 - 09:50
(34), (35) Это все понятно. Но - явление такое есть
   Ordnung
 
38 - 23.01.19 - 09:51
(34) Да ничего не сломано. Физический доступ к сети, особенно в крупной компании, получить несложно, от этого отталкивается политика инфобеза в плане сетевой безопасности.
   HawkEye
 
39 - 23.01.19 - 09:52
(0) меняй адресацию....
   uno-group
 
40 - 23.01.19 - 09:53
(37) нету это безграмотность админа который не может доказать какими методами он обеспечивает безопасность и не рискует пройти независимый аудит для подтверждения этого чтобы СБ занималась своими прямыми обязанностями в которых разбираются.
   eklmn
 
41 - 23.01.19 - 09:56
(38) я вообще не понимаю что за хню ты несешь
   Ordnung
 
42 - 23.01.19 - 09:57
(41) Ну хоть признался, и то хорошо.
   Ordnung
 
43 - 23.01.19 - 09:59
(41) На пальцах - если любой свободный эзернет порт у тебя является такой дырой в безопасности, что "всё уже сломано" - никакой безопасности у тебя нет.
   NorthWind
 
44 - 23.01.19 - 09:59
(41) он прав. Проконтролировать каждую розетку в крупном комплексе зданий невозможно.
   uno-group
 
45 - 23.01.19 - 10:02
(43)При появление в сети устройства с новым мак адресом Админу через 5 минут придет СМС. С указанием где это устройство появилось. Если чел узнал легальный мак-адрес то узнай ИП еще меньшая проблема.
   Пульсар
 
46 - 23.01.19 - 10:05
(41) +++,  тут трое такую хню несут, что просто кошмар, особенно с DHCP понравилось и контроль розеток на предприятии.
Задаться вопросом, а как злоумышленник пройдет на предприятие, войдет в кабинет, подключится к розетке и никто не заметит, тямы не хватает.
   uno-group
 
47 - 23.01.19 - 10:06
44 Отключай физически или программно все не нужные розетки.
Если данные на столько важны метало детектор на КПП и не дать возможность занести вынести левые устройства.
   Пульсар
 
48 - 23.01.19 - 10:06
+ тупая отмазка глюпых админов и некомпетентной службы СБ
   Ordnung
 
49 - 23.01.19 - 10:07
(46) Ну то есть дебилы-админы в ваших сетях рассчитывают на то, что никто и ни при каких обстоятельствах не сможет подключить к сетевой розетке левый девайс?
 
 Рекламное место пустует
   Ordnung
 
50 - 23.01.19 - 10:07
Злоумышленником может быть и собственный сотрудник, есичо.
   Ordnung
 
51 - 23.01.19 - 10:08
Вы вообще про Kerberos и IPSec слышали? О_о
   Пульсар
 
52 - 23.01.19 - 10:08
(47) Бугага, ты еще полное раздевание и осмотр как в зоне предложи
   Ordnung
 
53 - 23.01.19 - 10:09
(52) Ты сам эту хню и предлагаешь, перекладывая сетевую безопасность на вахтёров.
   Пульсар
 
54 - 23.01.19 - 10:09
(50) тупая отмазка, если у него есть рабочее место,  то ты хоть своим задом все розетки закрой
Это называе6тся шизофрения в купе с параноей
   Ordnung
 
55 - 23.01.19 - 10:10
(54) То, что с его рабочего места жёстко разграничен доступ, в голову не приходит?
Вот пришёл сотрудник с "заряженным" девайсом с какой-нибудь Kali OS, подключился к локальной сети - и всё, пиндык всей безопасности?
   Пульсар
 
56 - 23.01.19 - 10:11
(53) ну если у вас в СБ вахтерша бабушка божий одуванчик, тогда да, незабудь поставить штук пять антивирусов и 10 фаерволов
   uno-group
 
