Изначально хотели тупо бросить впн,выяснили что подсети свопадают,нет желания курочить сеть так как два предприятия большие,какие варианты объединения существуют?Или как минимум чтобы пользователи разных предприятий видили 1с друг друга через толстый клиент (не rdp).
Может существует что то системы синонимов IP адресов для подобного?

(0) А зачем пользователям видеть друг друга?

(1) Подсети одинаковые. Например, 192.168.1.х

(0) ну через нат можно попробовать, если роутеры достаточно гибкие в настройке

(0) Проброс портов через шлюз на сервер , где 1с крутится

(4)+ в кластере сервер как прописан? если по айпи, то проблемно может быть.. если по имени, то можно поиграться

На микротиках можно было бы замутить какой-нибудь туннель с подменой адресов на концах, но при интенсивном трафике грузить маршрутизатор оно будет нещадно. Всё таки, надо задумываться об изменении адресации.

(0) Есть такая конструкция в iptables - netmap. У нас так все объединено.

(8) интересно.. смотрю в микротике тоже есть

(0) я бы советовал сменить адресацию на одном из предприятий. Если даже решения без изменения адресации и есть - они однозначно из серии выстрелить себе в ногу, потому что на выходе вы получите неоднозначность адресации разных машин внутри сети.

+ (8) Например
-A PREROUTING -d 10.10.1.0/24 -i tun0 -j NETMAP --to 192.168.1.0/24
-A POSTROUTING -s 192.168.1.0/24 -o tun0 -j NETMAP --to 10.10.1.0/24

ТО есть при обращении из своей сети (192.168.1.0) к адресу 10.10.1.1 - я попаду во вторую сеть на адрес 192.168.1.1

Ну кроме этого нужно еще и маршрутизацию конечно настроить, что бы маршрутизаторы знали где находятся подсети 10.10.1.0/24,10.10.2.0/24 и тд.

(11) а прикинь потом еще снаружи подключаться придется, например, удаленным работникам?

(12) и? какие проблемы при корректно настроенной маршрутизации?

(12) И? У нас так и сделано. Это все внутри опенвпна.
При подключении впн выдает клиенту маршруты и на этом все. Нетмап делается на роутере, на том, куда подключается клиент.

(11) кстати, проблема (6) все равно остается

И как локальный комп поймет что 192.168.1.10 находится в нашей подсети, а не в чужой и что к нему нужно обращаться через шлюз? Как минимум нужно обеспечить чтобы ИП не совпадали. А потом их можно будет накрыть маской 255.255.255.198 например. Можно прописать таблицы маршрутов для каждого ИП адреса но делать это придется не только на шлюзе но и на каждой машине которая должна выходить в другую подсеть. так что проще сменить подсеть.

(16) Так и не надо обращаться к 192.168.1.10, к другим подсетям обращаемся по другим IP. Например 10.10.1.10.

(17) это крайне неудобно

Хотя если нужно обеспечить работу с разными подсетями 2-3 компов то можно прописать прямые маршруты на этих компах и шлюзах.

Я не понимаю какие проблемы на роутере 1 предприятия перенастроить ДНСП и он раздаст ИП другой подсети. 2 минуты работы и куча гемора отпадет

(20) ну знаешь некоторые любят айпи адреса хардкодить в скриптах, роутерах, даже коде 1С, в списках баз 1С пользователей

(20) не все любят DHCP по соображениям безопасности - админам спокойнее, когда посторонняя железка, будучи тупо воткнутой в сеть, не может просто так взять и начать проявлять активность без дополнительных телодвижений.

(22) DHCP - тут при чем? Я уже давно не видел сетей без DHCP.

(21) В этом случае в роутере нужно сделать всего 1-2 подмену прописанных ИП адресов на новые. Хотя пройтись по реестру и заменить 192.168.1.100 на 192.168.2.100 + поиск и замена в коде 1с желательно на грамотную реализацию еще 20 минут времени.

(24) насчет 20 мин сомневаюсь, но что желательно подсеть сменить согласен

(23) я видел, причем на крупном предприятии. DHCP при том, что его достаточно простые реализации позволяют воткнуть в розетку любую не авторизованную железку и она тут же получит легальный IP. Понятно, что в принципе подобрать себе подходящий айпишник можно и без DHCP, но исходят из того, что это сложнее.

(26) Ну получила железка айпи, дальше что?

(22) и как прямое указание ип адреса влияет на безопасность?
ДНСР выделяется узкий диапазон адресов. Где нужны фиксированные прописуем в ДНС. И это будет не куроченье сети а приведение ее к промышленным стандартам.
Чем дольше оставлять такой зоопарк тем труднее будет его исправить в будущем. Сеть имеет свойство расти и если сейчас нужно разово правильно настроить 5-255 устройств то потом их может быть гораздо больше и сделать это безболезненно будет еще проблемней. Сейчас это можно сделать задержавшись на 2-3 часа после работы или выйдя в выходные потом придется НГ или майские праздники встречать на предприятии.

