Externí disk dostupný ze dvou LAN sítí - lze to?
Prosím o radu 
V jednom domě mají kanceláře dvě firmy. Každá firma má svou samostatnou pc síť a svoje vlastní připojení k internetu přes svou ADSL linku, počítače jsou připojené do ADSL routerů. Ty sítě i firmy nazvu X a Y.
K síti X je přes LAN port připojen externí harddisk Western Digital (WD). Je používám ke sdílení dat v síti X.
Obě firmy mají stejnou účetní a ta střídavě pracuje na stolním PC ve firmě X a pak zase na jiném stolním PC ve firmě Y. Pro účetní by bylo potřeba, aby její pc v síti Y měl též přístup k WD. Počítač musí zůstat v síti Y a naopak WD musí zůstat v síti X.
WD má vzadu jeden LAN port, tam je připojen kabel ze sítě X. Není problém vést kabel z místnosti firmy X do místnosti firmy Y. Na připojení k WD mají zájem obě firmy /neřešte prosím bezpečnostní otázky/.
Lze toto nějak vyřešit? Jen nápad: Bylo by funkční, kdyby se do WD připojil switch a do switche zapojit dva LAN kabely, jeden z routeru sítě X a druhý z routeru sítě Y? Nebo je nějaké jiné - lepší řešení? Nebo to vůbec nejde?
Pokud je to BFU otázka, tak se omlouvám. V každém případě budu vděčná za jakékoliv odpovědi. I odpověď "nelze v žádném případě, technicky vyloučeno" je cennou informací. Děkuju předem
Jestli mají obě firmy stejný rozsah IP adres tak by to teoreticky jít mohlo, ovšem tím stylem co píšeš-přes switch se vlastně jedná o to co psal tank-propojení sítí se vším co k tomu patří. Když píšeš "neřešte otázku bezpečnosti" (až tohle uvidí tačůd tak ho klepne) tak to s sebou nese ještě další problémy-např. konflikty IP adres. Pokud běží v obou firmách nějaké DHCP, muselo by se přidělování nastavit tak aby první polovinu rozsahu měla firma x, druhou fa y, to samé u statických adres. Nejhorší na tom ale je že by vlastně v jedné síti byly 2 ADSL routery čili 2 přístupy na internet, oba se stejnou vnitřní IP, která se sice dá změnit ale PC by "nevěděly" přes který mají jít na internet takže takhlë to asi nejde. Jedině sjednotit celou síť a mít jediný ADSL router pro obě firmy.
EDIT: teď mě ještě napadá takové kostrbaté řešení, možná ale jediné použitelné. Pokud má z firmy Y mít k LAN disku přístup jenom ten PC účetní, potom do něj přidat druhou LAN kartu, na tu nastavit adresu z rozsahu X a propojit se sítí X.
Ano, z firmy Y má mít k WD v síti X skuteně přístup jen ten PC účetní. Jelikož účetní má ve firmě Y stolní PC s volnými sloty, tak přidání druhé LAN karty by nebyl problém. Děkujeme za nápad
Není zač, těch
bylo včera trochu víc tak snad neplácám nějaké nesmysly. Na tu síťovku vyplnit jenom IP adresu a masku, nevyplňovat bránu a DNS aby se ten PC nesnažil jít na net přes router firmy X a cestu k síťovému disku zadejte raději formou IP adresy.
Da sa to aj tak, ze sa priradi jednej fyzickej LAN karte viacej IP adries, tym sa docieli to, ze PC bude v dvoch (alebo viacerych) sietach zaroven...
-> Pridanie druhej IP adresy nastavite v rozsirenych nastaveniach protokolu TCP/IP -> Tlacitko: "Pridat" (adresu IP)
Neni nutne davat do PC druhu kartu :)
Medzi dve siete firriem X a Y dat switch a navzajom ich prepojit. Adresaciu vyriesit ako bolo spominane vyssie.
Otazku bezpecnosti nechame na Vas...
Ale spomenieme otazku zalohovania. Vzhladom na to ze sa WD-cko vypina kazdych 180s, tak jeho zivotnost je vo firemnom prostredi tak najviac 2 roky. A potesim Vas... udaje zapisane na tom disku nejdu precitat ked sa disk vyberie a strci do PC ani ked by ste to teraz skusili este ked je dobry...
A firma bez uctovnych dat ako keby ani neexistovala... ked sa nieco pokazi...
