Регистрация Правила Главная форума Поиск |
0
- 25.03.2016 - 23:41
|
Внутри локальной сети стоит Web-сервер, к которому предоставлен снаружи доступ через стандартный NAT. interface=outside Use interface IP Address original port=80 translated port=80 При таком раскладе обращение к этому серверу ИЗНУТРИ той же сети не работает. Как сделать, чтобы пакеты "закручивались" назад и изнутри сайт открывался бы так же, резолвясь по внешнему IP? | | |
1
- 26.03.2016 - 09:46
|
Разве не для таких целей предназначен split dns? Или split-horizon, split-view, split-brain, кому как нравится. | | |
2
- 26.03.2016 - 11:42
| Цитата:
Речь именно про то, что тот же старый, но мегастабильный и улёвый Winroute 4.2.5 - по дефолту "заворачивал" такие пакеты назад всё работало. Аналогично с Zyxel Keenetic и ещё с чем-то (не вспомнить). А Cisco и Microtik по дефолту так не делают. Соответственно, вопрос, как настроить это без "кривого" прописывания DNS? | | |
3
- 26.03.2016 - 20:03
|
Делается просто, SNAT на адрес вн.интерфейс ASA + DNAT на адрес сервера. Но надо понимать, что весь локальный трафик на web-сервер, c "десятков доменов и пр." попрет через интерфейс ASA, т.е. хост<->циска<->сервер. В варианте с "кривым" dns нативно, точка-точка. | | |
4
- 26.03.2016 - 20:12
| Ну и в статистике сервера, если собирается, реальных хостов не будет. | | |
5
- 26.03.2016 - 21:03
|
(3): Это и требуется, просто циска удаленная и стремаюсь уложить её, так как ехать туда проблемно сейчас будет. Вн.интерефейс - неудачное сокращение, оно может обозначать и "внешний" и "внутренний". Можете два правила NAT написать? | | |
6
- 26.03.2016 - 21:25
|
Внутрениий, это как бы очевидно) Могу, но не для циски. | | |
7
- 26.03.2016 - 21:29
| Для netfilter, легко. | | |
8
- 26.03.2016 - 21:32
| (6): В этом и суть сабжа, хотелось именно конкретики для циски. | | |
9
- 26.03.2016 - 21:40
|
Суть решения и есть конкретика, куда конкретнее-то? Осталось найти исполнителя, для 2-3 команд) | | |
10
- 26.03.2016 - 21:51
| SNAT на внутренний интерфейс не позволяет пробросить пакет во внутреннюю же сеть на конкретный IP. | | |
11
- 26.03.2016 - 22:07
|
Это с чего вдруг? DNAT: $localnet->$extip:80 на $srv:80 затем SNAT: $localnet->$srv:80 на $intip И всё. | | |
12
- 26.03.2016 - 22:11
| (11): вы сейчас говорите про Cisco ASA или просто "в теории"? | | |
13
- 26.03.2016 - 22:15
|
В практике. Заворачивал так весь исходящий smtp на локальный почтовик, вполне себе работало, как часики. | | |
14
- 26.03.2016 - 22:17
|
(13): Готов предоставить удаленный доступ к ASA и за три команды заплатить (на карту отправлю или на телефон, как пожелаете) - 1000 рублей. Годится? | | |
15
- 26.03.2016 - 22:20
| Годится, если циску замените на centos) | | |
16
- 26.03.2016 - 22:26
| Понятно, нафлудили диалог из 15 пунктов, хотя я предельно ясно обозначил оборудование. | | |
17
- 26.03.2016 - 22:33
|
В 6 и 7, я не менее предельно обозначил, что циска не моё. Но алгоритм решения от этого нисколько не хромает. Могу спросить знакомого цискаря, если согласится, то флаги вам в руки. | | |
18
- 26.03.2016 - 22:41
| Спасибо, "знакомого цискаря" я сам привлеку. | | |
19
- 26.03.2016 - 22:44
| Если есть под рукой цискарь, об чём же тогда был спич? | | |
20
- 26.03.2016 - 22:45
|
Он не под рукой. Он привлекается, когда есть задачи, которые не решить самостоятельно. У нас немного Цисок среди клиентов и эта проблема не стояла нигде. | | |
21
- 26.03.2016 - 23:14
|
20-StepanRazin >У циски это называется DNS doctoring. примерно так: nat (inside,outside) source static 10.1.1.1 1.1.1.1 dns ! policy-map global_policy class inspection_default inspect dns другой вариант - прописать в hosts ip сервака. Клиенты не грузят асу своими запросами. и еще вариант - поместить сервак в DMZ и оттуда транслировать в inside реальный ip: static (dmz,inside) 10.1.1.1 1.1.1.1 netmask 255.255.255.255 | | |
22
- 26.03.2016 - 23:17
|
Вот вам, граждане, цена "решения" вопроса аутсорсером. Настроить dns накладно, ибо их много, проще впендюрить пару команд и уложить интерфейс шлюза. | | |
23
- 26.03.2016 - 23:27
| Не "накладно", а заказчик не хочет такое решение. Он хочет именно резолв единого IP и заворот трафика из внутренней сети назад. | | |
24
- 26.03.2016 - 23:34
| А то что локальный трафик, будет гадить в транзитный интерфейс, и это впрямую скажется на скорости доступа вовне, клиенту объяснить невозможно? | | |
25
- 26.03.2016 - 23:52
|
Он не качает со своего же сайта гигабайты инфы. Какие проблемы со скоростью, если 5-6 человек открывают сайт браузером? А вот геморроиться с "двойным DNS" им не хочется. | | |
26
- 27.03.2016 - 11:34
|
Какие-то нескладушки, то десятки доменов, а то 6 пользователей и один сайт, непонятно, ну да ладно. Поговорил с цискарем, с его слов на асе такое сделать не так просто, как в netfilter. Он готов удаленно помочь, за вознаграждение. Если помощь еще нужна, контакты скину в личку. Сейчас он в командировке, на месте будет завтра после обеда. | | |
27
- 27.03.2016 - 12:14
|
Скиньте в личку тогда контакт, если мой знакомый цискарь не сделает - обращусь к вашему. Спасибо. Про "нескладно" - сайт не один. Эти 6 человек постоянно редактируют с десяток-другой своих сайтов. | | |
Модератор 28
- 27.03.2016 - 17:38
| А что не получается то? на 5500-5520-5500 вроде норм работает все, и что означает ИЗНУТРИ той же сети ? Полагается что внешний IP асы принадлежит той же подсети что и юзер желающий перелезть через асу в логалку? Служебный доступ себе пробить захотел? | | |
29
- 28.03.2016 - 00:46
|
(28): Web-сервер находится внутри локалки. К нему проброшены порты с внешнего IP и снаружи всё работает. Но если сайт пытаются открыть из той же сети, где расположен Web-сервер, то DNS резолвится во внешний и "закрутки" пакетов назад не происходит. Яндехом гуглится много таких же ситуаций и везде советуют DNS внутренний откорректировать. Заказчик в итоге попросил так и сделать. | | |
30
- 28.03.2016 - 11:09
| Что-то вообще не понял почему веб не доступен. Ну внешний айпи пусть, локалка отрезолвит внешний и по внешнему на веб попадет.Или шлюзы у веба и остальной локальной сети разные? | | |
31
- 28.03.2016 - 11:54
|
29-StepanRazin >спецом проверил на асе 5515 - все чудесно работает. Если версия 8.3 и старше, то синтаксис будет другой. Но по-любому все 3 решения, хотя они рабочие, с точки зрения дизайна не правильны. Нужно поднять, если нет, кэширующий днс сервер и прописать в свой зоне: <mydomain.ru>. IN A <ip_local_address> В этом случае локальные хосты получат по запросу <mydomain.ru> локальный адрес. Для хостов извне ничего не изменится. Тем самым аса не будет грузится ненужными запросами. | | |
32
- 28.03.2016 - 17:33
|
(31): Я изначально так и планировал сделать, но тот, кто поддерживает, спросил - нельзя ли без внутреннего днс? Вопрос закрыт, в итоге они сами нагуглили, что с Циской всё не так просто и согласились на запись во внутреннем днс | | |
33
- 28.03.2016 - 17:40
|
21-spiegel > "DNS doctoring" полагаю это банальный спуфинг? Чем он поможет если dns в локалке? 32-StepanRazin > да на 6-то хостов, не проще в hosts прописать? | | |
34
- 28.03.2016 - 17:47
|
(33): Проще один раз сделать для всех сразу и отслеживать на одном чем на каждом компе файл ковырять. Комп то не один в сети | | |
35
- 28.03.2016 - 17:52
| Мне это было очевидно, но вам "кривой днс" так глубоко душу ранил) что мне показалось, что для вас будет проще пройтись по хостам) | | |
36
- 28.03.2016 - 19:29
|
33-harsh >Что значит "чем поможет, если днс в локалке"? Хост делает запрос по имени. На его запрос АСА возвращает реальный ip веб-сервера. Естественно, он находится в локалке. Какие здесь проблемы? 34-StepanRazin > для тестирования на асе я потратил 15 минут. Ничего сложного здесь нет. Если не ошибаюсь, понадобилось 6 команд. Но я бы предпочел все же поднять днс-сервер. | | |
37
- 28.03.2016 - 20:03
|
36-spiegel > "На его запрос АСА возвращает реальный ip веб-сервера" Вот тут поподробней, допустим dns-сервер живет на отдельном хосте, ну пусть вместе с web, я это имел в виду под словом "в локалке", чем тут АСА сможет ответить, и кому? И пусть автор уже расскажет, где у него днс на самом деле. | | |
38
- 28.03.2016 - 20:36
|
37-harsh >нет разницы, где днс. Еще раз: пусть веб-сервер test.net имеет адрес в локалке 10.1.1.1. На асе транслируем наружу 10.1.1.1 в 1.1.1.1. Ност делает запрос у своего днс сервера, неважно где он находится, какой ip имеет test.net. В ответ получает 1.1.1.1. Хост посылает запрос асе, та делает редирект на 10.1.1.1 Как видно, решение не очень красивое, и возможно, не всегда будет срабатывать. | | |
39
- 28.03.2016 - 20:48
| дополню для ясности, в браузере хоста имя сервера будет по адресу 1.1.1.1, а не 10.1.1.1 | |
| Интернет-форум Краснодарского края и Краснодара |