我有一个小问题,我想(需要)以令人满意的方式解决。 我的公司有多个(IPv4)networking,由我们的路由器控制在中间。 典型的小店铺设置。 现在有一个额外的networking,在我们的控制范围之外有一个IP范围,通过另一个路由器连接到互联网。 将其称为另一个公司networking的一部分的项目networking,并通过他们设置的VPN进行组合。
意即:
networking通过一些具有VLANfunction的交换机在物理上分开,因为它覆盖三个位置。 一端是另一个公司控制的路由器。
我需要/希望把在这个networking访问我的公司networking使用的机器。 事实上,把它们作为我的活动目录域的一部分可能是件好事。 在这些机器上工作的人是我公司的一部分。 但是 – 我需要这样做,而不会影响我公司networking的安全。
任何使用外部控制路由器的路由器集成都是出于这个想法
所以,我的想法是这样的:
我提出的两个概念是:
任何人看到使用他切换到隔离外部IPv6的问题? 任何安全漏洞? 很遗憾,我们必须把这个networking视为敌对的 – 会容易得多 – 但是那里的支持人员是“可疑的质量”,法律方面是明确的 – 当我们融入公司时,我们不能履行我们的义务而他们在一个司法pipe辖区,我们没有发言权。
这是我经常遇到的情况,我几乎总是做同样的事情:IPSec。
它是否适用于您,取决于您的networking与您的networking之间是否存在IPv4重叠,您不这么说。 但我知道你有线索,如果还有这个额外的障碍,我想你已经提到了,所以我们假设现在没有任何重叠。
在核心路由器和您的设备之间build立IPSec隧道,使用PSKauthentication。 大多数好的路由器都会讲它,而且不难做到。 一旦你有了一个隧道,你可以信任任何数据包的身份( 注意 :我不是说你可以信任数据包的内容,只是你可以确定他们确实来自潜在的数据包,敌对合作伙伴)。
那么你可以使用访问filter来通信出来的stream量,并准确地限制你的networking上有哪些主机能够访问,在哪些端口上,从哪个机器上(尽pipe后面的限制是由于您无法控制其networking上的设备是否恶意更改其IP地址以将其访问权限提升至最终状态,因此不太有用。
链接networking,而不是在他们的最终使用任何可信任的客户端使用一个单独的VPN客户端,根据我的经验,效果会更好,这不仅仅是因为您最终会得到一个pipe理客户端访问令牌的全职工作 – 发布新的令牌,撤销旧的,抱怨的人抄袭它们或者处理任何令牌只能使用一次的后果 – 否则你会发出一个令牌,每个人都会使用,而你将失去对使用它的任何控制权, 他们在哪里使用它 。 这也意味着复杂性是最好pipe理的核心。
我有一些这样的隧道,在我的networking和PHP的networking之间,运行了十年,他们只是做他们的事情。 不时有人需要一个新的机器,他们的最终能够访问我们的一端新的开发箱或其他资源,这是一个接口访问列表的一个简单的变化,我可以做我自己的套件一行修复在几秒钟内,一切正常。 没有客户端安装。 根本没有终点问题。
我发现v6的想法很吸引人,但是我怀疑当v4客户端,或者v6 bug因为未经testing而出现问题时,它会跑到岩石上,真的非常漂亮,请访问到您的networking资源。