Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   Статический IP без провайдера... возможно ли.. (http://forum.oszone.net/showthread.php?t=347016)

DimonNT 13-11-2020 12:41 2939819

Статический IP без провайдера... возможно ли..
 
Друзья, вопрос следующий:
У нас такая схема работы:
Есть удалённый сервер, к которому я подключаюсь по скрипту... ну не суть:
Сервер - статический IP
Я - динамический IP
Задача: Забирать файлы из удалённого сервера.
На сервере настроена фильтрация по IP т.е. разрешенный список адресов для подключения.
Временно прописал на сервере свой текущий IP... около месяца всё было норм, но спасибо электрикам, было отключение и при переподключении случился ребут и вновь новый IP....
Я задался вопросом, а можно ли как-то поднять статику без оплаты провайдеру (пров оборзел по ценнику... ну опять же не суть)...
Единственное что пришло в голову это DDNS.... но это домен, а Firewall требуют IP, вот и дилема: Как бы заставить этот домен преобразовать в ip ?
Или есть какие-то ещё варианты статического iP кроме аренды у провайдера?

Jula0071 13-11-2020 13:50 2939828

Цитата:

Цитата DimonNT
Единственное что пришло в голову это DDNS.... но это домен, а Firewall требуют IP »

pfSense понимает алиасы вида host (FQDN). Cisco ASA тоже умеют в объекты FQDN в access-list. Наверное и другие взрослые брандмауэры тоже, но не смотрел. О каком firewall конкретном речь?

Но я бы просто отказался от IP ACL в пользу аутентификации по паролю/ключу/сертификату с использованием надёжного протокола. При максимум паранойе завернул бы в VPN.

DimonNT 13-11-2020 15:22 2939835

Цитата:

Цитата Jula0071
О каком firewall конкретном речь? »

Штатный в Windows Server и Firewall на стороне роутера на Open WRT, вот по Open WRT у меня вопросов нет, прям я больше чем уверен что такой номер пройдёт...
А вот в Windows Server 2012 и в штатном Firewall там перечень IP которых пускать...

Цитата:

Цитата Jula0071
При максимум паранойе завернул бы в VPN. »

Базара ноль, но сервер отказывается. хотят всё максимум по бюджетному сделать... OpenVPN всего навсего 3 клиента максимум бесплатно пускает

Jula0071 13-11-2020 16:03 2939839

Цитата:

Цитата DimonNT
вот по Open WRT у меня вопросов нет, прям я больше чем уверен что такой номер пройдёт... »

А я вот не уверен, по запросу openwrt firewall acl fqdn не нашлось ничего подходящего.
Цитата:

Цитата DimonNT
OpenVPN всего навсего 3 клиента максимум бесплатно пускает »

Не OpenVPN, а OpenVPN AS (коммерческий вариант этого решения), не 3, а 2 одновременно. Некоммерчекий вариант никаких ограничений не имеет, но настраивать и менеджить его неудобно, всё через конфиги и командную строку. Впрочем, можно тупо поднять в виртуалке pfSense и там пользоваться годной и бесплатной оснасткой OpenVPN. Также есть и другие бесплатные решения, SoftEther например. Накрайняк сгодится и ZeroTier.

Но то про повышение безопасности, а главная мысль была
Цитата:

Цитата Jula0071
отказался от IP ACL в пользу аутентификации по паролю/ключу/сертификату с использованием надёжного протокола »


DimonNT 13-11-2020 16:42 2939848

Цитата:

Цитата Jula0071
а главная мысль была »

Я вас понимаю прекрасно... но сервер не изменить... можно только на моей стороне поправить что-то, ибо к серваку подключается порядка 50-ти клиентов...
Если все 50 клиентов перестраивать, это долго, мутно и они разбросаны далеко весьма...


Хотя я что-то туплю, можно же банально на том конце провода завести OpenVPN на роутере OpenWRT и на этом закрыть дело :)...

