Статический IP без провайдера... возможно ли..
 

Друзья, вопрос следующий:
У нас такая схема работы:
Есть удалённый сервер, к которому я подключаюсь по скрипту... ну не суть:
Сервер - статический IP
Я - динамический IP
Задача: Забирать файлы из удалённого сервера.
На сервере настроена фильтрация по IP т.е. разрешенный список адресов для подключения.
Временно прописал на сервере свой текущий IP... около месяца всё было норм, но спасибо электрикам, было отключение и при переподключении случился ребут и вновь новый IP....
Я задался вопросом, а можно ли как-то поднять статику без оплаты провайдеру (пров оборзел по ценнику... ну опять же не суть)...
Единственное что пришло в голову это DDNS.... но это домен, а Firewall требуют IP, вот и дилема: Как бы заставить этот домен преобразовать в ip ?
Или есть какие-то ещё варианты статического iP кроме аренды у провайдера?

pfSense понимает алиасы вида host (FQDN). Cisco ASA тоже умеют в объекты FQDN в access-list. Наверное и другие взрослые брандмауэры тоже, но не смотрел. О каком firewall конкретном речь?

Но я бы просто отказался от IP ACL в пользу аутентификации по паролю/ключу/сертификату с использованием надёжного протокола. При максимум паранойе завернул бы в VPN.

Штатный в Windows Server и Firewall на стороне роутера на Open WRT, вот по Open WRT у меня вопросов нет, прям я больше чем уверен что такой номер пройдёт...
А вот в Windows Server 2012 и в штатном Firewall там перечень IP которых пускать...

Базара ноль, но сервер отказывается. хотят всё максимум по бюджетному сделать... OpenVPN всего навсего 3 клиента максимум бесплатно пускает

А я вот не уверен, по запросу openwrt firewall acl fqdn не нашлось ничего подходящего.
Не OpenVPN, а OpenVPN AS (коммерческий вариант этого решения), не 3, а 2 одновременно. Некоммерчекий вариант никаких ограничений не имеет, но настраивать и менеджить его неудобно, всё через конфиги и командную строку. Впрочем, можно тупо поднять в виртуалке pfSense и там пользоваться годной и бесплатной оснасткой OpenVPN. Также есть и другие бесплатные решения, SoftEther например. Накрайняк сгодится и ZeroTier.

Но то про повышение безопасности, а главная мысль была

Я вас понимаю прекрасно... но сервер не изменить... можно только на моей стороне поправить что-то, ибо к серваку подключается порядка 50-ти клиентов...
Если все 50 клиентов перестраивать, это долго, мутно и они разбросаны далеко весьма...


Хотя я что-то туплю, можно же банально на том конце провода завести OpenVPN на роутере OpenWRT и на этом закрыть дело :)...

Чойта? Протокол подключения секрет? Реверс прокси с аутентификацией воткнуть не умеем готовить?
Если он не встанет раком от нагрузки. Шифрование требует изрядных ресурсов, а опневрт обычно ставят на дешёвые говнорутеры, чтоб сделать их чуть более функциональными, но не менее тухлыми.

Он находится в вышестоящем подразделении, а там свой айтишник, которому плевать на то что у нашей конторы денег нет, и настроено там всё абы как...
А там нагрузка никакая, раз в 20-30 минут перекинуть 100 килобайт информации туда-сюда, просто обмены 1с регламентной информацией

Как всё сложно. Я б на вашем месте валил со свистом с такой помойки.
Ок, сойдёт. Но почему нельзя организовать автоматически такое мне тоже малопонятно.

Так оно и происходит автоматически: 1с на стороне сервера складывает в каталог который расшарен для моей организации (на самом деле если я по FTP зайду то увижу файлы всех подразделений), и потом когда эти файлы появляются, то с моей стороны база через какое-то время их забирает и оставляет флаг что всё принял...
Это всё происходит автоматически))

DimonNT, если есть FTP, то на хрена козе такой тюнинг баяна расшаривать папки?! :o Что за извращения?

Мой косяк, неверно выразился))) Конечно же тупо FTP никто никуда не расшарен...
Я сейчас опять думаю...... и думаю что VPN опять не выход, ибо всё равно Firewall встроенный в роутер будет фильтровать мой IP также как и встроенный в систему... хотя он уже будет как локальный..

Отвечая на ваш вопрос - нет, нету. Вы вообще как себе это представляете?Посмотрите на себя: пусть у вас есть сеть на n узлов, в сети динамическая адресация. Всё работает. И вдруг один самый "умный" узел внезапно ставит себе статические настройки и начинает плодить конфликты в сети. Вам это надо? Нет. Что вы сделаете первым делом? Наложите на этот узел все возможные кары. А теперь представьте, что вы - и есть тот провайдер, у которого один клиент собрался играть не по правилам.

Возвращаясь к вашей проблеме:
Купите хороший ИБП (два, три хороших ИБП)


Как один из вариантов - пожертвовать личным оборудованием и счетами за электроэнергию и лазить на сервер, например, через домашний компьютер, имеющий статический адрес более дешевый, чем для юр.лиц.

Busla, ну, если ТС делает это при помощи 1С, то там именно FTP, насколько я помню.

А VPN обязательно сторонний хотите использовать? Чем встроенный в Windows не угодил?

Задайте диапазон разрешённых IP-адресов из пула DHCP провайдера. В чём проблема-то?

А VPN вообще не выход, если допустим на стороне роутера я разрешу свой адрес, и собсна он будет подключаться к серверу, и опять же при смене, Firewall его будет отфильтровывать...
Если на стороне системы VPN юзать, то у меня будет двойная проблема и Роутер будет фильтровать и система....
У меня вообще какая мысль изначально была: На стороне сервака преобразовывать домен в IP чтобы firewall принимал от него пакеты... но в процессе я всё больше начал понимать что это никак не сделать, если в системе ещё можно придумать как прикрутить то в роутере уже никак...

Angry Demon,

Хоть я и не автор вопроса, но будь я автором, спросил бы как минимум:

а) как узнать пул DHCP провайдера? Спросить напрямую? И они прям рады будут выложить всё как есть?

б) с точки зрения админа удаленного сервера: в чем прикол городить огород с входом юзеров только с разрешенных IP адресов, типа мы тут пытаемся в безопасность, и тут же не отходя от кассы открываем доступ неопределенному кругу неизвестных лиц? нонсенс)

Чёйта? Там только список разрешённых адресов...

Если реализовать предложение Angry Demon :

То у вас получится, что в список разрешенных IP внесены адреса, которые провайдер потенциально может выделить своим абанентам, т.е. неопределенному кругу неизвестных вам лиц, которые теоретически получат доступ к защищаемому серверу

Я и не говорю, что это лучший вариант, но если ТС не желает уйти от организации всего через пятую точку, то такой костыль ему поможет.

Не написано какой firewall
Но думаю port-knocking вам поможет.

У него опенврт, поможет, если не задолбается настраивать