Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
(Вроде бы) NAT между VLAN'ами... 1:1 NAT?, wifiman
 
#1
04.03.2025 09:55:00
Привет!

У нас возникло довольно раздражающее специфическое требование, которое мы пытаемся решить с помощью Cloud Gateway Ultra. Не буду вас утомлять причинами, но мы имеем дело с крупной транснациональной корпорацией, которая не собирается ничего менять на своих серверах, ну вы понимаете таких. 😉

У них есть кредитные терминалы в собственном подсегменте, 10.10.45.0/24, а у нас есть сеть административного офиса, 192.168.1.0/24. На сети административного офиса есть сервер, которому нужно общаться с кредитными терминалами, но владелец этого сервера не хочет добавлять маршрут к сети терминалов через наш UCG, и шлюз по умолчанию для этого сервера — не UCG, а значит подсегмент сети кредитных терминалов недоступен для сервера. <вздох> Да ладно! <бормочет>

Нам нужно представить каждый кредитный терминал на сети административного офиса с отдельным IP-адресом в этой же сети, примерно так…

192.168.1.220 <-> 10.10.45.100
192.168.1.221 <-> 10.10.45.101
192.168.1.222 <-> 10.10.45.102
192.168.1.223 <-> 10.10.45.103

То есть, когда сервер пытается связаться с кредитным терминалом по адресу 192.168.1.220, UCG маршрутизирует/NAT-ит/что-то вроде этого трафик на соответствующий IP-адрес в другом подсегменте, 10.10.45.100.

Раздражает, что на этом объекте сейчас стоит старый файрвол Sophos, который делает это легко. Как нам это реализовать с помощью UGC Ultra? Кажется, нужен 1:1 NAT, но я ничего подобного не вижу в GUI.

Всего хорошего,
Джейсон.
 
 
 
#2
19.03.2025 09:13:00
@waterside, да, ты прав. Какой смысл иметь «защищённые» устройства в отдельной подсети, если к ним всё равно можно получить доступ из административной? Мы здесь новички, так что это решение, скорее всего, приняли ещё до нас. Скорее всего, это было связано с требованиями PCI-compliance, и им пришлось подчиниться. Со временем мы постараемся упростить сеть, но у них старый файрвол скоро выйдет из строя, и нам нужно срочно заменить его на что-то, что будет выполнять необходимые функции.
 
 
 
#3
14.03.2025 13:41:00
Это начинает ощущаться как очень сомнительная затея. Во-первых, упоминание 'карманных терминалов' намекает на целый ряд дополнительных регуляторных требований и потенциальных проверок. Не зря эти типы терминалов выделены и потенциально изолированы. Вам потребуется сотрудничество тех, кто администрирует эту сеть и терминалы, ведь трафик двусторонний: только потому, что вы сможете настроить свой сервер для связи с этими терминалами, не значит, что они умеют связываться обратно. Любое решение с использованием NAT должно быть подключено напрямую к сети карт, а не просто маршрутизировано. Вы отметили, что для этого подсети уже есть файрвол, значит ваш трафик должен проходить через него. Пытаться обойти файрвол — не правильное решение, и если это действительно платежные карманные терминалы, то это может иметь серьезные последствия для "крупной международной корпорации". Есть причина, по которой администратор этой сети так строг. Мои два цента — вам нужно сесть и поговорить с соответствующим администратором сети и оборудования для карт и вместе разработать правильное решение.
 
 
 
#4
14.03.2025 09:03:00
Кто-нибудь уже думал об этом? Сможет ли EdgeRouter это сделать?
 
 
 
#5
04.03.2025 10:35:00
Привет @FrankNicklin, Сервер имеет NIC в админ-сети, поэтому может достучаться до 192.168.1.0/24, проблем нет, так что пока всё работает, потому что брандмауэр Sophos может представить каждый из терминалов карт в админ-сети, используя IP-адреса 192.168.1.0... конкретно, отображение, которое я показал в своём посте. В такой конфигурации (проблемный) сервер не нуждается в статическом маршруте, потому что терминалы карт находятся в локальной админ-подсети. Ты знаешь, как провернуть этот трюк, используя UCG Ultra?

С уважением,
Jason.
 
 
 
#6
04.03.2025 10:17:00
Если серверу нужно общаться с терминалами, но он не использует UCG в качестве шлюза, как сервер узнает, что нужно обращаться к UCG для карманных терминалов, если владелец сервера не внесет никаких изменений в конфигурацию сервера?
 
 
 
Страницы: 1
Читают тему (гостей: 1)