Jula0071 13-11-2020 19:07 2939870

Цитата:

Цитата DimonNT
но сервер не изменить... »

Чойта?
Цитата:

Цитата DimonNT
можно только на моей стороне поправить что-то, ибо к серваку подключается порядка 50-ти клиентов... »

Протокол подключения секрет? Реверс прокси с аутентификацией воткнуть не умеем готовить?
Цитата:

Цитата DimonNT
можно же банально на том конце провода завести OpenVPN на роутере OpenWRT и на этом закрыть дело »

Если он не встанет раком от нагрузки. Шифрование требует изрядных ресурсов, а опневрт обычно ставят на дешёвые говнорутеры, чтоб сделать их чуть более функциональными, но не менее тухлыми.

DimonNT 13-11-2020 19:09 2939872

Цитата:

Цитата Jula0071
Чойта? »

Он находится в вышестоящем подразделении, а там свой айтишник, которому плевать на то что у нашей конторы денег нет, и настроено там всё абы как...
Цитата:

Цитата Jula0071
Если он не встанет раком от нагрузки »

А там нагрузка никакая, раз в 20-30 минут перекинуть 100 килобайт информации туда-сюда, просто обмены 1с регламентной информацией

Jula0071 13-11-2020 19:41 2939875

Цитата:

Цитата DimonNT
Он находится в вышестоящем подразделении, а там свой айтишник, которому плевать на то что у нашей конторы денег нет, и настроено там всё абы как... »

Как всё сложно. Я б на вашем месте валил со свистом с такой помойки.
Цитата:

Цитата DimonNT
раз в 20-30 минут перекинуть 100 килобайт информации туда-сюда »

Ок, сойдёт. Но почему нельзя организовать автоматически такое мне тоже малопонятно.

DimonNT 14-11-2020 06:26 2939910

Цитата:

Цитата Jula0071
Ок, сойдёт. Но почему нельзя организовать автоматически такое мне тоже малопонятно. »

Так оно и происходит автоматически: 1с на стороне сервера складывает в каталог который расшарен для моей организации (на самом деле если я по FTP зайду то увижу файлы всех подразделений), и потом когда эти файлы появляются, то с моей стороны база через какое-то время их забирает и оставляет флаг что всё принял...
Это всё происходит автоматически))

Angry Demon 15-11-2020 09:22 2939998

DimonNT, если есть FTP, то на хрена козе такой тюнинг баяна расшаривать папки?! :o Что за извращения?

Busla 15-11-2020 11:51 2940011

Angry Demon, скорее наоборот: использование FTP - извращение по целому списку прямых и косвенных причин:
к smb-шаре практически всё ПО может напрямую обратиться и поэтому её легко балансировать хоть на уровне DNS, хоть на уровне DFSn
на smb-шаре штатно прозрачная авторизация - не нужно внутри ПО заморачиваться хранением паролей

DimonNT 16-11-2020 07:27 2940105

Цитата:

Цитата Angry Demon
если есть FTP, то на хрена »

Мой косяк, неверно выразился))) Конечно же тупо FTP никто никуда не расшарен...
Я сейчас опять думаю...... и думаю что VPN опять не выход, ибо всё равно Firewall встроенный в роутер будет фильтровать мой IP также как и встроенный в систему... хотя он уже будет как локальный..

dislike 16-11-2020 08:54 2940109

Цитата:

Цитата DimonNT
есть какие-то ещё варианты статического iP кроме аренды у провайдера? »

Отвечая на ваш вопрос - нет, нету. Вы вообще как себе это представляете?Посмотрите на себя: пусть у вас есть сеть на n узлов, в сети динамическая адресация. Всё работает. И вдруг один самый "умный" узел внезапно ставит себе статические настройки и начинает плодить конфликты в сети. Вам это надо? Нет. Что вы сделаете первым делом? Наложите на этот узел все возможные кары. А теперь представьте, что вы - и есть тот провайдер, у которого один клиент собрался играть не по правилам.

Возвращаясь к вашей проблеме:
Цитата:

около месяца всё было норм, но спасибо электрикам, было отключение и при переподключении случился ребут и вновь новый IP
Купите хороший ИБП (два, три хороших ИБП)


Как один из вариантов - пожертвовать личным оборудованием и счетами за электроэнергию и лазить на сервер, например, через домашний компьютер, имеющий статический адрес более дешевый, чем для юр.лиц.

