Collector Опубликовано 23 мая, 2017 · Жалоба В нашей локалке 2 подсети: - первый это пограничный сеть: 192.168.0.0/24 (шлюз 192.168.0.1) - второй это локальный сеть: 192.168.1.0/24 (шлюз 192.168.1.1) VPN сервер стоит на втором шлюзе (192.168.1.1) У нас локальных 30 пользователей, + 10 IP оборудования. Как говорится, все вроде нормально. НО! недавно подключили удаленного офиса к нам, по VPN. сама VPN_ка раздает IP адреса из подсети 172.16.10.0/24 Как бы тоже все работает, но в логах файрвола замечаю, что из удаленного офиса к нам ломятся как широковещетельные, так и SNMP. проверил у них IP адресации, получается тоже как у нас: 192.168.1.0/24 . Хотя долго думал то же IP адрес на которую идет SNMP запросы 192.168.1.30, это у нас или у них, т.к. у обеих есть такой адрес. Теперь думаю поменять у них IP адресацию, потому что там всего 7 рабочих мест + сетевой принтер. Если там у них поставлю 192.168.2.0/24 , решится же проблема с путаницей адресами ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 23 мая, 2017 · Жалоба Конечно решится. Адресация не должна пересекаться (адресация оконечных устройств), при этом можно либо разрешить всем доступ друг на друга, или файрволом ограничить как раз на основе этих адресов, ведь легко определить кто из удаленного офиса, кто из локалки и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Collector Опубликовано 23 мая, 2017 · Жалоба Saab95 Спасибо, значит поставлю им адресацию 192.168.2.0/24 и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 23 мая, 2017 · Жалоба Адреса 192.168.0.0/24, 192.168.1.0/24, 10.0.0.0/24 и 10.0.1.0/24 частоиспользуемые в приватных сетях. Если не хотите пересечений, с последующей маршрутизаций и NAT, то используйте свой диапазон. При использовании DHCP и DNS пользователи не заметят разницы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Collector Опубликовано 23 мая, 2017 · Жалоба vlad11 Ну если менять на удаленном сегменте адресацию, то все должно наладиться ведь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 23 мая, 2017 · Жалоба Поставьте сразу 192.168.34.0/24 к примеру. А то ещё сегмент появится и опять все менять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Collector Опубликовано 23 мая, 2017 · Жалоба Negator Это сарказм или вы серьезно ? ))) ну появится новый сегмент, обозначим 192.168.3.0/24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 23 мая, 2017 · Жалоба 192.168.0.0/24, 192.168.1.1/24 использовать на сети, пусть даже и небольшого предприятия чревато геморроем на ровном месте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Collector Опубликовано 23 мая, 2017 · Жалоба myth Ну сразу 2 вопроса: > чем гемморно ? > какие IP адресации использовать тогда для нас и удаленного офиса ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 23 мая, 2017 · Жалоба гемморно тем, что пересекается с 99% SOHO устройств. Первый же принесенный кем-то вифи роутер, точка доступа или что-нибудь еще доставит массу незабываемых впечатлений Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Collector Опубликовано 23 мая, 2017 · Жалоба myth Ну в этом случае да, согласен. А с другой стороны нехер в контору привести свои девайсы. А все девайсы через админ и сменой дефолт IP адресов на нужные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 23 мая, 2017 · Жалоба Лучше пусть все продолжит работать, чем не продолжит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 24 мая, 2017 · Жалоба В корп сегменте лучше использовать 10-ую сеть. Особенно когда используется VPN доступ к ней. Потому что всего одной галочкой в настройках VPN автоматически получается 10/8 маршрут на VPN соединение, что решает массу головняков. 10.0.0 и 10.1.1 лучше пропустить, а дальше свободно нарезать как хочешь. А еще лучше начинать осваивать IPv6. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 24 мая, 2017 · Жалоба + гемоорой с удаленщиками(если есть). Т.к у них дома будет таки та же адресация Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serejka Опубликовано 24 мая, 2017 · Жалоба А еще лучше начинать осваивать IPv6. или хотя бы DHCP и Vlan на доступе, а так же домены :) а если уж пофеншуйнее то и базовый функционал port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 24 мая, 2017 · Жалоба port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров Мак компьютера гвоздями к порту прибить? Ну и чем это удобно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 25 мая, 2017 · Жалоба port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров Мак компьютера гвоздями к порту прибить? Ну и чем это удобно? 802.1x, MAC based VLAN, и т.п., только когда зоопарк - тяжко. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 25 мая, 2017 · Жалоба функция подделки мака есть в любом роутере Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 25 мая, 2017 · Жалоба функция подделки мака есть в любом роутере Еще бывают отмычки, отвертки, пояса шахидов и прочее. Тут надо определиться, от чего защищаемся - от случано всунутого г-на или от целенаправленной атаки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 25 мая, 2017 · Жалоба От случайно всунутого Г хорошо помогает не использовать в сети сегменты, встречаемые в SOHO. От целенаправленных атак - loop detect, port security(ограничить количество маков на порту одним любым). 802.1x - крив и глючен. Настройка клонирования мака имеется прямо в веб морде роутера и целенаправленной атакой ее считать глупо. Напротив, это повод задуматься и установить туда легальную точку доступа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 25 мая, 2017 · Жалоба мы о чем спорим то? эрудицией меряемся? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 25 мая, 2017 · Жалоба Я эту свою мысль пытался ТС внушить, а то с квалификацией у него все плохо... Рано или поздно могут и удаленщики появиться. И вот тогда проблема встанет в полный рост Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serejka Опубликовано 25 мая, 2017 · Жалоба port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров Мак компьютера гвоздями к порту прибить? Ну и чем это удобно? А чего неудобного? Речь идёт об офисе на 7 компов, очевидно с продаванами и бухгалтерами. sticky-learning, bpdufilter, portfast, storm-control, loopback detect - вполне себе сойдёт за базовый джентельменский набор, и высылкой всего добра на сислог сервер. Как отработает секьюрити на порту - глядеть что за мак прилетал и дальше принимать меры согласно требований ИБ конторы. И да меры впервую очередь направлены на защиту от дурака, а не целенаправленную атаку. Да и что вы будете атаковать вашим роутером с клонированным МАКом такое, чего не могли сделать имея доступ к ПК сотрудника? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 25 мая, 2017 · Жалоба Ничего не буду. Просто принесу роутер. С ip вашего сервака - 192.168.0.1, например bpdufilter Зачем это в офисе на 7 компов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 26 мая, 2017 · Жалоба офисе на 7 комповсислог сервер Ага, Cisco Prime еще поставить :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...