- Tengo una maquina industrial. El proveedor agregó una caja VPN industrial (dispositivo A a continuación) y configuró todos los dispositivos en la LAN para usarlo como puerta de enlace.
- El proveedor es extremadamente consciente de la seguridad y no configurará (si es posible) reglas NAT para permitirme comunicarme con los dispositivos en la LAN de la máquina. Esto me impide recopilar datos de la máquina y dar soporte remoto desde la oficina o desde casa.
¿Cuál es la terminología o el nombre correcto para el dispositivo B que incluiría,
- Un puerto WAN y LAN.
- Capacidad para configurar múltiples direcciones WAN y vincular o reenviar solicitudes a estas direcciones a direcciones LAN específicas.
- Haga que las solicitudes aparezcan como locales para que la respuesta no requiera el uso de la puerta de enlace (lo que enviaría la respuesta en la dirección incorrecta).
¿Es una clase de proxy inverso? Supongo que este problema se ha resuelto muchas veces antes y que una configuración de Linux podría ayudar. ¿Qué términos de búsqueda debo utilizar?
Muchas gracias.
Respuesta1
a)Realmente suena mucho a algo normal.enrutador(también conocido como puerta de enlace). Todas las funciones que ha enumerado son la NAT habitual (SNAT y DNAT) que los enrutadores suelen realizar.
Por ejemplo, el segundo elemento es DNAT normal (también conocido como "reenvío de puertos"), solo que con parámetros de coincidencia más específicos; lo que necesita es un enrutador que permita la coincidencia en "IP externa" en las reglas DNAT, lo que muchos realmente hacen. De manera similar, el tercer elemento es el mismo tipo de SNAT (también conocido como "enmascaramiento") que muchos enrutadores ya realizan en la interfaz WAN, solo que en su caso se realiza saliendo de la interfaz LAN.
Entonces, lo principal que debe buscar es si el firmware del enrutador es lo suficientemente flexible, es decir, lo que desea esnoel tipo específico de enrutador "inalámbrico para el hogar/oficina" que asume un caso de uso fijo, pero un "enrutador empresarial" más genérico que le permite desarrollar su comportamiento desde cero. (No sé si ese es realmente el término correcto; no tiene por qué tener un precio empresarial, por supuesto), pero en realidad el problema es queessolo un enrutador genérico. A veces, un "firewall empresarial" también puede ser adecuado).
Como ejemplo específico, los dispositivos con RouterOS u OpenWRT deberían tener las capacidades necesarias. Una computadora con dos puertos Ethernet que ejecuta un sistema operativo capaz de enrutamiento y NAT (por ejemplo, cualquier Linux con nftables/iptables, o alguna variante de BSD conpf) también funcionaría bien.
b)Dicho esto, todo podríatambiénpuede hacerse con un "proxy inverso", la principal diferencia es que los proxies funcionan en capas superiores, por ejemplo, en lugar de paquetes IP sin procesar, manejan conexiones TCP o incluso solicitudes HTTP individuales, por lo que debe elegirlo en función del tipo de comunicaciones que desee. Estaré actuando.
Pero esto en realidad significa que su tercera característica está "integrada" en todos los servidores proxy inversos, ya que internamente el proxy establecería una conexión completamente nueva desde su propia dirección LAN;conservaciónla dirección de origen sería más difícil.
Los proxies inversos también se superponen un poco con los "equilibradores de carga" (muchos se anuncian como ambos). No son necesariamente dispositivos o dispositivos dedicados; normalmente son solo software que se ejecuta en una computadora general como Nginx, HAproxy o retransmisión.
Entonces, si todas sus solicitudes están basadas en HTTP, entonces un proxy inverso HTTP funcionaría (incluso podría agregar HTTPS en el lado WAN mientras sigue hablando de texto sin formato HTTP internamente), pero muchos proxies/equilibradores también pueden hacer TCP sin formato. (Creo que el soporte UDP genérico es menos común, pero no inexistente).
En ambos casos, creo que los "puertos WAN y LAN" no son realmente lo que estás buscando. Yo diría todo lo contrario: un enrutador empresarial quenotener dichos puertos predefinidos (y solo tener Ethernet1, Ethernet2, etc.) es más probable que sea lo suficientemente flexible para sus propósitos que un enrutador que los tenga.