Ich habe hier ein kleines spezifisches Problem, das ich zufriedenstellend lösen möchte (muss). In meiner Firma gibt es mehrere (IPv4-) Netzwerke, die von unserem Router in der Mitte gesteuert werden. Typische kleinere Ladeneinrichtung. Es gibt jetzt ein zusätzliches Netzwerk mit einem IP-Bereich AUSSERHALB unserer Steuerung, das mit einem anderen Router AUSSERHALB unserer Steuerung mit dem Internet verbunden ist. Nennen wir es ein Projektnetzwerk, das Teil eines anderen Unternehmensnetzwerks ist und über das von ihnen eingerichtete VPN kombiniert wird.
Das heisst:
- Sie steuern den Router, der für dieses Netzwerk verwendet wird und
- Sie können Dinge neu konfigurieren, damit sie auf die Maschinen in diesem Netzwerk zugreifen können.
Das Netzwerk ist physisch auf unserer Seite durch einige VLAN-fähige Switches aufgeteilt, da es drei Standorte abdeckt. An einem Ende befindet sich der Router, den die andere Firma kontrolliert.
Ich muss / möchte den in diesem Netzwerk verwendeten Maschinen Zugriff auf mein Firmennetzwerk gewähren. In der Tat kann es sinnvoll sein, sie in meine Active Directory-Domäne aufzunehmen. Die Leute, die an diesen Maschinen arbeiten, sind Teil meiner Firma. ABER - ich muss dies tun, ohne die Sicherheit meines Unternehmensnetzwerks vor äußeren Einflüssen zu gefährden.
Jede Art von Router-Integration unter Verwendung des extern gesteuerten Routers ist von dieser Idee ausgeschlossen
Meine Idee ist also:
- Wir akzeptieren den IPv4-Adressraum und die Netzwerktopologie in diesem Netzwerk unterliegt nicht unserer Kontrolle.
- Wir suchen nach Alternativen, um diese Maschinen in unser Unternehmensnetzwerk zu integrieren.
Die 2 Konzepte, die ich mir ausgedacht habe, sind:
- Verwenden Sie eine Art VPN - lassen Sie die Computer sich bei VPN anmelden. Dank der Verwendung moderner Fenster könnte dies für DirectAccess transparent sein. Dies behandelt im Wesentlichen den anderen IP-Bereich, der nicht anders ist als jedes Restaurant-Netzwerk, in das ein Laptop des Unternehmens eintritt.
- Alternativ: Richten Sie ein IPv6-Routing für dieses Ethernet-Segment ein. Aber - und das ist ein Trick - blockieren Sie alle IPv6-Pakete im Switch, bevor sie auf den von Drittanbietern gesteuerten Router treffen, sodass sie selbst dann, wenn sie IPv6 auf dem Ding einschalten (das sie jetzt nicht verwenden, aber es können), nicht bekommen ein einzelnes Paket. Der Switch kann dies problemlos tun, indem er den gesamten IPv6-Datenverkehr, der an diesem Port eingeht, in ein separates VLAN (basierend auf dem Ethernet-Protokolltyp) zieht.
Hat jemand ein Problem damit, den äußeren Switch von IPv6 zu isolieren? Irgendeine Sicherheitslücke? Es ist traurig, dass wir dieses Netzwerk als feindlich behandeln müssen - wäre viel einfacher -, aber das Support-Personal dort ist von "bekannt zweifelhafter Qualität" und die rechtliche Seite ist klar - wir können unsere Verpflichtungen nicht erfüllen, wenn wir sie in unser Unternehmen integrieren Während sie unter einer Gerichtsbarkeit stehen, haben wir kein Mitspracherecht.
quelle