Вопрос или проблема
Лучший способ доступа/использования Интернета с физически удаленного маршрутизатора подсети
У нас есть физическое соединение от провайдера, который объединяет наши два офиса. Соединение организовано с помощью двух подсетей и маршрутизации на каком-то оборудовании этого провайдера. Мы не имеем доступа к его оборудованию, поэтому не можем самостоятельно изменять его настройки и не получили понимания с его стороны.
Также у нас есть подключение к Интернету в другом филиале, как показано на схеме.
+-----------------+
| (Филиал 1) |
| 192.168.74.0/25 |
| Для локального |
| использования |
+-----------------+
|
+---------------------------+
| 192.168.74.126/25 |
| |
|(Междулинковое соединение/устройство)|
| |
| выполняет маршрутизацию |
| между подсетями |
| |
| 192.168.74.254/25 |
+---------------------------+
|
+-------------------+
| (Филиал 2) |
| 192.168.74.128/25 |
| Для локального |
| использования |
+-------------------+
|
+-------------------+
| 192.168.74.129/25 |
| (Маршрутизатор)|
| 1.2.3.4 |
+-------------------+
|
Провайдер
Таким образом, на стороне провайдера (междулинковое соединение/устройство) выполняется только маршрутизация между целевыми подсетями и ничего другого недоступно.
Пожалуйста, поделитесь/посоветуйте лучший, простой способ с минимальным вмешательством в сеть и, если возможно, без установки и использования дополнительных устройств и программного обеспечения, для доступа из одного удаленного офиса в Интернет, расположенный на стороне другого отдела.
Может быть, есть какой-то способ указать шлюз или маршрут по умолчанию из подсети 192.168.74.0/24 на 192.168.74.129 или какие-то другие простые варианты?
На клиентских ОС в основном Windows 10/11. Но также приветствуются и другие варианты/решения (Linux/BSD).
Спасибо.
Предположения, исходя из сказанного вами…
Маршрутизатор Site-to-Site
- Этот маршрутизатор может подключаться только к двум сетям 192.168.74.0/25 и 192.168.74.128/25
- Устройства в сети “Филиал 1” могут подключаться только локально к другим устройствам “Филиала 1” и удаленным устройствам в сети “Филиал 2”.
- На маршрутизаторе Site-to-Site нет маршрута по умолчанию.
Маршрутизатор провайдера
- Может маршрутизировать только на устройства “Филиала 2” в сети 192.168.74.128/25
- С учетом адресов RFC1918, он должен выполнять NAT для трафика, направленного в Интернет.
Возможные решения
Вариант 1 – Изменения в таблице маршрутизации на маршрутизаторе Site-to-Site
- Измените шлюз по умолчанию маршрутизатора Site-to-Site, указав на маршрутизатор провайдера.
- Маршрутизатор провайдера также будет нуждаться в маршруте обратно на 192.168.74.0/25 через маршрутизатор Site-to-Site.
- (Это был бы лучший вариант, но, скорее всего, это не возможно, поскольку вы не можете изменить конфигурацию маршрутизатора Site-to-Site. Можете ли вы их попросить?)
Вариант 2 – Изменения в таблице маршрутизации на маршрутизаторе провайдера
- Вы могли бы добавить маршрут на 192.168.74.0/25 через маршрутизатор Site-to-Site. Но, возможно, для этого потребуется включить “Proxy ARP” на маршрутизаторе Site-to-Site.
Вариант 3 – Веб-прокси
- Установите веб-прокси в сети “Филиал 2”, например, Squid, Apache и т.д.
- Настройте веб-браузеры в обоих офисах для использования этого прокси для доступа в интернет.
- Не требует изменений в сети.