57 - 23.01.19 - 10:11
Думаешь ФСБ и Пентагон своим сотрудникам тоже на прямую ип прописуют.
(52) Знакомый работает на авиазаводе рамка матало детектора на входе телефоны, флешки и т.п. сдаешь в камеру хранения на выходе получаешь, часы, ключи и т.п. передаешь в корзинке как в аэропорту. Сам туда периодически по делам захожу. Обычная практика где народ реально занимается безопасностью а не фигней страдает.
   Пульсар
 
58 - 23.01.19 - 10:11
пля, какой ты тупой, просто ужас
почитай на досуге про сетевую безопастность и доступ к ресурсам
   eklmn
 
59 - 23.01.19 - 10:12
(46) я думал тут нормальных нет )) ан нет, вижу есть
   Пульсар
 
61 - 23.01.19 - 10:13
(57) есть предприятия с разными уровнями допуска, там да.
а на преприятии где одни менеджеры какой нах уровень доступа и что там за секреты, которые нельзя угнать, если есть телефон и доступ к этим файлам
   Пульсар
 
63 - 23.01.19 - 10:14
(60) видно тебе лучше жевать чем говорить
тупой и еще тупее
   Бешеный заяц
 
64 - 23.01.19 - 10:14
ок спасибо,изучаем варианты,
подсеть конечно изменим позже изучаем быстрые варианты
   eklmn
 
65 - 23.01.19 - 10:15
(64) че их изучать то? сказали же DHCP самый правильный и быстрый
   Ordnung
 
66 - 23.01.19 - 10:15
(63) Расскажи мне, как ты с телефона угонишь файлы из локальной сети.
   eklmn
 
67 - 23.01.19 - 10:16
(63) не ведись на троля
   Ordnung
 
68 - 23.01.19 - 10:16
+(66) USB у тебя закрыты, гостевая вафля вынесена за LAN, вперёд, девочка-хакер.
   Ordnung
 
69 - 23.01.19 - 10:17
(67) Я не троллю, это вы, два хамла, конструктивную дискуссию перевели в ср@ч.
   Пульсар
 
70 - 23.01.19 - 10:18
(68) ну ты действительно тупой или прикидываешься таковым?
   uno-group
 
71 - 23.01.19 - 10:19
(68) ЮСБ закрыты отключены новое устройство не подключится. биос запоролен с левой флешки не загрузишся.
   Ordnung
 
72 - 23.01.19 - 10:19
(70) Так расскажешь алгоритм? У тебя телефон, который ты не можешь подключить к рабочей станции или зайти с него на внутренний SMB ресурс. Как ты угонишь файлы?
   Ordnung
 
73 - 23.01.19 - 10:21
(71) >что там за секреты, которые нельзя угнать, если есть телефон и доступ к этим файлам

Ну вот крутой безопасник в (61) утверждает, что ничего сложного нет.
   stopa85
 
74 - 23.01.19 - 10:23
(0) Ну можно объединить на втором уровне.
Но тогда у тебя не будет работать сетка, если и стой и с этой стороны есть 192.168.1.1

(0) Нифига не сделаешь. Меняй адресацию. Самому жить будет проще.
   Пульсар
 
75 - 23.01.19 - 10:30
(73) ну для начало, можно сфотать и не нужен сам файл
   Ordnung
 
76 - 23.01.19 - 10:31
%))
Так и знал.
Гениальный образчик хакерского искусства.

Вопрос исчерпан.
   Натуральный Йог
 
77 - 23.01.19 - 10:33
-Агент Смит, у вас есть база данных конкурентов?
-Лучше, у меня есть фотография базы данных конкурентов
   Пульсар
 
78 - 23.01.19 - 10:34
(74) + а если организации большие, то можно столкнутся с нехваткой IP адресов, поэтому лучше сразу всех перевести в подсеть другого класса
   Пульсар
 
79 - 23.01.19 - 10:35
(?6) ты поменьше кино про хакеров смотри
   Ordnung
 
80 - 23.01.19 - 10:37
Зачем кино, когда эта ветка есть с кульхацкерами, вооруженными фотоаппаратами? :)

