Externí disk dostupný ze dvou LAN sítí - lze to?
Prosím o radu 
V jednom domě mají kanceláře dvě firmy. Každá firma má svou samostatnou pc síť a svoje vlastní připojení k internetu přes svou ADSL linku, počítače jsou připojené do ADSL routerů. Ty sítě i firmy nazvu X a Y.
K síti X je přes LAN port připojen externí harddisk Western Digital (WD). Je používám ke sdílení dat v síti X.
Obě firmy mají stejnou účetní a ta střídavě pracuje na stolním PC ve firmě X a pak zase na jiném stolním PC ve firmě Y. Pro účetní by bylo potřeba, aby její pc v síti Y měl též přístup k WD. Počítač musí zůstat v síti Y a naopak WD musí zůstat v síti X.
WD má vzadu jeden LAN port, tam je připojen kabel ze sítě X. Není problém vést kabel z místnosti firmy X do místnosti firmy Y. Na připojení k WD mají zájem obě firmy /neřešte prosím bezpečnostní otázky/.
Lze toto nějak vyřešit? Jen nápad: Bylo by funkční, kdyby se do WD připojil switch a do switche zapojit dva LAN kabely, jeden z routeru sítě X a druhý z routeru sítě Y? Nebo je nějaké jiné - lepší řešení? Nebo to vůbec nejde?
Pokud je to BFU otázka, tak se omlouvám. V každém případě budu vděčná za jakékoliv odpovědi. I odpověď "nelze v žádném případě, technicky vyloučeno" je cennou informací. Děkuju předem
Jestli mají obě firmy stejný rozsah IP adres tak by to teoreticky jít mohlo, ovšem tím stylem co píšeš-přes switch se vlastně jedná o to co psal tank-propojení sítí se vším co k tomu patří. Když píšeš "neřešte otázku bezpečnosti" (až tohle uvidí tačůd tak ho klepne) tak to s sebou nese ještě další problémy-např. konflikty IP adres. Pokud běží v obou firmách nějaké DHCP, muselo by se přidělování nastavit tak aby první polovinu rozsahu měla firma x, druhou fa y, to samé u statických adres. Nejhorší na tom ale je že by vlastně v jedné síti byly 2 ADSL routery čili 2 přístupy na internet, oba se stejnou vnitřní IP, která se sice dá změnit ale PC by "nevěděly" přes který mají jít na internet takže takhlë to asi nejde. Jedině sjednotit celou síť a mít jediný ADSL router pro obě firmy.
EDIT: teď mě ještě napadá takové kostrbaté řešení, možná ale jediné použitelné. Pokud má z firmy Y mít k LAN disku přístup jenom ten PC účetní, potom do něj přidat druhou LAN kartu, na tu nastavit adresu z rozsahu X a propojit se sítí X.
Ano, z firmy Y má mít k WD v síti X skuteně přístup jen ten PC účetní. Jelikož účetní má ve firmě Y stolní PC s volnými sloty, tak přidání druhé LAN karty by nebyl problém. Děkujeme za nápad
z hlediska funkčnosti je ale potom velmi vhodné, aby obě sítě měly různé IP rozsahy aby PC s těmi dvěma síťovkami "nezblbnul"
mně už dneska jednou kleplo z mých potomků. Jsem již pro dnešek imunní
S tím switchem by to šlo, jen když by byl stejný rozsah IPček na obou sítích, jinak by to musel být router. Dále je třeba dohlédnout na to, aby si každá firma nastavila výchozí bránu na "svůj" router do Internetu, pak by neměl být problém...
jo, jenže potom ti začnou vznikat problémy na DHCP, kde budou v jedné kolizní doméně dva DHCP servery a to bude to správné čoromoro (výchozí brána, DNS, SMTP server a podobné "nepodstatnosti")..
A co takhle přikoupit ještě jeden router a spojit v něm ty sítě dohromady? Pak ještě nastavit statické routování - možná, že by to šlo. Co vy na to?
Nekomplikujte to zbytocne... Strejdabrabenec to vyriesil idealne a lacino myslim...
ano, to by šlo, ale je to složitější, zbytečné a dražší. Navíc z hlediska bezpečnosti o dost horší.
No, tak prerusime tu diskusi o propojeni siti pomoci switche. ANI NAHODOU. V pripade, ze maji obe site stejny rozsah, tak na to automaticky zapomen, to nepujde. Tedy samozrejme krome propojeni na linkove vrstve ( switch ). Rezaly by se DHCP servery ( pocitac se nakonfiguruje podle toho, jaky dhcp k nemu dorazi driv ), zamestnanci by si videli vzajemne do pocitacu a do jinych sdilenych prostredku. I kdyz se to osetri pravy, je to nachylne na utok. NE, to opravdu neni reseni.
Reseni:
Podminky:
Kazda sit ma jiny adresni rozsah.
Routry umoznuji nastavit treti sit ( tedy krome WAN a LAN treba jeste DMZ ).
Na routrech je mozne konfigurovat firewall jak Z tak DO te treti site ( DMZ ).
Routry umoznuji pridani zaznamu do routovaci tabulky.
Pak to bude vypadat:
Rekneme, ze sit X ma rozsah 192.168.1.0/24
Rekneme, ze sit Y ma rozsah 192.168.2.0/24
Vnejsi ( internetove WAN ) adresy nas nezajimaji.
Pocitac pani ucetni ve firme Y je 192.168.2.10 ( vyzaduje pevnou adresu nebo pevnou rezervaci v DHCP )
WD ve firme X ma adresu 192.168.1.100
Rozsah treti site ( DMZ ) je 10.10.10.0/30
adresa routeru firmy X v te treti siti ( DMZ ) je 10.10.10.1
adresa routeru firmy Y v te treti siti ( DMZ ) je 10.10.10.2
Routry se propoji kabelem pres porty treti site ( DMZ ).
pridaji se routy:
router X: route add 192.168.2.0/24 gw 10.10.10.2
router Y: route add 192.168.1.0/24 gw 10.10.10.1
firewall na routru X: kdyz bude prichozi rozhrani DMZ prichozi adresa 192.168.2.10 a cilova 192.168.1.100 tak povol
zbytek prichozi rozhrani DMZ zakaz
zbytek odchozi rozhrani DMZ zakaz
firewall na routru Y: kdyz bude odchozi rozhrani DMZ prichozi adresa 192.168.2.10 a cilova 192.168.1.100 tak povol
zbytek odchozi rozhrani DMZ zakaz
zbytek prichozi rozhrani DMZ zakaz
Jakekoli jine reseni nez propojenim routru snizuje bezpecnosti a soukromi obou firem. Jestli to vase routry neumi, tak je treba je vymenit. NE NA VSECHNY SITOVE VECI SE HODI ROUTRY ZA PAR STOVEK! Sofistikovanejsi reseni vyzaduji sofistikovanejsi prostredky.
PS: pravidla firewallu jsem uvedl zjednodusene, predpokladaji, ze provoz navazanych spojeni je povolen vzdy.
Pokud necemu uvedenemu nerozumite, prizvete si prosim cloveka, ktery porozumi, ten vam bude schopen to i nastavit.
JR
Takto nejak by to malo vyzerat.. nicmene ako si si mohol vsimnut v povodnom dotaze bezpecnost siete sa nema riesit...
Jestli se namá řešit bezbečnost, tak na to účetnictví rovnou zapomeňte!
Ja si navzdory tomu myslim, ze bezpecnost se ma resit VZDY. Ja si myslim, ze resit bezpecnost se nemela jen v pripade pripojeni externiho disku do obou firem, nikoli propojeni obou siti.
Urcite mas pravdu... este moze stat za uvahu pouzit VLANy namiesto DMZ a troch sieti..., ale to je tiez dostupne len na switchoch nad 10k korun...
říká člověk, který mě napomínal, že to příliš komplikuji viz. přispěvek výše.........
Z toho si nic nerob... len tak diskutujeme, ze co este vymyslet.... :)
ale stale som toho nazoru, ze lepsie a zaroven lacnejsie riesenie ako 2ks LAN kariet sa nenajde...
za ty nervy ty 2ks nestojí
Ano, toto reseni je ale jeste narocnejsi nez mnou uvedene
ve vysledku je to totez, jen neni treti siti vyhrazen port na routru, ale toto je provedeno na switchi. Nemas ale pravdu s cenou mam doma dva switche ( jeden Repotec 8x10/100, druhy SMC tiger switch 24x10/100+2x1000 dualport FSX/metalika oboje s webovym,cli i SNMP managementem, L3 funkce, VLAN, QoS, IGMP ) a oba stali pod pet tisic. Web smart switch ( od 3 com, pouze webove rozhrani, hnus ) lze sehnat jeste levneji.