…
192.168.74.0/25
+------------------------------+
Сеть Филиала 1 |
+-------------------+
| 192.168.74.126 |
| Site-to-Site |
| 192.168.74.254 |
+-------------------+
192.168.74.128/25 |
+------------------------------+
Сеть Филиала 2 | |
+-------------------+ ┌────────┐
| 192.168.74.129 | │ Веб │
| Провайдер|Маршрутизатор | │ Прокси │
| | │ │
+-------------------+ └────────┘
|
┌───┐
│Провайдер │
└───┘
…
Другие варианты, такие как оверлейная сеть, могут быть вариантом в некоторых сценариях, но это будет более сложная конфигурация сети. Без какой-либо дополнительной диагностической информации, я бы предпочел вариант с веб-прокси.
Ответ или решение
Как лучше всего получить доступ к интернету из удаленного офиса через маршрут в подчинённой сети
В описанной ситуации у вас есть две офисные сети, соединенные провайдером через маршрутизатор, доступ к настройкам которого отсутствует. При этом интернет соединение имеется в одной из веток вашей компании. Давайте подробно рассмотрим возможные решения данной задачи, учитывая текущие ограничения и пожелания.
Теория
Перед тем как предлагать решения, важно уяснить несколько основополагающих моментов:
-
Таблицы маршрутизации: Это набор инструкций, который указывает сетевым устройствам, куда направить пакеты данных. Возможность изменения маршрутизации является ключевым фактором в организации сетевого взаимодействия.
-
NAT (Network Address Translation): Разумеется, ваш маршрутизатор ISP выполняет NAT для того, чтобы устройство в частной сети могло взаимодействовать с внешними сетями. Этот процесс может создавать препятствия для прямого подключения, но также является основой для некоторых решений.
-
Прокси-серверы: Прокси может действовать в качестве посредника для интернет-запросов, перенаправляя их и таким образом позволяя устройствам из одной сети получать доступ к ресурсам другой сети.
Пример
В вашем случае, существуют два офиса:
- Филиал 1 на сети 192.168.74.0/25
- Филиал 2 на сети 192.168.74.128/25 с ISP маршрутизатором, предоставляющим интернет.
Применение
С учетом вышеописанных теоретических аспектов, давайте рассмотрим возможные решения проблемы:
1. Изменение таблиц маршрутизации на маршрутизаторах
Эти варианты зависят от возможности взаимодействия с провайдером и готовности изменений его настроек:
-
Изменение маршрутизации через маршрутизатор Site-to-Site:
- Установить начальный маршрут к интернету через ISP маршрутизатор на платформе Site-to-Site, что позволит передавать трафик с начальными адресами в диапазоне 192.168.74.0/25 к интернету.
- Однако, это требует изменения конфигураций и поддержки со стороны провайдера, что в вашем случае пока проблематично.
-
Изменение маршрутизации через ISP маршрутизатор:
- Провести настройку маршрута с использованием Proxy ARP на стороне вашей сети. Это условие позволит подключить устройства, находящиеся в другой сети, но всё ещё непременно потребует настроек на стороне вашего ISP.
2. Использование прокси-сервера
Этот метод будет минимально инвазивным и легко реализуемым:
- Прокси-сервер: Установить прокси-сервер, например, Squid, в сети филиала 2. Это позволит перенаправить HTTP и другие запросы, направляясь в интернет, от устройств филиала 1 через прокси.
- Он не требует изменений существующей настройки маршрутов и может быть быстро развернут в сети.
3. Альтернативные решения
- Рассмотрите туннелирование:
- Настройка VPN-туннеля, который обеспечивает сквозное шифрование и прямую сетевую маршрутизацию, может быть полезной. Однако такой способ потребует внедрения VPN решений, которые могут быть сложны в поддержке.
Таким образом, наиболее безболезненным и практичным подходом будет организация прокси-сервера в филиале 2. Это позволит вам оставить существующую сетевую инфраструктуру нетронутой, обеспечивая при этом интернет-доступ для обеих офисных сетей через одну точку выхода в сеть, что снижает как затраты на оборудование, так и сложность настройки сети.