LINUX.ORG.RU
ФорумAdmin

Настройка доступа к локальной сети

 , ,


0

4

Добрый день. Мы небольшая инженерная команда, и у нас есть несколько серверов, на которых развернуто ПО для инженерных развлечений. Всё это дело доступно в локальной сети, и в целом, работает хорошо. Сейчас, в силу некоторых потребностей, хотим сделать доступ в локальную сеть извне, чтобы можно было работать с этой инфраструктурой удаленно.

схематично выглядит всё примерно так:

                                                +----------+                                               
    +--------------+       +-------------+      |          |      +-----------+
    |   server0    |---+---|   router0   |------* Internet *------|  router1  |
    | 192.168.0.10 |   |   | Archer C80  |      |          |      +-----+-----+
    +--------------+   |   | 192.168.0.1 |      +----------+            |
                       |   | Static IP:  |                        +-----+---------+
    +--------------+   |   | 25.24.23.22 |                        |    userpc2    |
    |   server1    |---+   +-------------+                        +---------------+
    | 192.168.0.20 |   |
    +--------------+   |
                       |
    +--------------+   |
    |   server2    |---+
    | 192.168.0.30 |   |
    +--------------+   |
                       |
   +---------------+   |
   |    userpc0    |---+
   | 192.168.0.100 |   |
   +---------------+   |
                       |
   +---------------+   |
   |    userpc1    |---+
   | 192.168.0.101 |
   +---------------+

Что есть:

1. Стойка с серверами, в которой в том числе живут и server0, server1, server2

2. Юзеры с ПК, которые работают с этими серверами через userpc0, userpc1 (их примерно 10 штук)

3. Всё это дело подключено к роутеру TP-Link Archer C80 и выходит в интернеты, есть статичный IP-адрес

4. Удалённый пользователь через userpc2 не может подключится к server0, server1, server2, что печально, и это мы пытаемся решить

Есть ещё такая особенность, что один из серверов работает на Windows Server, там настроено специфичное ПО и его совсем не хочется как-то трогать. Остальные серверы на Linux, и можно в них что-нибудь править.

Из анализа результатов поиска решения проблемы понял, что надо куда-то устанавливать WireGuard или OpenVPN, и через него предоставлять доступ удаленному пользователю. Для установки этого ПО есть свободный сервер в стойке, и ещё вот такой перечень железа, которое просто валяется рядом со стойкой:

  • HP J9775A
  • D-Link DGS-1210-48
  • D-Link DGS-3426
  • Cisco 2811

Первые три, как понимаю, просто свитчи, и не годятся для этих целей, а Cisco 2811 вообще какая-то странная штука, но возможно можно её применить в решении данной проблемы.

Хотел спросить у вас совета, какая тут примерная последовательность действий, чтобы сделать удаленный доступ в локальную сеть? И на какую железку рекомендуете ставить устанавливать ПО?


п1. Спросить себя: почему, тот кто покупал это всё сетевое оборудование покинул небольшую инженерную команду?

п2. Подумать как пополнить эту самую команду человеком с нужными компетенциями.

п3. Развернуть шлюз на роутере и надеяться, что пронесёт.

pon4ik ★★★★★
()

Ну, или, если уверены в отсутствии дыр на Server[1..3], смапите 22 порт с Linux серверов и 3389 с windows на любые удобные на роутере. Если userpc2 предполагается в определённом месте, доплатите провайдеру за постоянный IP и разрешите из инета доступ на роутер только для этого адреса.

Shadow ★★★★★
()
Ответ на: комментарий от NyXzOr

вроде да. Извне доступны некоторые системы на серверах по этому адресу, что не есть хорошо.

Вся эта вышеописанная затея в том числе из-за того, чтобы доступ к серверам был только из локальной сети

S9
() автор топика
Ответ на: комментарий от Shadow

скорее всего дыр предостаточно. А userpc2 не имеет постоянного IP, и этих пользователей может быть больше одного. userpc2 просто нарисован, как обобщение группы людей, расположенных в разных местах.

S9
() автор топика
Ответ на: комментарий от Shadow

Так-то да. Но у «любого» vpn, есть недостаток, не везде работает :)

anc ★★★★★
()
Ответ на: комментарий от Shadow

А, ну тогда поднимать любой VPN, да.

Ну и вспомнить про DMZ,IDS/IPS,SIEM, чтоб знать где прижигать, а где цементрировать )

kindof
()
Ответ на: комментарий от kindof

Ну и вспомнить про DMZ,IDS/IPS,SIEM

Почему вы не использовали в перечне сочетаний букавок ЕКЛМН, ЕПРСТ ?

anc ★★★★★
()
Ответ на: комментарий от anc

Почему вы не использовали в перечне сочетаний букавок ЕКЛМН, ЕПРСТ ?

эти словосочетания будут использовать потом, если не вспомнят про предложенные )

kindof
()

Ставите OpenVPN на ваш свободный сервер, на этом сервере настраиваете роутинг и форвардинг. На арчере пробрасываете порты TCP: 1194, UDP: 1194 на этот сервер. Подключаетесь удалённым пользователем на свой белый адрес.

либо

Ставите WireGuard на ваш свободный сервер, на этом сервере настраиваете роутинг и форвардинг. На арчере пробрасываете порты UDP: 51820 на этот сервер. Подключаетесь удалённым пользователем на свой белый адрес.

agentgoblin
()
Ответ на: комментарий от agentgoblin

Ты пока кроме ёрничания ничего не сделал в этом треде.

какие комментаторы, такие и ответы, sad but true

anc ★★★★★
()

чего люди только не придумают, чтобы ssh-тоннелями / прокси не пользоваться

Avial ★★★★★
()
Ответ на: комментарий от agentgoblin

Спасибо. Попробую разобраться

S9
() автор топика

для инженерных развлечений

Мда

antonvaino
()

Всё это дело подключено к роутеру TP-Link Archer C80

хороший пример того, что не стоит вестить на рекламу и покупать такое железо в качестве шлюза)

по факту как выше писали, поднимаете любой впн по мануалу на своем серваке,маршруты прописываете и радуетесь жизни.

jo_b1ack ★★★★★
()

Вы нарисовали хорошую схему. Но по ней видна одна проблема.

В вашей локальной сети используется IP адресация, сеть 192.168.0.0/24.

С большой долей вероятности в локальных сетях клиентов используется эта же сеть, в особенности если они работают из дома,

На большинстве домашних роутеров используется такая же адресация во внутренней сети.

И просто так подключиться по IP адресу к вашим серверам у клиентов в таком случае не получится.

Вам нужно будет прописать передачу VPN клиентам маршрутов до серверов к которым они будут подключаться.

Передавать маршрут на сеть 192.168.0.0/24 тоже нельзя, т.к. у клиента тоже может быть сеть 192.168.0.0/24. Поэтому нужно будет передавать маршрут до конкретного IP адреса:

  • 192.168.0.10/32
  • 192.168.0.20/32
  • 192.168.0.30/32
  • 192.168.0.100/32
  • 192.168.0.101/32.
kostik87 ★★★★★
()
Ответ на: комментарий от jo_b1ack

Хороший пример того, что данное решение никогда не позиционировались для построения подобных сетей. Это не говоря о том, что раз ТС пришёл сюда за советом, то у него крайне поверхностные знания о настройке таких сетей и их маршрутизации.

Да, я тоже в этом ничего не понимаю.

grem ★★★★★
()
Ответ на: комментарий от kostik87

Поэтому нужно будет передавать маршрут до конкретного IP адреса:

Есть еще вариант, хоть и чуть сложнее, натим адреса в туннеле.

anc ★★★★★
()
Ответ на: комментарий от anc

Но тогда в любом случае для клиентов обращение будет по адресам другой сети. Т.е. по сути делать netmap.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.