(Malo je poznato da ovaj pejdž ima dva kontributora – ovo je onaj drugi)
Šta sam sve morao da podesim u svojoj mreži – da bih predao završni račun?
U principu, ono što imam je redovno podešen server sa KVM virtueliuzacijom, na kome se nalazi Win7 (legalan) virtuelna mašina, kojoj je moguće pristupiti putem RDP i budući da RDP prenosi-forwarduje smartcard – time je moguće korišćenje elektronskih sertifikata sa bilo kog operativnog sistema, za koji postoji napisan RDP klijent koji može da forward-uje smartcard čitač.
To u suštini radi fantastično; KVM se bekapuje sa lakoćom, restore se (u slučaju kriptolokera – čest posetilac ? ) uradi za 30 minuta, a na samoj win mašini ne stoji ništa značajno od dokumentacije/fajlova, sve je negde drugde. Samo podešene banke (pravna lica moraju da koriste kartice za pristup) i podešen pristup poreskoj, APR i sličnim državnim portalima naše države. Jedino što se serverima državnih institucija pristupa sa IP adresa van Srbije – ali, to valjda ne bi smeo da bude problem; ono, Internet…
Problem je taj što već godinama unazad, pomenuti APR ukida pristup (blackhole, tarpit,…) za IP adrese koje nisu iz Srbije; tako da portal (ali samo deo gde se podnose završni računi!) – postaje nedostupan IP adresama van Srbije.
Što znači: moj KVM u OVH datacentru – treba da dobije izlaz sa IP adrese iz Srbije. Jer nemam dovoljno problema u trenutku predaje završnih računa…
Dakle, server sa virtuelizacijom, koji je u OVH, i virtuelne mašine sa win7 na njima, obično imaju (virtuelni) mrežni interfejs koji je NAT i čiji javni IP je van Srbije (ali je 44ms, pa nije problem); e, sad, svakoj toj KVM mašini sam mrežni priključak tagovao sa VLAN; taj VLAN sam na ruteru bridge-ovao sa EoIP tunelom; EoIP tunel (koji je L2) onda prolazi kroz PPTP VPN (koji nije L2, ali pozivalac može da bude iza NAT ili na dinamičkoj adresi) do druge strane (mog rutera u Srbiji); taj EoIP je onda u bridge-u sa lokalnim LAN i WLAN interfejsima.
Rezultat: KVM je dobio lokalnu IP adresu iz opsega iz kog dobijaju i ostali uređaji u mom stanu; time mu je gateway postao isti GW koji koriste i uređaji u mom stanu – i time on praktično postaje računar koji se javlja sa IP adrese iz Srbije, i – konačno na njemu radi portal APR. Bukvalno sam morao kroz razne tunele da provučem virtuelni LAN kabl – i spojim taj komp na svoju kuću. A i paketi su 1500, barem kad se opet sklope.
Ovom prilikom bih se i slatko načestitao Nove Godine i svega po spisku IT sektoru APR – koji ne zna ni za šta bolje – nego da ograničava pristup po IP adresama i po geolokaciji IP adrese; jer, jelda, svi direktori svih firmi i sve knjigovođe svih firmi moraju da budu u Srbiji nonstop.
(ko me zna – zna da imam mikrotik mrežu svuda gde mi padne napamet, po jedan ruter na svakoj lokaciji gde ikada boravim; sve uvezano PPTP, svaka lokacija svoj opseg lokalnih adresa, sve lokalne adrese drugih rutera za sada statički izrutirane ali uskoro će da padne i neki IGP tipa OSPF; ali, zaboga, ja nisam prosečan knjigovođa – a šta li rade ostali, koji nemaju ni VPN do kancelarije, kada treba nešto časkom da potpišu iz inostranstva, a domaće institucije izmisle da od interneta naprave ETHERNET – ne smem ni da pomislim…)
Ah, da, i tako svake godine, a i češće…
Komentari sa stranice:
