Перейти к содержимому
Калькуляторы

Помогите правильно настроить проброс

В локальной сети есть веб сервер, естественно пишутся логи.

Нат и проброс портов настроен, все работает в логах на сервере отображаются правильные ип, белые как надо.

 

Но при обращении к домену сервера из локальной сети в логах пишется ип роутера, т.е. 10.25.130.1. 

Тоесть когда в локальной сети адрес 10.25.130.5 открывает сайт, то в лог пишется не ип 10.25.130.5  а ип роутера 10.25.130.1. 

Если обращаться не по домену, а напрямую к адресу сервера в локальной сети то все ок. 
Уже весь мозк себе сломал, не могу понять что сделать чтоб в логах писался ип из локалки а не ип роутера. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@MikroUser , вам необходимо проделать следующее:
1) обязательно отказаться от порочной практики обращаться к серверу по IP-адресу. Так делают только криворукие 1Сники.
2) настроить split-DNS

3) обращаться к серверу по DNS (FQDN) 

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Одними днс тут не отделаться и оно не решит проблему, нужно с правилами ната разобраться, но что я только не делал - пока безрезультатно, при обращении к внешнему ип из локальной сети в логах сервера пишет ип роутера, что есть неправильно. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всё верно. Если ип внешний, обращение к нему будет отначено. Можно конечно сделать костыль, если у веб сервера есть серый адрес, примерно так:

iptables -t nat -A -i fromLAN -p tcp -d ext_ip_web_server --dport 80 -j DNAT --to-destination int_ip_web_server:80
iptables -t nat -A -i fromLAN -p tcp -d ext_ip_web_server --dport 443 -j DNAT --to-destination int_ip_web_server:443

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У сервера только серый (локальный ип). Белый ип у роутера, потому такой костыль не сработает(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда ничего не понимаю,

Цитата

при обращении к внешнему ип из локальной сети

К чьему ип?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

потому что сайт\сервер доступен по домену, следовательно из локальной сети идет обращение по домену, а там внешний ип. А обращаться к серверу напрямую из локалки нельзя. 

Придется наверное дать серваку белый ип, и пустить мимо микротика. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если вынести сервер в отдельную подсеть, отличную от той, где находятся клиенты, то source-nat для трафика от клиентов к серверу можно будет отключить, оставив только destination-nat. Тогда сервер будет видеть реальные ip клиентов вне зависимости, в интернете они или в локальной сети. А если они в одной подсети, и к серверу обращаются по внешнему ip, то задача нерешаема, т.к. если нет source nat, то обратный трафик от сервера к клиентам пойдет напрямую, а не через Mikrotik.

 

Еще один, совсем плохой способ обойти проблему - прописать всем в hosts сопоставление dns ->внутренний_ip сервера.

Изменено пользователем msdt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@msdt Огромное спасибо, вынес сервер в отдельную подсеть и все получилось. Ип локальных пользователей отображаются в логах правильно) 

Вопрос решен, тему можно закрыть. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 28.11.2019 в 00:16, MikroUser сказал:

@msdt Огромное спасибо, вынес сервер в отдельную подсеть и все получилось. Ип локальных пользователей отображаются в логах правильно) 

Вопрос решен, тему можно закрыть. 

Можно и нужно было поднять внутренний dns-сервер , а на нем уже прописать имя сервера с серым адресом. Тогда запросы изнутри пойдут прямо на него, минуя роутер.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Bind умеет вьюсы  (views), наверное для вашего случая подойдет.

Он будет выдавать разные ip при запросе в зависимости от того откуда пришел запрос на разрешение имени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.