Две разные сети. Как сделать доступ на только на DVR из одной сети в другую?

Добрый день! Столкнулся с такой проблемой: на одном предприятии есть две совершенно разные, независимые сети. Одна сеть - настоящая сеть, с домен-контроллером, серверами, отдельным шлюзом. Вторая - маленькая одноранговая сеть, и в ней находится DVR (видеорегистратор). Необходимо сделать доступ из первой сети (192.168.10.X) только на DVR из второй сети (192.168.1.X) то есть, речь идет не об объединении двух сетей, а только о доступе на один IP-адрес, по определенному порту. В целом, пользователю 192.168.10.280 нужно зайти на DVR (который находится в другой сети) с адресом 192.168.1.108. Как это можно реализовать, с помощью отдельного компьютера с двумя сетевыми картами, смотрящими в обе сети, и соответственно настроенным софтом, или с помощью аппаратного роутера? Не хотелось бы объединять две сети, чтобы не было проблем с домен-контроллером, DHCP, оплатой за интернет, "видимостью" одной сети из другой. Нужен только DVR. Призываю Вас на помощь, помогите, пожалуйста.

Прилагаю примерную схему во вложении. Спасибо.

Миниатюры

 

0

Немного неправильно написал название темы, с ошибкой, извините.

0

1) Шлюз слева - это что ? Какая там система стоит, какое ПО ?
2) Аналогично - Роутер справа это что ?

3) В DVR можно прописывать дополнительные маршруты ?
Если нельзя - то придется это делать на Роутере

Если нельзя сделать это на роутере, тогда есть проблема !
Придется переделывать сеть справа чтобы обойти проблему

Добавлено через 2 минуты
Вариантов сделать доступ куча
Осталось выбрать из них какие-то реализуемые

чтобы не было проблем с домен-контроллером

Да ему пофиг
Если только конечно Шлюз - это не домен контроллер

Добавлено через 1 минуту

DHCP

DHCP распространяется в пределах подсети
Так что тоже проблем не должно быть

"видимостью" одной сети из другой

А что в видимостью ? Сейчас не должно быть видно одну сеть из другой

Добавлено через 13 минут
4) А доступ к этому DVR нужен какой ?
Если клиент из-под NAT придет - этого достаточно ?
Если нельзя прописать маршруты в сети справа, тогда возможен вариант такой

Ставим роутер2
роутер2 имеет две сетевые карты - em0, em1
em0 подключаем в сеть слева, выдаем адрес из сети слева - например 192.168.10.2/24
em1 подключаем в сеть справа, выдаем адрес из сети справа - например 192.168.1.2/24
default gateway не ставим

На компьютере 192.168.10.280 ( кстати такого IP-ника не может быть )
прописываем маршрут до подсети 192.168.1.0/24 через шлюз 192.168.10.2

На роутер2 настраиваем firewall хитрым образом
Во-первых нужен NAT на интерфейсе 192.168.1.2 для сети 192.168.10.x
При этом компьютер 192.168.10.280 полезет к DVR,
но из-за NAT он будет ходить с адреса 192.168.1.2
Обратный траффик от DVR тоже будет ходить

Разрешаем доступ от 192.168.10.280 до роутера2 и до 192.168.1.108
Доступ от 192.168.10.280 до 192.168.1.0/24 блокируем
Доступ от 192.168.10.280 до всего остального блокируем - так он не выйдет через второй канал
Доступ от 192.168.10.0/24 до всего блокируем

Доступ от 192.168.1.108 до роутера2 разрешаем
Доступ от 192.168.1.0/24 до роутера2 блокируем
Доступ от 192.168.1.0/24 до всего остального блокируем

Таким образом будет реализовано требуемая политика

Ну еще неплохо сделать доступ себе до роутера2,
чтобы им можно было рулить удаленно

0

odip, шлюз слева - это шлюз для выхода в интернет, учета трафика и блокировки нежелательных сайтов для сети 192.168.10.X, там стоит Kerio, и Windows. Роутер справа - роутер DIR-300, там небольшая одноранговая сеть, без сервера, только с DVR и небольшим количеством рабочих станций. Объединить две сети не получится, просто не позволят владельцы сети слева, так как они предоставили только доступ к DVR, и не через интернет. DVR не позволяет прописывать дополнительных маршрутов, только использовать доступ к нему через интернет. Я пытался сделать так, как на рисунке ниже, но это привело фактически к объединению и видимости одной сети из другой, что очень нежелательно в моем случае. Шлюз между двумя сетями я представляю себе в виде еще одного компьютера, с двумя сетевыми картами, смотрящими в обе сети, на котором будет установлено соответствующее по, которое позволит из одной сети в другую ходить только по одному IP-адресу, и по одному порту.

Миниатюры

 

0

А что в видимостью ? Сейчас не должно быть видно одну сеть из другой

В том то все и дело, что стало все прекрасно видно, после того как я сделал все по рисунку 2.

Добавлено через 2 минуты

На компьютере 192.168.10.280 ( кстати такого IP-ника не может быть )

да, я ошибся, 192.168.10.180.

Не подскажете ли, как это можно сделать, с помощью какого ПО, возможно ли с помощью Linux/FreeBSD?

0

Я пытался сделать так, как на рисунке ниже, но это привело фактически к объединению и видимости одной сети из другой

Все правильно
Если switch-и соединить то будет одна подсетка

Добавлено через 1 минуту

как это можно сделать

Пункт 4 в посту 3 читал ?

с помощью какого ПО, возможно ли с помощью Linux/FreeBSD?

Конечно
Можно FreeBSD, можно Linux

Добавлено через 41 секунду
Просто если никогда не настраивал нетривиальные конфигурации firewall и вообще не видел Linux/FreeBSD то сначала будет сложно

Добавлено через 2 минуты

Роутер справа - роутер DIR-300

Плохо
Вот если бы там был нормальный роутер, например тот же Kerio
тогда можно все настроить вообще без привлечения дополнительного компьютера

Вставляем третью сетевую карту в роутер слева, вставляем третью сетевую карту в роутер справа
Кидаем провод между роутерами
И остается только настроить два роутера

0

odip, а если я сделаю, например, так, это улучшит ситуацию (только чтобы из двух сетей можно было легко заходить на DVR, и все остальное в сетях не было видно при этом):

Миниатюры

 

0

Возможно даже не с двумя, а с тремя сетевыми картами

0

А зачем тебе вообще роутер еще один ?
Воткни сетевую карту в комп где Kerio
Я думаю его можно настроить чтобы делал нужный вариант NAT
а остальное заблокировать

Добавлено через 3 минуты

odip, а если я сделаю, например, так

DVR вообще кому принадлежит ?

Указанный тобой новый вариант тоже реализуем
Только это уже какое-то извращение

Может тогда проще выкинуть DIR-300
Поставить вместо него роутер2
И соединить Kerio и роутер2

Будет всего два роутера, а не три

0

Сейчас просто получилось поднять NAT на том компе, который смотрит в обе сети. Но при этом все заработало, когда шлюзом я прописал сетевую карту этого самого компа. Он видит DVR-ы и в нашей сети, и тот самый в соседней. Но вот досада - интернет не работает при этом, ведь шлюз который раздает интернет другой. Как-нибудь это можно исправить?

Добавлено через 3 минуты
Существуют ли аппаратные роутеры, с помощью которых можно это сделать? DIR-100 не позволил мне этого сделать.

0

Сейчас просто получилось поднять NAT на том компе, который смотрит в обе сети. Но при этом все заработало, когда шлюзом я прописал сетевую карту этого самого компа. Он видит DVR-ы и в нашей сети, и тот самый в соседней. Но вот досада - интернет не работает при этом, ведь шлюз который раздает интернет другой. Как-нибудь это можно исправить?

Укажи схему как именно подключен этот компьютер
Выложи с него "ipconfig /all"
А то что-то мне непонятно

0