(0) Если речь только о серверах 1С, пробрось порты, как в (5) посоветовали, и не заморачивайся.
   Пульсар
 
81 - 23.01.19 - 10:40
(80) да, ты действительно тупой, куда ты пробросишь порты?
закрой USB, а клава, мышки усбшные пофиг, что не работают,
хакер дырявый бгага
таких спецов безопастности гнать надо сцанными тряпками
   Пульсар
 
82 - 23.01.19 - 10:41
+ приведи пример проброски таких портов
   Ordnung
 
83 - 23.01.19 - 10:43
(81) Ты не знаешь, как пробрасывать порты на роутере?

>закрой USB, а клава, мышки усбшные пофиг, что не работают

С чего это не работают? Раздел GPO "Removable storage access" как влияет на мышки и клавы?

Мальчик, ты что-то заговариваешься. Это и есть "нормальное общение" по мнению модераторов?
   Пульсар
 
84 - 23.01.19 - 10:45
Ну ка ну ка, раскажи про проброс портов в сети с одниковыми IP и где стоит роутер
детка, ты тупиш не подецки.
   Ordnung
 
85 - 23.01.19 - 10:47
Роутера как минимум два вообще-то.
ip nat и далее по тексту.
   Пульсар
 
86 - 23.01.19 - 10:47
Раздел GPO "Removable storage access"
машина с Win7 хомяк, в домен не входит, примени ко мне политику?
   Пульсар
 
87 - 23.01.19 - 10:48
(85) да хоть три
IP одинаковые
   Ordnung
 
88 - 23.01.19 - 10:49
(87) IP у роутеров, смотрящих в WLAN, одинаковые?
(86) Что ты сделаешь с этой внедоменной машины с включенным USB?
   Пульсар
 
89 - 23.01.19 - 10:50
+(86) МакОС, в домен не входит
Линукс, в домен не входит, примени политику и закрой мне усб порты
   Ordnung
 
90 - 23.01.19 - 10:51
(89) Ещё раз, что ты сделаешь с этих машин, не входящих в домен? Получишь доступ к своим файлам?
   Ordnung
 
91 - 23.01.19 - 10:51
Расскажи мне, каким образом ты вообще в сеть зайдёшь с IPSec без сертификата?
   Пульсар
 
92 - 23.01.19 - 10:52
(88) ты точно тормоз, у меня есть доступ к файлам, я с этих машин могу скачать все то, где есть доступ
так что ты, зная только винду серии проф, подключенной в домен, лучше молчи
   Ordnung
 
93 - 23.01.19 - 10:52
Чот надоела эта клоунада. Бывай, "безопасник".
   Ordnung
 
94 - 23.01.19 - 10:52
Тупее я ещё троллей не видел.
   Пульсар
 
95 - 23.01.19 - 10:52
(90) да, смогу, зная свой логин и пароль
   Пульсар
 
96 - 23.01.19 - 10:53
Давай, иди кино про хакеров смотри, а то можно скатится до твоего тупого уровня
   Пульсар
 
97 - 23.01.19 - 10:53
(94) пока тупо ты здесь тролль
   Пульсар
 
98 - 23.01.19 - 10:58
(91) не ты действительно туп, даже что то объяснять тебе надоело
выучил громкое название протокола и всем тут рассказываешь.
еще раз, я знаю пару логин/ пароль, я работаю на этом предприятии и у меня есть доступ к файлам, машина под линухом, я могу скачать все, к чему у меня есть доступ.
   Ordnung
 
99 - 23.01.19 - 11:04
(98) Ты не сможешь со своей "машины под линухом" зайти в защищённую сеть.
Можешь хоть сто раз блеять одно и то же, но для начала лучше покурил бы матчасть, чтобы не выглядеть идиотом.
   Ordnung
 
100 - 23.01.19 - 11:04
Погугли, открой для себя NAP.
  1  2   

Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Рекламное место пустует