Samozřejmě vím že se dá přidat na LAN kartu další IP adresa. Jenom prosím zauvažuj nad tím že pokud to tak udělají, budou mít obě sítě fyzicky propojené, což asi nebude to pravé ořechové, viz moje úvahy výše. Další LAN kartou jsem se chtěl vyhnout fyzickému propojení sítí.
Tvoje riesenie je iste dobre > nic proti nemu nemam, ale myslim, ze siete sa aj tak prepoja vovnutri pocitaca na sietovej (a vyssej) vrstve OSI modelu... alebo sa myslim?
V tvojom rieseni ale nieje potrebny switch...
Myslíš že by mohly při tom mém řešení procházet přes ten účetnický PC pakety z PC jedné sítě do PC sítě druhé ? Nemyslím teď samozřejmě ten inkriminovaný PC s 2xLAN ale kterékoli 2 jiné PC nebo routery.
Zavisi na konfiguracii samozrejme...
Pokial je ale potreba mat siete uplne oddelene a tym aj lepsie ochranene pred neopravnenou manipulaciou s udajmi v cudzej sieti, je tvoje riesenie samozrejme spravne...
Nicmene ani pri nakonfigurovani 2 IP adries na jednom interface sa z takehoto riesenia nestava automaticky Router...
Nestává se z toho router, ovšem při tomto řešení musíš propojit obě sítě switchem, čímž nastane konflikt minimálně IP obou ADSL routerů které jsou určitě v default nastavení atd.
Adresacia sieti X a Y a tak isto ani konfiguracie ADSL Routrov nam nieje znama, takze tuto oblast by som radsej nekomentoval a nechal by som to na rieseni tazatelom, pripadne uz naznaceneho riesenia....
Je mi, ale samozrejme jasne ze bez pouzitia switchu bude siet X a Y lepsie chranena proti neopravnenym (alebo aj nechcenym) prienikom. Na druhu stranu data je mozne si vymienat medzi sietami X a Y jedine pomocou WD, co ale nemusi byt na zavadu, pokial odhliadneme od faktu, ze WD ma na 100MBit sieti zapis tak okolo 5MBit/s.
Já vždy radši počítám s nejhorším. Jako je flegova konstanta že 98 % uživatelů používá WIN XP, stejně tak většina malých samodomo sítí má LAN rozsah na routeru ponechán v defaultu.
Ac poznam vselijake konstanty, tak flegovu este nepoznam :)
Tazatel sa urcite zas spyta ako nastavit rozsahy ked to nebude fungovat na prve zapojenie...
Sa uvidi bo podla mna DHCP server priraduje automaticky aj branu pre kazde rozhranie tych 2 LAN kariet, pokial by to teda malo byt v defaultu...
z hlediska funkčnosti je ale potom velmi vhodné, aby obě sítě měly různé IP rozsahy aby PC s těmi dvěma síťovkami "nezblbnul"
mně už dneska jednou kleplo z mých potomků. Jsem již pro dnešek imunní
fyzicky propojené sítě nemusí ničemu vadit, ostatně od toho tam je nějaký administrátor aby si ohlídal co je potřeba.
pokud v těch sítích není nainstalován odpad xp/vista home, ale normální síťová windows (profi &), nevidím problém. samozřejmě je lepší když nemá každý zaměstnanec administrátorská práva aby nelezl kam nemá, ale to není předmětem dotazu.
duální ip adresu musí mít nastaven pouze ten sdílený nas disk wd, pak bude dostupný z obou sítí. je zas věcí nastavení přístupových práv na tom disku, ať si firmy ani omylem nelezou do cizích dat. mám za to že na těchto externích discích je nějaká samba, každopádně možnosti nastavení přístupových práv tam jsou.
čili bez větších problémů by to jít mělo.
¨
Nemyslíš že pokud by tam nějaký byl tak to vymyslí sám ?
Znovu upozorňuju na to, že pokud tam PC mají adresy z DHCP, ve chvíli kdy se sítě propojí switchem, oba ADSL routery budou vnucovat své adresy z DHCP všem počítačům z obou sítí, když pominu fakt že v té jedné velké síti budou najednou 2 přístupy na internet.
máš pravdu, nečetl jsem ostatní a nenapadlo mě to. pokud by ty obě kanceláře používaly dhcp, tak jim jejich zavedené sítě nebudou fungovat. (pokud se nejedná o velké kanceláře ani nevidím v dhcp smysl, ale jejich admin/adminka to může vidět jinak.)
jak píšeš, ať už mají dhcp nebo statické nastavení adres, je možné že jejich routery používají stejné default lan rozsahy. pak by bylo rozumnější nechat jednu síť v obligátních 192.168.x.x, druhou v rozsahu 10.x.x.x ať se to neplete.
