Tengo un pequeño problema específico aquí que quiero (necesito) resolver de manera satisfactoria. Mi empresa tiene varias redes (IPv4) controladas por nuestro enrutador que se encuentra en el medio. Configuración típica de tienda más pequeña. Ahora hay una red adicional que tiene un rango de IP FUERA de nuestro control, conectado a Internet con otro enrutador FUERA de nuestro control. Llámelo una red de proyecto que es parte de la red de otra compañía y combinada a través de VPN que configuraron.
Esto significa:
- Controlan el enrutador que se utiliza para esta red y
- Pueden reconfigurar cosas para poder acceder a las máquinas en esta red.
La red se divide físicamente en nuestro extremo a través de algunos conmutadores con capacidad VLAN, ya que cubre tres ubicaciones. En un extremo está el enrutador que controla la otra compañía.
Necesito / deseo dar acceso a las máquinas utilizadas en esta red a la red de mi empresa. De hecho, puede ser bueno hacerlos parte de mi dominio de directorio activo. Las personas que trabajan en esas máquinas son parte de mi empresa. PERO: necesito hacerlo sin comprometer la seguridad de la red de mi empresa de la influencia externa.
Esta idea excluye cualquier tipo de integración de enrutadores que use el enrutador controlado externamente
Entonces, mi idea es esta:
- Aceptamos el espacio de direcciones IPv4 y la topología de red en esta red no está bajo nuestro control.
- Buscamos alternativas para integrar esas máquinas en la red de nuestra empresa.
Los 2 conceptos que se me ocurrieron son:
- Use algún tipo de VPN: haga que las máquinas inicien sesión en VPN. Gracias a que usan ventanas modernas, esto podría ser DirectAccess transparente. Básicamente, esto trata el otro espacio de IP que no es diferente de cualquier red de restaurantes en la que entra una computadora portátil de la compañía.
- Alternativamente, establezca el enrutamiento IPv6 a este segmento de Ethernet. Pero, y esto es un truco, bloquee todos los paquetes de IPv6 en el conmutador antes de que lleguen al enrutador controlado por terceros, de modo que incluso si activan IPv6 en esa cosa (no se usa ahora, pero podrían hacerlo) no obtendrían Un solo paquete. El conmutador puede hacerlo muy bien al extraer todo el tráfico IPv6 que llega a ese puerto a una VLAN separada (basada en el tipo de protocolo ethernet).
¿Alguien ve un problema con el uso del interruptor para aislar el exterior de IPv6? Cualquier agujero de seguridad? Es triste que tengamos que tratar esta red como hostil, sería mucho más fácil, pero el personal de soporte allí es de "calidad dudosa conocida" y el aspecto legal es claro: no podemos cumplir nuestras obligaciones cuando los integramos en nuestra empresa mientras están bajo una jurisdicción en la que no tenemos voz.