(27) дальше сканирование других IP и портов, атаки, взлом, кровькишкираспи...расило. Вам логику безопасников объяснять?

(26) Делай фильтрацию по мак адресам кто запрещает. Выдавай сертификаты подлинности компам юзерам и т.п. Вы ставите типа железные ворота забыв построить забор, смысл в железных воротах?

(29) мгагаг, а если без ДХЦП взломщика это остановит? )))

(29) По логике нормальных безопасников, а не эникеев, никакая посторонняя железка в сети не может ни черта сделать, ибо посторонние порты закрыты, потенциально уязвимые узлы в DMZ, а чувствительные данные в сети шифруются на уровне протокола.

Как раз идиотизм НЕ использовать DHCP

(32) если у чела есть физичесткий доступ к сетке, то уже пофиг, уже все сломано

Если чел получи физический доступ, чтобы подключить устройство то узнать ип в сети вообще не проблема.

Никакой свободный порт (ethernet, usb), никакая открытая гостевая вафля не должны давать ни малейшего преимущества атакующему.

(34), (35) Это все понятно. Но - явление такое есть

(34) Да ничего не сломано. Физический доступ к сети, особенно в крупной компании, получить несложно, от этого отталкивается политика инфобеза в плане сетевой безопасности.

(0) меняй адресацию....

(37) нету это безграмотность админа который не может доказать какими методами он обеспечивает безопасность и не рискует пройти независимый аудит для подтверждения этого чтобы СБ занималась своими прямыми обязанностями в которых разбираются.

(38) я вообще не понимаю что за хню ты несешь

(41) Ну хоть признался, и то хорошо.

(41) На пальцах - если любой свободный эзернет порт у тебя является такой дырой в безопасности, что "всё уже сломано" - никакой безопасности у тебя нет.

(41) он прав. Проконтролировать каждую розетку в крупном комплексе зданий невозможно.

(43)При появление в сети устройства с новым мак адресом Админу через 5 минут придет СМС. С указанием где это устройство появилось. Если чел узнал легальный мак-адрес то узнай ИП еще меньшая проблема.

(41) +++,  тут трое такую хню несут, что просто кошмар, особенно с DHCP понравилось и контроль розеток на предприятии.
Задаться вопросом, а как злоумышленник пройдет на предприятие, войдет в кабинет, подключится к розетке и никто не заметит, тямы не хватает.

44 Отключай физически или программно все не нужные розетки.
Если данные на столько важны метало детектор на КПП и не дать возможность занести вынести левые устройства.

+ тупая отмазка глюпых админов и некомпетентной службы СБ

(46) Ну то есть дебилы-админы в ваших сетях рассчитывают на то, что никто и ни при каких обстоятельствах не сможет подключить к сетевой розетке левый девайс?

Злоумышленником может быть и собственный сотрудник, есичо.

Вы вообще про Kerberos и IPSec слышали? О_о

(47) Бугага, ты еще полное раздевание и осмотр как в зоне предложи

(52) Ты сам эту хню и предлагаешь, перекладывая сетевую безопасность на вахтёров.

(50) тупая отмазка, если у него есть рабочее место,  то ты хоть своим задом все розетки закрой
Это называе6тся шизофрения в купе с параноей

(54) То, что с его рабочего места жёстко разграничен доступ, в голову не приходит?
Вот пришёл сотрудник с "заряженным" девайсом с какой-нибудь Kali OS, подключился к локальной сети - и всё, пиндык всей безопасности?

(53) ну если у вас в СБ вахтерша бабушка божий одуванчик, тогда да, незабудь поставить штук пять антивирусов и 10 фаерволов

Думаешь ФСБ и Пентагон своим сотрудникам тоже на прямую ип прописуют.
(52) Знакомый работает на авиазаводе рамка матало детектора на входе телефоны, флешки и т.п. сдаешь в камеру хранения на выходе получаешь, часы, ключи и т.п. передаешь в корзинке как в аэропорту. Сам туда периодически по делам захожу. Обычная практика где народ реально занимается безопасностью а не фигней страдает.

