Eu tenho um pequeno problema específico aqui que quero (preciso) resolver de maneira satisfatória. Minha empresa possui várias redes (IPv4) controladas pelo nosso roteador no meio. Configuração típica de loja menor. Agora existe uma rede adicional que possui uma faixa de IP FORA do nosso controle, conectada à Internet por outro roteador FORA do nosso controle. Chame de rede de projeto que faz parte de outra rede de empresas e combinada via VPN que eles configuram.
Isso significa:
- Eles controlam o roteador usado para esta rede e
- Eles podem reconfigurar as coisas para que possam acessar as máquinas nesta rede.
A rede está fisicamente dividida do nosso lado através de alguns switches compatíveis com VLAN, pois abrange três locais. Em uma extremidade, há o roteador que a outra empresa controla.
Eu preciso / quero dar às máquinas usadas nesta rede acesso à rede da minha empresa. De fato, pode ser bom fazer parte do meu domínio do Active Directory. As pessoas que trabalham nessas máquinas fazem parte da minha empresa. MAS - eu preciso fazer isso sem comprometer a segurança da rede da minha empresa contra influências externas.
Qualquer tipo de integração de roteador usando o roteador controlado externamente está de acordo com essa ideia
Então, minha ideia é esta:
- Aceitamos o espaço de endereço IPv4 e a topologia de rede nesta rede não está sob nosso controle.
- Buscamos alternativas para integrar essas máquinas na rede da empresa.
Os 2 conceitos que inventei são:
- Use algum tipo de VPN - faça com que as máquinas efetuem login na VPN. Graças a eles usando janelas modernas, isso pode ser o DirectAccess transparente. Isso basicamente trata o outro espaço IP não diferente de qualquer rede de restaurantes em que um laptop da empresa entra.
- Como alternativa - estabeleça o roteamento IPv6 para este segmento ethernet. Mas - e isso é um truque - bloqueie todos os pacotes IPv6 no switch antes de atingirem o roteador controlado por terceiros, para que, mesmo que ativem o IPv6 nessa coisa (não usada agora, mas poderiam fazê-lo), eles não conseguiriam um único pacote. O switch pode fazer isso muito bem, puxando todo o tráfego IPv6 que chega a essa porta para uma VLAN separada (com base no tipo de protocolo Ethernet).
Alguém vê um problema ao usar o switch para isolar o externo do IPv6? Alguma brecha na segurança? É triste termos que tratar essa rede como hostil - seria muito mais fácil - mas o pessoal de suporte de "qualidade duvidosa conhecida" e o lado jurídico são claros - não podemos cumprir nossas obrigações quando as integramos à nossa empresa enquanto eles estiverem sob uma jurisdição, não temos voz.
fonte