Tak tohle me zajima... Mas vyskusane tie svitche pod zatazou na vsetkych portoch ? Ako sa spravaju ked sa hodne zatazia sietovou prevadzkou?
To SMC vyzkousene nemam, jinak repotec si budu porizovat i dalsi ( 8x1G a 8x100 + 1G metalika + 1G FSX ). To co garantuje Cisco ze zadneho z nich nedostanes ( neznam jinou znacku, ktera by snesla plnou zatez na vsech portech najednou ). Kdyz jsem pustil 40Mb multicast primo do toho 8 portoveho repotecu, tak jsem se nedostal na administratorske rozhrani ( zadne, ani konzole nepobirala ), ale sit stale fungovala bez potizi.
Jsem hodne mimo, kdyz me napada: Belkin USB Peripheral Auto Switch 2x1?
(jen ten kabel si nedovedu predstavit)
Jo, to jsi mimo
ten disk je sitove uloziste.
Tak to jsem mimo taky
Nám se totiž nápad "Pata bez Mata" líbí, je to jednoduché a vypadá to user friendly 
Můžu se zeptat; proč by to vlastně nešlo? Mně se totiž z popisu zdá, že by to jít mohlo, ale nerozumím tomu.
WD má vzadu jeden LAN port a jeden USB port, je to tento typ
---
Kopie popisu Belkina:
Belkin představuje originální produkt, kterým je automatický datový přepínač pro sběrnici USB. Tento čtyřportový přepínač periferního zařízení poskytuje přístup více počítačům k jednomu zařízení (nikoli obráceně!) podporujícímu rozhraní USB 1.1 - například tiskárně, fotoaparátu, skeneru nebo externímu úložnému zařízení.
Obsahuje snadno použitelný software a přepínání klávesovou zkratkou. Funguje se zařízeními s rozhraním USB 1.1 a 2.0 s přenosovou rychlostí až 12 Mb/s a připojí zařízení s rozhraním USB až 30 stop (10 metrů) od počítačů. Obsahuje indikátory aktivních portů pro jasnou identifikaci používaného počítače. Switch nevyžaduje napájení a podporue systémy PC i Mac.
Protoze ten mybook nefunguje jako massstorage ( vyzkouseno ). Ten USB port slouzi jen k pripojeni dalsiho USB disku jako pridavneho uloziste. Ten port ma funkci pouze USB host.
A 12Mbitu neni zadne terno, je to 1.5MB/s po siti ma ten disk zhruba 6MB/s
a co třeba jiný ? přeci jsou USB disky s massstorage? cena neni vysoka
představ si že ta hrůza je sice kompatibilní s usb2.0 jak píšou, ale z odstavce předtím se dá chápat že pracuje jen rychlostí usb1.1 - a o tuto příšernost se bude dělit několik uživatelů. to už je skoro stejně rychlé každého z nich s datovým diskem oběhnout zvlášť.
jinak belkin je kategorie "nejhorší čína" - to jsou krámy kterým je lepší se vyhnout.
edit: navíc podle j.r.e. ani není jeho usb jako usb, tím to padá.
rozumné jsou ty dvě síťovky k externímu disku - jenže ten je nemá. a předřazovat kvůli tomu před něj 10x větší a žravější pc se 2 lan není moc efektivní.
takže zkusit zda externí disk umí duální statickou ip adresu - ostatně pokud ho dnes používáte jako společné datové úložiště, pevnou adresu už nejspíš má.
pak bych zkusil jen ho připojit přes switch se 2 lankami - každá z jedné sítě (které nebudou používat dhcp). akorát bych ty sítě výrazně přečísloval, ať si je nepletete (192.168.x.x a 10.x.x.x)
to bych viděl jako nejmenší investici s nejméně zásahy.
v diskuzi tam pisou:
a jeste jeden zajimavy napad:
Děkujeme všem za odpovědi, jste skvělí!