S tím switchem by to šlo, jen když by byl stejný rozsah IPček na obou sítích, jinak by to musel být router. Dále je třeba dohlédnout na to, aby si každá firma nastavila výchozí bránu na "svůj" router do Internetu, pak by neměl být problém...
jo, jenže potom ti začnou vznikat problémy na DHCP, kde budou v jedné kolizní doméně dva DHCP servery a to bude to správné čoromoro (výchozí brána, DNS, SMTP server a podobné "nepodstatnosti")..
A co takhle přikoupit ještě jeden router a spojit v něm ty sítě dohromady? Pak ještě nastavit statické routování - možná, že by to šlo. Co vy na to?
Nekomplikujte to zbytocne... Strejdabrabenec to vyriesil idealne a lacino myslim...
ano, to by šlo, ale je to složitější, zbytečné a dražší. Navíc z hlediska bezpečnosti o dost horší.
No, tak prerusime tu diskusi o propojeni siti pomoci switche. ANI NAHODOU. V pripade, ze maji obe site stejny rozsah, tak na to automaticky zapomen, to nepujde. Tedy samozrejme krome propojeni na linkove vrstve ( switch ). Rezaly by se DHCP servery ( pocitac se nakonfiguruje podle toho, jaky dhcp k nemu dorazi driv ), zamestnanci by si videli vzajemne do pocitacu a do jinych sdilenych prostredku. I kdyz se to osetri pravy, je to nachylne na utok. NE, to opravdu neni reseni.
Reseni:
Podminky:
Kazda sit ma jiny adresni rozsah.
Routry umoznuji nastavit treti sit ( tedy krome WAN a LAN treba jeste DMZ ).
Na routrech je mozne konfigurovat firewall jak Z tak DO te treti site ( DMZ ).
Routry umoznuji pridani zaznamu do routovaci tabulky.
Pak to bude vypadat:
Rekneme, ze sit X ma rozsah 192.168.1.0/24
Rekneme, ze sit Y ma rozsah 192.168.2.0/24
Vnejsi ( internetove WAN ) adresy nas nezajimaji.
Pocitac pani ucetni ve firme Y je 192.168.2.10 ( vyzaduje pevnou adresu nebo pevnou rezervaci v DHCP )
WD ve firme X ma adresu 192.168.1.100
Rozsah treti site ( DMZ ) je 10.10.10.0/30
adresa routeru firmy X v te treti siti ( DMZ ) je 10.10.10.1
adresa routeru firmy Y v te treti siti ( DMZ ) je 10.10.10.2
Routry se propoji kabelem pres porty treti site ( DMZ ).
pridaji se routy:
router X: route add 192.168.2.0/24 gw 10.10.10.2
router Y: route add 192.168.1.0/24 gw 10.10.10.1
firewall na routru X: kdyz bude prichozi rozhrani DMZ prichozi adresa 192.168.2.10 a cilova 192.168.1.100 tak povol
zbytek prichozi rozhrani DMZ zakaz
zbytek odchozi rozhrani DMZ zakaz
firewall na routru Y: kdyz bude odchozi rozhrani DMZ prichozi adresa 192.168.2.10 a cilova 192.168.1.100 tak povol
zbytek odchozi rozhrani DMZ zakaz
zbytek prichozi rozhrani DMZ zakaz
Jakekoli jine reseni nez propojenim routru snizuje bezpecnosti a soukromi obou firem. Jestli to vase routry neumi, tak je treba je vymenit. NE NA VSECHNY SITOVE VECI SE HODI ROUTRY ZA PAR STOVEK! Sofistikovanejsi reseni vyzaduji sofistikovanejsi prostredky.
PS: pravidla firewallu jsem uvedl zjednodusene, predpokladaji, ze provoz navazanych spojeni je povolen vzdy.
Pokud necemu uvedenemu nerozumite, prizvete si prosim cloveka, ktery porozumi, ten vam bude schopen to i nastavit.
JR
Takto nejak by to malo vyzerat.. nicmene ako si si mohol vsimnut v povodnom dotaze bezpecnost siete sa nema riesit...
Jestli se namá řešit bezbečnost, tak na to účetnictví rovnou zapomeňte!
Ja si navzdory tomu myslim, ze bezpecnost se ma resit VZDY. Ja si myslim, ze resit bezpecnost se nemela jen v pripade pripojeni externiho disku do obou firem, nikoli propojeni obou siti.
Urcite mas pravdu... este moze stat za uvahu pouzit VLANy namiesto DMZ a troch sieti..., ale to je tiez dostupne len na switchoch nad 10k korun...
