Друзья, вопрос следующий:
У нас такая схема работы:
Есть удалённый сервер, к которому я подключаюсь по скрипту... ну не суть:
Сервер - статический IP
Я - динамический IP
Задача: Забирать файлы из удалённого сервера.
На сервере настроена фильтрация по IP т.е. разрешенный список адресов для подключения.
Временно прописал на сервере свой текущий IP... около месяца всё было норм, но спасибо электрикам, было отключение и при переподключении случился ребут и вновь новый IP....
Я задался вопросом, а можно ли как-то поднять статику без оплаты провайдеру (пров оборзел по ценнику... ну опять же не суть)...
Единственное что пришло в голову это DDNS.... но это домен, а Firewall требуют IP, вот и дилема: Как бы заставить этот домен преобразовать в ip ?
Или есть какие-то ещё варианты статического iP кроме аренды у провайдера?

Единственное что пришло в голову это DDNS.... но это домен, а Firewall требуют IP »

pfSense понимает алиасы вида host (FQDN). Cisco ASA тоже умеют в объекты FQDN в access-list. Наверное и другие взрослые брандмауэры тоже, но не смотрел. О каком firewall конкретном речь?

Но я бы просто отказался от IP ACL в пользу аутентификации по паролю/ключу/сертификату с использованием надёжного протокола. При максимум паранойе завернул бы в VPN.

О каком firewall конкретном речь? »
Штатный в Windows Server и Firewall на стороне роутера на Open WRT, вот по Open WRT у меня вопросов нет, прям я больше чем уверен что такой номер пройдёт...
А вот в Windows Server 2012 и в штатном Firewall там перечень IP которых пускать...

При максимум паранойе завернул бы в VPN. »
Базара ноль, но сервер отказывается. хотят всё максимум по бюджетному сделать... OpenVPN всего навсего 3 клиента максимум бесплатно пускает

вот по Open WRT у меня вопросов нет, прям я больше чем уверен что такой номер пройдёт... »
А я вот не уверен, по запросу openwrt firewall acl fqdn не нашлось ничего подходящего.
OpenVPN всего навсего 3 клиента максимум бесплатно пускает »
Не OpenVPN, а OpenVPN AS (коммерческий вариант этого решения), не 3, а 2 одновременно. Некоммерчекий вариант никаких ограничений не имеет, но настраивать и менеджить его неудобно, всё через конфиги и командную строку. Впрочем, можно тупо поднять в виртуалке pfSense и там пользоваться годной и бесплатной оснасткой OpenVPN. Также есть и другие бесплатные решения, SoftEther например. Накрайняк сгодится и ZeroTier.

Но то про повышение безопасности, а главная мысль была отказался от IP ACL в пользу аутентификации по паролю/ключу/сертификату с использованием надёжного протокола »

а главная мысль была »
Я вас понимаю прекрасно... но сервер не изменить... можно только на моей стороне поправить что-то, ибо к серваку подключается порядка 50-ти клиентов...
Если все 50 клиентов перестраивать, это долго, мутно и они разбросаны далеко весьма...


Хотя я что-то туплю, можно же банально на том конце провода завести OpenVPN на роутере OpenWRT и на этом закрыть дело :)...

но сервер не изменить... »
Чойта? можно только на моей стороне поправить что-то, ибо к серваку подключается порядка 50-ти клиентов... »
Протокол подключения секрет? Реверс прокси с аутентификацией воткнуть не умеем готовить?
можно же банально на том конце провода завести OpenVPN на роутере OpenWRT и на этом закрыть дело »
Если он не встанет раком от нагрузки. Шифрование требует изрядных ресурсов, а опневрт обычно ставят на дешёвые говнорутеры, чтоб сделать их чуть более функциональными, но не менее тухлыми.

Чойта? »
Он находится в вышестоящем подразделении, а там свой айтишник, которому плевать на то что у нашей конторы денег нет, и настроено там всё абы как...
Если он не встанет раком от нагрузки »
А там нагрузка никакая, раз в 20-30 минут перекинуть 100 килобайт информации туда-сюда, просто обмены 1с регламентной информацией

Он находится в вышестоящем подразделении, а там свой айтишник, которому плевать на то что у нашей конторы денег нет, и настроено там всё абы как... »
Как всё сложно. Я б на вашем месте валил со свистом с такой помойки.
раз в 20-30 минут перекинуть 100 килобайт информации туда-сюда »
Ок, сойдёт. Но почему нельзя организовать автоматически такое мне тоже малопонятно.

Ок, сойдёт. Но почему нельзя организовать автоматически такое мне тоже малопонятно. »
Так оно и происходит автоматически: 1с на стороне сервера складывает в каталог который расшарен для моей организации (на самом деле если я по FTP зайду то увижу файлы всех подразделений), и потом когда эти файлы появляются, то с моей стороны база через какое-то время их забирает и оставляет флаг что всё принял...
Это всё происходит автоматически))

DimonNT, если есть FTP, то на хрена козе такой тюнинг баяна расшаривать папки?! :o Что за извращения?