Ještě prosíme o názory, zda by bylo technicky možné řešit uvedený problém tak, že místo stávajícího WD by byl zakoupen router se zabudovaným pevným diskem ?
Ideální by totiž bylo zapojit to zařízení přes LAN porty do obou počítačů, nastavit jen to nejnutnější a pracovat. Uvítáme vaše názory.
řešení s routerem jde - pokud se ti nechce (nebo současný wd neumí) nastavovat dual ip, pak z jedné strany strčit router. buď předřadit normální za pár stovek z jedné sítě do "wan", druhá "lan" strana do 2.sítě a zároveň na tvůj wd.
anebo tento apple krám s gigovým ethernetem (to je na něm pěkné), díky jablečnému logu to bude vždy dražší. umí wifi, což je firemních podmínkách spíše nežádoucí. ale má wpa2, tak to jde, potřebuješ na to aspoň xp + sp2 + nějaké záplaty, anebo sp3.
jestli se dívám dobře, konektorů to má dost (ale wifi anténky jen prťavé interní, dosah nic moc).
routery s hdd snad kdysi dělal asus, ale asi to nebylo pro zákazníky cenově zajímavé, myslím že už to z trhu zmizelo.
Brtníku, díky za reakci
Ještě abych to upřesnila: Napadlo nás, jestli by bylo možno na ta účetní data použít ten router od Apple namísto stávajícího WD. Ten WD by byl využit na jiné účely. Naše představa propojení:
Účetní pc ve firmě X - router firmy X - router s HDD od Apple - router firmy Y - účetní pc ve firmě Y
Do routeru firmy X jsou napojeny i další počítače firmy X kvůli sdílení internetu; do routeru firmy Y zase vedou kabely od pc firmy Y kvůli internetu firmy Y.
PS Pro lidi, kteří se zde zajímali o bezpečnost účetních dat:
Data obou firem jsou denně zálohována na další zcela oddělená media a na více míst.
jasně, každá firma má svůj router x/y, který se jim stará o propojení, možná o dhcp přidělování adres, a pro připojení ven na net.
pro sebe z nich potřebuješ přivést po jediném kabelu do tvého nového apple disku. z firmy x do některého vstupu označeném <...>, další dva můžeš využít jako switch. z firmy y do "wan" vstupu se symbolem slunka.
apple krabička samozřejmě nesmí na žádné straně používat dhcp, ať se ti nehádá s přidělováním adres v sítích x,y - jak už psal výše strejdabrabenec.
hm, teď přehodnocuju své původní nadšení že to půjde tak lehce - totiž zda firma y bude schopna přes tuto apple krabičku schopna sdílet data přes router, ale mám pocit že by to mělo jít. chce to asi projít manuál, myslím že to je právě smysl toho výrobku - měla by tam být možnost sdílení i ven "do internetu" - ve tvém případě do firmy y.
oddělení sítí těch firem přechodovým routerem právě rozumně udržuje bezpečnost jejich sítí, že nejsou až moc sdílené. akorát se pro správnou funkci musí lišit jejich adresní rozsahy (na lan stranách routerů x,y).
Paneboze, to kto Vam poradil to jablicko?
Ta druha LAN karta uz mala byt kupena a nainstalovana...
Ono dost casto plati zasada.. kto vela spekuluje nad jednym problemom vetsinou prohloupi...
Jedina vec ktoru by ste z toho vyuzili oroti stavajicimu reseni s WD je ten Router... Wifi predpokladam by ste vypli hned ako by ste ho vybalili z krabice.
Za tie prechy by bolo potom lepsie sa poobhliadnut po naozajstnom routri napr Cisco, Juniper alebo Enterasys XSR1805...
Vzhaladom na to ze sa jablicko dost zahrieva asi nebude moc spolahlive... vice citajte v recenzii
http://technet.idnes.cz/velky-test-deseti-usb-disku -ktere-misto-je-pro-vase-data-nejbezpecnejsi-1nd-/h ardware.asp?c=A080423_153923_hardware_vse
A vyzera to tak, ze prenosove rychlosti na 100MBit sieti su u jablicka tajomstvom sefkuchara... predpokladam, ze 1GBit strukturovanu kabelaz nemate,,