říká člověk, který mě napomínal, že to příliš komplikuji viz. přispěvek výše.........
Z toho si nic nerob... len tak diskutujeme, ze co este vymyslet.... :)
ale stale som toho nazoru, ze lepsie a zaroven lacnejsie riesenie ako 2ks LAN kariet sa nenajde...
za ty nervy ty 2ks nestojí
Ano, toto reseni je ale jeste narocnejsi nez mnou uvedene
ve vysledku je to totez, jen neni treti siti vyhrazen port na routru, ale toto je provedeno na switchi. Nemas ale pravdu s cenou mam doma dva switche ( jeden Repotec 8x10/100, druhy SMC tiger switch 24x10/100+2x1000 dualport FSX/metalika oboje s webovym,cli i SNMP managementem, L3 funkce, VLAN, QoS, IGMP ) a oba stali pod pet tisic. Web smart switch ( od 3 com, pouze webove rozhrani, hnus ) lze sehnat jeste levneji.
Tak tohle me zajima... Mas vyskusane tie svitche pod zatazou na vsetkych portoch ? Ako sa spravaju ked sa hodne zatazia sietovou prevadzkou?
To SMC vyzkousene nemam, jinak repotec si budu porizovat i dalsi ( 8x1G a 8x100 + 1G metalika + 1G FSX ). To co garantuje Cisco ze zadneho z nich nedostanes ( neznam jinou znacku, ktera by snesla plnou zatez na vsech portech najednou ). Kdyz jsem pustil 40Mb multicast primo do toho 8 portoveho repotecu, tak jsem se nedostal na administratorske rozhrani ( zadne, ani konzole nepobirala ), ale sit stale fungovala bez potizi.
Jsem hodne mimo, kdyz me napada: Belkin USB Peripheral Auto Switch 2x1?
(jen ten kabel si nedovedu predstavit)
Jo, to jsi mimo
ten disk je sitove uloziste.
Tak to jsem mimo taky
Nám se totiž nápad "Pata bez Mata" líbí, je to jednoduché a vypadá to user friendly 
Můžu se zeptat; proč by to vlastně nešlo? Mně se totiž z popisu zdá, že by to jít mohlo, ale nerozumím tomu.
WD má vzadu jeden LAN port a jeden USB port, je to tento typ
---
Kopie popisu Belkina:
Belkin představuje originální produkt, kterým je automatický datový přepínač pro sběrnici USB. Tento čtyřportový přepínač periferního zařízení poskytuje přístup více počítačům k jednomu zařízení (nikoli obráceně!) podporujícímu rozhraní USB 1.1 - například tiskárně, fotoaparátu, skeneru nebo externímu úložnému zařízení.
Obsahuje snadno použitelný software a přepínání klávesovou zkratkou. Funguje se zařízeními s rozhraním USB 1.1 a 2.0 s přenosovou rychlostí až 12 Mb/s a připojí zařízení s rozhraním USB až 30 stop (10 metrů) od počítačů. Obsahuje indikátory aktivních portů pro jasnou identifikaci používaného počítače. Switch nevyžaduje napájení a podporue systémy PC i Mac.
Protoze ten mybook nefunguje jako massstorage ( vyzkouseno ). Ten USB port slouzi jen k pripojeni dalsiho USB disku jako pridavneho uloziste. Ten port ma funkci pouze USB host.
A 12Mbitu neni zadne terno, je to 1.5MB/s po siti ma ten disk zhruba 6MB/s
a co třeba jiný ? přeci jsou USB disky s massstorage? cena neni vysoka
představ si že ta hrůza je sice kompatibilní s usb2.0 jak píšou, ale z odstavce předtím se dá chápat že pracuje jen rychlostí usb1.1 - a o tuto příšernost se bude dělit několik uživatelů. to už je skoro stejně rychlé každého z nich s datovým diskem oběhnout zvlášť.
jinak belkin je kategorie "nejhorší čína" - to jsou krámy kterým je lepší se vyhnout.
edit: navíc podle j.r.e. ani není jeho usb jako usb, tím to padá.
rozumné jsou ty dvě síťovky k externímu disku - jenže ten je nemá. a předřazovat kvůli tomu před něj 10x větší a žravější pc se 2 lan není moc efektivní.
takže zkusit zda externí disk umí duální statickou ip adresu - ostatně pokud ho dnes používáte jako společné datové úložiště, pevnou adresu už nejspíš má.
pak bych zkusil jen ho připojit přes switch se 2 lankami - každá z jedné sítě (které nebudou používat dhcp). akorát bych ty sítě výrazně přečísloval, ať si je nepletete (192.168.x.x a 10.x.x.x)
to bych viděl jako nejmenší investici s nejméně zásahy.
v diskuzi tam pisou:
a jeste jeden zajimavy napad:
Děkujeme všem za odpovědi, jste skvělí!