Angry Demon, скорее наоборот: использование FTP - извращение по целому списку прямых и косвенных причин:
к smb-шаре практически всё ПО может напрямую обратиться и поэтому её легко балансировать хоть на уровне DNS, хоть на уровне DFSn
на smb-шаре штатно прозрачная авторизация - не нужно внутри ПО заморачиваться хранением паролей

если есть FTP, то на хрена »
Мой косяк, неверно выразился))) Конечно же тупо FTP никто никуда не расшарен...
Я сейчас опять думаю...... и думаю что VPN опять не выход, ибо всё равно Firewall встроенный в роутер будет фильтровать мой IP также как и встроенный в систему... хотя он уже будет как локальный..

есть какие-то ещё варианты статического iP кроме аренды у провайдера? »
Отвечая на ваш вопрос - нет, нету. Вы вообще как себе это представляете?Посмотрите на себя: пусть у вас есть сеть на n узлов, в сети динамическая адресация. Всё работает. И вдруг один самый "умный" узел внезапно ставит себе статические настройки и начинает плодить конфликты в сети. Вам это надо? Нет. Что вы сделаете первым делом? Наложите на этот узел все возможные кары. А теперь представьте, что вы - и есть тот провайдер, у которого один клиент собрался играть не по правилам.

Возвращаясь к вашей проблеме:
около месяца всё было норм, но спасибо электрикам, было отключение и при переподключении случился ребут и вновь новый IP
Купите хороший ИБП (два, три хороших ИБП)


Как один из вариантов - пожертвовать личным оборудованием и счетами за электроэнергию и лазить на сервер, например, через домашний компьютер, имеющий статический адрес более дешевый, чем для юр.лиц.

Busla, ну, если ТС делает это при помощи 1С, то там именно FTP, насколько я помню.

думаю что VPN опять не выход
А VPN обязательно сторонний хотите использовать? Чем встроенный в Windows не угодил?

Firewall встроенный в роутер будет фильтровать мой IP также как и встроенный в систему
Задайте диапазон разрешённых IP-адресов из пула DHCP провайдера. В чём проблема-то?

А VPN обязательно сторонний хотите использовать? Чем встроенный в Windows не угодил? »
А VPN вообще не выход, если допустим на стороне роутера я разрешу свой адрес, и собсна он будет подключаться к серверу, и опять же при смене, Firewall его будет отфильтровывать...
Если на стороне системы VPN юзать, то у меня будет двойная проблема и Роутер будет фильтровать и система....
А теперь представьте, что вы - и есть тот провайдер, у которого один клиент собрался играть не по правилам. »
У меня вообще какая мысль изначально была: На стороне сервака преобразовывать домен в IP чтобы firewall принимал от него пакеты... но в процессе я всё больше начал понимать что это никак не сделать, если в системе ещё можно придумать как прикрутить то в роутере уже никак...

на стороне роутера я разрешу свой адрес, и собсна он будет подключаться к серверу, и опять же при смене, Firewall его будет отфильтровывать
Задайте диапазон разрешённых IP-адресов из пула DHCP провайдера. В чём проблема-то?

Angry Demon,

Задайте диапазон разрешённых IP-адресов из пула DHCP провайдера. В чём проблема-то?

Хоть я и не автор вопроса, но будь я автором, спросил бы как минимум:

а) как узнать пул DHCP провайдера? Спросить напрямую? И они прям рады будут выложить всё как есть?

б) с точки зрения админа удаленного сервера: в чем прикол городить огород с входом юзеров только с разрешенных IP адресов, типа мы тут пытаемся в безопасность, и тут же не отходя от кассы открываем доступ неопределенному кругу неизвестных лиц? нонсенс)

открываем доступ неопределенному кругу неизвестных лиц? »
Чёйта? Там только список разрешённых адресов...

Чёйта? Там только список разрешённых адресов... »
Если реализовать предложение Angry Demon :

Задайте диапазон разрешённых IP-адресов из пула DHCP провайдера. »

То у вас получится, что в список разрешенных IP внесены адреса, которые провайдер потенциально может выделить своим абанентам, т.е. неопределенному кругу неизвестных вам лиц, которые теоретически получат доступ к защищаемому серверу

в список разрешенных IP внесены адреса, которые провайдер потенциально может выделить своим абанентам, т.е. неопределенному кругу неизвестных вам лиц, которые теоретически получат доступ к защищаемому серверу
Я и не говорю, что это лучший вариант, но если ТС не желает уйти от организации всего через пятую точку, то такой костыль ему поможет.