пля, какой ты тупой, просто ужас
почитай на досуге про сетевую безопастность и доступ к ресурсам

(46) я думал тут нормальных нет )) ан нет, вижу есть

(57) есть предприятия с разными уровнями допуска, там да.
а на преприятии где одни менеджеры какой нах уровень доступа и что там за секреты, которые нельзя угнать, если есть телефон и доступ к этим файлам

(60) видно тебе лучше жевать чем говорить
тупой и еще тупее

ок спасибо,изучаем варианты,
подсеть конечно изменим позже изучаем быстрые варианты

(64) че их изучать то? сказали же DHCP самый правильный и быстрый

(63) Расскажи мне, как ты с телефона угонишь файлы из локальной сети.

(63) не ведись на троля

+(66) USB у тебя закрыты, гостевая вафля вынесена за LAN, вперёд, девочка-хакер.

(67) Я не троллю, это вы, два хамла, конструктивную дискуссию перевели в ср@ч.

(68) ну ты действительно тупой или прикидываешься таковым?

(68) ЮСБ закрыты отключены новое устройство не подключится. биос запоролен с левой флешки не загрузишся.

(70) Так расскажешь алгоритм? У тебя телефон, который ты не можешь подключить к рабочей станции или зайти с него на внутренний SMB ресурс. Как ты угонишь файлы?

(71) >что там за секреты, которые нельзя угнать, если есть телефон и доступ к этим файлам

Ну вот крутой безопасник в (61) утверждает, что ничего сложного нет.

(0) Ну можно объединить на втором уровне.
Но тогда у тебя не будет работать сетка, если и стой и с этой стороны есть 192.168.1.1

(0) Нифига не сделаешь. Меняй адресацию. Самому жить будет проще.

(73) ну для начало, можно сфотать и не нужен сам файл

%))
Так и знал.
Гениальный образчик хакерского искусства.

Вопрос исчерпан.

-Агент Смит, у вас есть база данных конкурентов?
-Лучше, у меня есть фотография базы данных конкурентов

(74) + а если организации большие, то можно столкнутся с нехваткой IP адресов, поэтому лучше сразу всех перевести в подсеть другого класса

(?6) ты поменьше кино про хакеров смотри

Зачем кино, когда эта ветка есть с кульхацкерами, вооруженными фотоаппаратами? :)

(0) Если речь только о серверах 1С, пробрось порты, как в (5) посоветовали, и не заморачивайся.

(80) да, ты действительно тупой, куда ты пробросишь порты?
закрой USB, а клава, мышки усбшные пофиг, что не работают,
хакер дырявый бгага
таких спецов безопастности гнать надо сцанными тряпками

+ приведи пример проброски таких портов

(81) Ты не знаешь, как пробрасывать порты на роутере?

>закрой USB, а клава, мышки усбшные пофиг, что не работают

С чего это не работают? Раздел GPO "Removable storage access" как влияет на мышки и клавы?

Мальчик, ты что-то заговариваешься. Это и есть "нормальное общение" по мнению модераторов?

Ну ка ну ка, раскажи про проброс портов в сети с одниковыми IP и где стоит роутер
детка, ты тупиш не подецки.

Роутера как минимум два вообще-то.
ip nat и далее по тексту.

Раздел GPO "Removable storage access"
машина с Win7 хомяк, в домен не входит, примени ко мне политику?

(85) да хоть три
IP одинаковые

(87) IP у роутеров, смотрящих в WLAN, одинаковые?
(86) Что ты сделаешь с этой внедоменной машины с включенным USB?

+(86) МакОС, в домен не входит
Линукс, в домен не входит, примени политику и закрой мне усб порты

(89) Ещё раз, что ты сделаешь с этих машин, не входящих в домен? Получишь доступ к своим файлам?

Расскажи мне, каким образом ты вообще в сеть зайдёшь с IPSec без сертификата?

(88) ты точно тормоз, у меня есть доступ к файлам, я с этих машин могу скачать все то, где есть доступ
так что ты, зная только винду серии проф, подключенной в домен, лучше молчи

Чот надоела эта клоунада. Бывай, "безопасник".

Тупее я ещё троллей не видел.

(90) да, смогу, зная свой логин и пароль

Давай, иди кино про хакеров смотри, а то можно скатится до твоего тупого уровня

(94) пока тупо ты здесь тролль

(91) не ты действительно туп, даже что то объяснять тебе надоело
выучил громкое название протокола и всем тут рассказываешь.
еще раз, я знаю пару логин/ пароль, я работаю на этом предприятии и у меня есть доступ к файлам, машина под линухом, я могу скачать все, к чему у меня есть доступ.

(98) Ты не сможешь со своей "машины под линухом" зайти в защищённую сеть.
Можешь хоть сто раз блеять одно и то же, но для начала лучше покурил бы матчасть, чтобы не выглядеть идиотом.

Погугли, открой для себя NAP.

(99) не, я конечно понимаю, что у тебя плохо с русским языком и читать ты не умеешь.  но что бы настолько тупить, это да