Angry Demon 16-11-2020 08:59 2940110

Busla, ну, если ТС делает это при помощи 1С, то там именно FTP, насколько я помню.

Цитата:

Цитата DimonNT
думаю что VPN опять не выход

А VPN обязательно сторонний хотите использовать? Чем встроенный в Windows не угодил?

Цитата:

Цитата DimonNT
Firewall встроенный в роутер будет фильтровать мой IP также как и встроенный в систему

Задайте диапазон разрешённых IP-адресов из пула DHCP провайдера. В чём проблема-то?

DimonNT 16-11-2020 12:07 2940123

Цитата:

Цитата Angry Demon
А VPN обязательно сторонний хотите использовать? Чем встроенный в Windows не угодил? »

А VPN вообще не выход, если допустим на стороне роутера я разрешу свой адрес, и собсна он будет подключаться к серверу, и опять же при смене, Firewall его будет отфильтровывать...
Если на стороне системы VPN юзать, то у меня будет двойная проблема и Роутер будет фильтровать и система....
Цитата:

Цитата dislike
А теперь представьте, что вы - и есть тот провайдер, у которого один клиент собрался играть не по правилам. »

У меня вообще какая мысль изначально была: На стороне сервака преобразовывать домен в IP чтобы firewall принимал от него пакеты... но в процессе я всё больше начал понимать что это никак не сделать, если в системе ещё можно придумать как прикрутить то в роутере уже никак...

Angry Demon 16-11-2020 12:40 2940129

Цитата:

Цитата DimonNT
на стороне роутера я разрешу свой адрес, и собсна он будет подключаться к серверу, и опять же при смене, Firewall его будет отфильтровывать

Цитата:

Цитата Angry Demon
Задайте диапазон разрешённых IP-адресов из пула DHCP провайдера. В чём проблема-то?


dislike 16-11-2020 15:43 2940151

Angry Demon,

Цитата:

Задайте диапазон разрешённых IP-адресов из пула DHCP провайдера. В чём проблема-то?
Хоть я и не автор вопроса, но будь я автором, спросил бы как минимум:

а) как узнать пул DHCP провайдера? Спросить напрямую? И они прям рады будут выложить всё как есть?

б) с точки зрения админа удаленного сервера: в чем прикол городить огород с входом юзеров только с разрешенных IP адресов, типа мы тут пытаемся в безопасность, и тут же не отходя от кассы открываем доступ неопределенному кругу неизвестных лиц? нонсенс)

DimonNT 16-11-2020 16:08 2940156

Цитата:

Цитата dislike
открываем доступ неопределенному кругу неизвестных лиц? »

Чёйта? Там только список разрешённых адресов...

dislike 17-11-2020 09:31 2940216

Цитата:

Цитата DimonNT
Чёйта? Там только список разрешённых адресов... »

Если реализовать предложение Angry Demon :

Цитата:

Цитата Angry Demon
Задайте диапазон разрешённых IP-адресов из пула DHCP провайдера. »

То у вас получится, что в список разрешенных IP внесены адреса, которые провайдер потенциально может выделить своим абанентам, т.е. неопределенному кругу неизвестных вам лиц, которые теоретически получат доступ к защищаемому серверу

Angry Demon 17-11-2020 17:59 2940255

Цитата:

Цитата dislike
в список разрешенных IP внесены адреса, которые провайдер потенциально может выделить своим абанентам, т.е. неопределенному кругу неизвестных вам лиц, которые теоретически получат доступ к защищаемому серверу

Я и не говорю, что это лучший вариант, но если ТС не желает уйти от организации всего через пятую точку, то такой костыль ему поможет.

Molchune 18-11-2020 15:42 2940353

Не написано какой firewall
Но думаю port-knocking вам поможет.

Jula0071 19-11-2020 15:50 2940435

Цитата:

Цитата Molchune
port-knocking »

У него опенврт, поможет, если не задолбается настраивать


Время: 14:41.

Время: 14:41.
© OSzone.net 2001-