Ještě prosíme o názory, zda by bylo technicky možné řešit uvedený problém tak, že místo stávajícího WD by byl zakoupen router se zabudovaným pevným diskem ?
Ideální by totiž bylo zapojit to zařízení přes LAN porty do obou počítačů, nastavit jen to nejnutnější a pracovat. Uvítáme vaše názory.
řešení s routerem jde - pokud se ti nechce (nebo současný wd neumí) nastavovat dual ip, pak z jedné strany strčit router. buď předřadit normální za pár stovek z jedné sítě do "wan", druhá "lan" strana do 2.sítě a zároveň na tvůj wd.
anebo tento apple krám s gigovým ethernetem (to je na něm pěkné), díky jablečnému logu to bude vždy dražší. umí wifi, což je firemních podmínkách spíše nežádoucí. ale má wpa2, tak to jde, potřebuješ na to aspoň xp + sp2 + nějaké záplaty, anebo sp3.
jestli se dívám dobře, konektorů to má dost (ale wifi anténky jen prťavé interní, dosah nic moc).
routery s hdd snad kdysi dělal asus, ale asi to nebylo pro zákazníky cenově zajímavé, myslím že už to z trhu zmizelo.
Brtníku, díky za reakci
Ještě abych to upřesnila: Napadlo nás, jestli by bylo možno na ta účetní data použít ten router od Apple namísto stávajícího WD. Ten WD by byl využit na jiné účely. Naše představa propojení:
Účetní pc ve firmě X - router firmy X - router s HDD od Apple - router firmy Y - účetní pc ve firmě Y
Do routeru firmy X jsou napojeny i další počítače firmy X kvůli sdílení internetu; do routeru firmy Y zase vedou kabely od pc firmy Y kvůli internetu firmy Y.
PS Pro lidi, kteří se zde zajímali o bezpečnost účetních dat:
Data obou firem jsou denně zálohována na další zcela oddělená media a na více míst.
jasně, každá firma má svůj router x/y, který se jim stará o propojení, možná o dhcp přidělování adres, a pro připojení ven na net.
pro sebe z nich potřebuješ přivést po jediném kabelu do tvého nového apple disku. z firmy x do některého vstupu označeném <...>, další dva můžeš využít jako switch. z firmy y do "wan" vstupu se symbolem slunka.
apple krabička samozřejmě nesmí na žádné straně používat dhcp, ať se ti nehádá s přidělováním adres v sítích x,y - jak už psal výše strejdabrabenec.
hm, teď přehodnocuju své původní nadšení že to půjde tak lehce - totiž zda firma y bude schopna přes tuto apple krabičku schopna sdílet data přes router, ale mám pocit že by to mělo jít. chce to asi projít manuál, myslím že to je právě smysl toho výrobku - měla by tam být možnost sdílení i ven "do internetu" - ve tvém případě do firmy y.
oddělení sítí těch firem přechodovým routerem právě rozumně udržuje bezpečnost jejich sítí, že nejsou až moc sdílené. akorát se pro správnou funkci musí lišit jejich adresní rozsahy (na lan stranách routerů x,y).
Paneboze, to kto Vam poradil to jablicko?
Ta druha LAN karta uz mala byt kupena a nainstalovana...
Ono dost casto plati zasada.. kto vela spekuluje nad jednym problemom vetsinou prohloupi...
Jedina vec ktoru by ste z toho vyuzili oroti stavajicimu reseni s WD je ten Router... Wifi predpokladam by ste vypli hned ako by ste ho vybalili z krabice.
Za tie prechy by bolo potom lepsie sa poobhliadnut po naozajstnom routri napr Cisco, Juniper alebo Enterasys XSR1805...
Vzhaladom na to ze sa jablicko dost zahrieva asi nebude moc spolahlive... vice citajte v recenzii
http://technet.idnes.cz/velky-test-deseti-usb-disku -ktere-misto-je-pro-vase-data-nejbezpecnejsi-1nd-/h ardware.asp?c=A080423_153923_hardware_vse
A vyzera to tak, ze prenosove rychlosti na 100MBit sieti su u jablicka tajomstvom sefkuchara... predpokladam, ze 1GBit strukturovanu kabelaz nemate,,