Открыть доступ к службам во внутренней сети

Вопросы безопасности и защиты
Аватара пользователя
Konkere

 
Сообщения: 3
Зарегистрирован:
20 июн 2011, 20:58

Открыть доступ к службам во внутренней сети

Сообщение Konkere 20 июн 2011, 21:01

Возникла несколько не тривиальная задача. Есть закрытая LAN провайдера, который в LAN выдает IP из внутреннего набора (10.1.x.x или из другой подсети). На выходе из LAN у провайдера соответственно стоит маршрутизатор (NAT и т.д.) Шанс получить "белый" или "серый" IP, равен нулю.
Вопрос: есть ли решение, не узкоспецилиализированное(наподобие TeamViewer) которое позволило бы заходить на машины LAN из WAN (интересуют службы FTP, SMB и еще пару)? IP адрес под которым видятся машины в WAN сети (интернет) динамический. Возможно ли для реализации такого механизма использовать HTTP или SOCKS proxy сервера ? Очень хочется сделать вход на такие службы по псевдо-имени или ip адресу

Аватара пользователя
KirillTs

 
Сообщения: 962
Зарегистрирован:
11 дек 2006, 11:29

Re: Открыть доступ к службам во внутренней сети

Сообщение KirillTs 20 июн 2011, 22:44

Ну так 10.1.x.x и есть серый/частный IP-адрес....
То что внешний ip адрес провайдера динамический не беда, можно воспользоваться DynDNS, но нужно чтобы маршрутизатор пропустил соединения в сеть.... тут надо поговорить с провайдером, на предмет, переадресовать несколько портов на ваш сервер, можно конечно ставить какой ни будь, хамачи на сервер и клиентам.... но это сложно для клиентов..

Аватара пользователя
Konkere

 
Сообщения: 3
Зарегистрирован:
20 июн 2011, 20:58

Re: Открыть доступ к службам во внутренней сети

Сообщение Konkere 21 июн 2011, 09:43

Ну так 10.1.x.x и есть серый/частный IP-адрес....
То что внешний ip адрес провайдера динамический не беда, можно воспользоваться DynDNS, но нужно чтобы маршрутизатор пропустил соединения в сеть.... тут надо поговорить с провайдером, на предмет, переадресовать несколько портов на ваш сервер, можно конечно ставить какой ни будь, хамачи на сервер и клиентам.... но это сложно для клиентов..


нет, адреса не ни серые ни тем более белые, и не важно какая сеть используется.Это сети мобильного провайдера, и внутренние адреса наглухо закрыты маршрутизатором. Разговаривать с мобильным провайдером..хм ? В бытность ведущим проектировщиком систем АИИС КУЭ, которые потребляют при контракте десятки, сотни а порой и тысячи SIM-м оператора, я много "наговорился" с нашей тройкой (Пчелайн, Мегафон, и Яйцеголовые) с менее чем нулевым результатом. Сейчас ситуация чуть сдвинулась, но для физ лиц ни серые ни белые номера по прежнему в нашем регионе не выдают, а для юр. лиц один номер стоит 3000-5000 деревянных, для нас это неприемлемо. Поэтому нужна обходная схема, VPN, Proxy, или что то в этом духе, но вот представить схему, надежную и с наименьшими трудозатратами пока, что то не получается.

Аватара пользователя
KirillTs

 
Сообщения: 962
Зарегистрирован:
11 дек 2006, 11:29

Re: Открыть доступ к службам во внутренней сети

Сообщение KirillTs 24 июн 2011, 10:41

что такое серый адрес - Частный IP-адрес

VPN для доступа к компьютеру находящемуся за NAT'ом - Hamachi

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: Открыть доступ к службам во внутренней сети

Сообщение Igoras 25 июн 2011, 09:26

Konkere,
Не сочтите за грубость, но возможно результат оказался нулевым, потому что вы до сих пор используете свою терминологию, не совпадающую с общепринятой (IP-адреса = номера, свое определение для белых и серых адресов).

Хамачи действительно самый простой вариант в данном случае. Никакие HTTP/SOCKS proxy не позволят доступа извне на внутренние ресурсы, а тем более по протоколам FTP и SMB.

Я вижу 2 варианта развития событий, для обоих случаев необходим отдельно стоящий маршрутизатор (софтовый на винде, линуксе или бсд или рутербоард с микротиком, но не длинк/тплинк за 20 долларов) с честным белым адресом (это тот, который в интернете доступен), находиться этот рутер может где угодно, хоть у вас дома, лишь бы канал нормальный в интернет был. На этом рутере поднимается VPN-сервер, желательно постандартнее, чтобы клиентам проще было подключаться. Дальше или каждый клиент в отдельности, если они разнесены или же вся сеть сразу, в общем говоря каждое непосредственное подключение к сети мобильного оператора, поднимает туннель к этому серверу. Доступ к ресурсам предоставляется или через dst-nat на рутере определенных портов внешнего адреса на определенные адреса/порты за туннелем или же через подключение к этому серверу через впн и получении прямого и полного доступа в сеть.

Аватара пользователя
Konkere

 
Сообщения: 3
Зарегистрирован:
20 июн 2011, 20:58

Re: Открыть доступ к службам во внутренней сети

Сообщение Konkere 26 июн 2011, 12:24

да, именно к такому варианту мы пришли в конце концов, нашли в запасках железку поднимающую VPN, щас ищем место где для хорошо с питанием и можно получить белый ip


Вернуться в Безопасность компьютерных сетей

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron