Статический маршрут и динамический публичный IP-адрес
Я долго искал этот конкретный вопрос. Продвинутые сети не моя компетенция.
У моей компании есть два филиала в двух разных странах.
Office 1: Fortigate 200E и статический публичный IP
Офис 2: маршрутизатор Cisco Meraki /FW и динамический публичный IP.
Я хочу разрешить доступ из Office 2 в Office 1 без VPN к определенному порту. Мне сказали, что я смогу "исправить" IP-адрес офиса 2 со статической маршрутизацией на стороне мераки. Другие говорят мне, что это невозможно.
Пожалуйста, помогите с объяснением / решением.
Спасибо!
2 ответа
Насколько я понимаю, проблема заключается в том, что брандмауэр на Fortigate 200E принимает соединение с этим портом из Office 2, но создать правило брандмауэра нелегко, поскольку в Office 2 нет фиксированного IP-адреса.
Мне кажется, что ваши варианты:
- Откройте этот порт для всего мира (не рекомендуется!).
- Получите статический IP-адрес для Office 2, который можно использовать в правиле брандмауэра на маршрутизаторе Fortigate.
- Исходя из этого запроса функции от 2014 года, маршрутизаторы Fortigate не выглядят как поддерживающие детонацию портов, которая представляет собой механизм, посредством которого динамический IP может быть внесен в белый список на брандмауэре для данного порта, но это могло измениться с 2014 года. explanation see http://portknocking.org/.) Check if this possibility exists for both routers on both sides.
Realistically speaking, option 2 seems the most likely to work in your case.
Распространенные передовые практики говорят нам, что VPN-соединение между сайтами - это путь. Но если это невозможно, может помочь функция в FortiOS.
Вы можете разместить в политике невыполненный портал, который принимает трафик к определенному порту. Конечно, это не вариант, если вам нужен неинтерактивный доступ.
Но просто открытый порт без аутентификации не должен быть вариантом.