[anonimno]

Привет народ, это repost...

 

Все наверно просто.....но я не совсем уверен как это сделать лучше, пожалуйста, посоветуйте.

На заводе есть отдел со своей сетью не присоедененный к остальной внутренней сети. В ней есть маршрутизатор и пару свичей. Возможно ли дать доступ к сети этого отдела извне работникам из других филиалов, при этом сохраняя сетевую безопасность, т.е. доступ только избранным работникам.

 

Спасибо заранее,

Евгений

 

RichardsonTX_LAB_VPN_Design.zip

[SergeiK]

Можно, конечно. Решений море разного уровня. Но все они подразумевают какое-либо присоединение к сети :).

Если есть строгое требование (в силу каких-либо регламентирующих документов) физически отделенной сети - работать не будет.

 

Иначе - озвучьте бюджет, скорости, требования к шифрованию (надо ли, стойкости его) и что-то предложат.

 

Основная проблема сейчас в законодательстве по применении устройств с аппаратным стойким шифрованием.

[LiuPing]

Возможно. Нужен межсетевой экран и VPN-концентратор, либо обе функции на одном устройстве. Есть законодательная проблема со стойким шифрованием (все что лучше DES). Такое оборудование должно иметь сертификат ФСБ. Поэтому либо нужно покупать отечественные "поделки", либо серая поставка, либо ввозить/покупать как будто оно без шифрования а потом на месте апгрейдить софт.

Это при условии, если вы в РФ конечно.

[s.lobanov]

Мало того, если вы возьмёте маршрутизаторы 29-ой, то на них не получится использовать шифрование в обход ФСБ, т.к. вам просто не продадут нужную лицензию. Поэтому, либо закупать оборудование, на которых можно установить старые версии IOS и незаконно их использовать, либо использовать софтовые решения на PC-платформе типа openvpn. Избранность будете обеспечивать путём выдачи/аннулирования сертификатов.

[anonimno]

Народ, спасибо всем за участие! К счастью, не должен беспокоиться о регуляциях РФ. К сожалению, бюджета ноль, потому ни firewall ни VPN Concentrator установить не получится, зато требования довольно просты: нужно дать доступ в сеть лабаратории для презентации оборудования (в основном рабочим) и, в тоже время, не выпускать никаких пакетов изнутри.

 

[SergeiK]

С таким бюджетом хорошего решения вам не построить :). Да и дать доступ в сеть - понятия могут быть разные.

В общем случае трафик будет 2-направленный, поэтому если "не выпускать никаких пакетов из сети" сервисы работать не будут.

 

Для Вашего случая, с минимальным бюджетом, я бы предложил использовать VPN соединения с авторизацией.

Может быть приемлемым использования существующего сервера/компьютера со второй сетевой картой, и умеющего поднимать VPN, которая включена в основную сеть. И фильтрами разрешить пакеты только и исключительно в данному хосту и только для VPN. А уж из VPN сессий - ко внутренней сети. Можно ставить свои правила для каждого соединения/пользователя.

Это может быть и windows системы и юникоподобные, от ваших способностей.