Jump to content
Калькуляторы

доступ к своим ресурсам из локалки

Здравствуйте! сделали сайт. пробросил к нему влан с белым адресом. из инета все ок. днс не умеет на одно имя повесить 2 адреса (белый и серый). как пользователям локалки дать доступ из локалки. а не через интернет. прописывание маршрута на кат 3550 не помогло. чего делаю не так и как сделать правильно?. спасибо.

Share this post


Link to post
Share on other sites
днс не умеет на одно имя повесить 2 адреса (белый и серый).

То есть не умеет? если bind, man в сторону view.

 

Ну а вообще хорошо бы схему, как там у вас все устроено.

Share this post


Link to post
Share on other sites
днс не умеет на одно имя повесить 2 адреса (белый и серый).
На примере BIND

 

test.test.ru.       IN A          x.x.x.x
test.test.ru.       IN A          y.y.y.y

Share this post


Link to post
Share on other sites

Пользователи локалки должны видеть реальный IP-адрес web-сервера. Для этого на маршрутизаторах укажите правильно маршруты.

Если нарисуете подробно схему - укажу что именно подправить.

View лучше не использовать - нарушается логика и надо помнить о внешних и внутренних IP.

Как вариант (но опять же, подробно не описана вся ситуация) можно web-серверу отдать серый IP из домашней сети, а на маршрутизаторе Интернет настроить трансляцию адресов.

Share this post


Link to post
Share on other sites
View лучше не использовать - нарушается логика и надо помнить о внешних и внутренних IP.
Это слишком сложно разве? =)

 

Share this post


Link to post
Share on other sites

Для 1-3-5 серверов или сервисов - нет конечно. Само собой ведение документации подразумевается.

Для 10-20 уже хуже.

Лучше изначально строить правильно, чтобы потом ничего не переделывать в случае чего.

Share this post


Link to post
Share on other sites

вот так сейчас у меня устроено. просьба критиковать адекватно

ядро сети - -кат 3550 на 48 портов. прочих маршрутизаторов нет

днс сервер с фрибсд. 2 сетевые. одна смотрит в интернет - проброшен влан от провайдера в обход биллинга с белым адресом, зарезана скорость на порту, вторая в локалку с серым адресом. (вариант с резервированием белого адреса через нат не понравился вебдизайнеру). ну и от него информация, что днс путается какой из ипышников отдавать имени сайта.

на каталисте маршрут - все подсети заворачивать на подсеть биллинга - он в своем вилане.

боюсь, если сделать неправильный маршрут на влан от провайдера - абоненты могут уйти в инет мимо биллинга. маршрут типа 0.0.0.0 на адрес вебсервера ничего не дал. веб сервер на той же банке где днс. на биллинге поднят кеширующий днс

Share this post


Link to post
Share on other sites

Веб-дизайнер пусть занимается дизайном. Работает годами и такая схема с пробросом ч-з нат.

DNS не путается, а делает то, как его сконфигурировали. Если создается 2 A-записи, то он будет отдавать их по очереди.

 

Я сделал бы так: отдать web-серверу реальный IP. На 3550 сделать маршрут на этот реальный IP (а не на всю подсеть реальных IP-адресов провайдера), чтобы абоненты могли ходить на него как на локальный ресурс. На веб-сервере, если у него 2 сетевые не забыть про маршрут в локальную сеть обратно.

Все должно работать.

 

Share this post


Link to post
Share on other sites
Пользователи локалки должны видеть реальный IP-адрес web-сервера. Для этого на маршрутизаторах укажите правильно маршруты.

Если нарисуете подробно схему - укажу что именно подправить.

View лучше не использовать - нарушается логика и надо помнить о внешних и внутренних IP.

Как вариант (но опять же, подробно не описана вся ситуация) можно web-серверу отдать серый IP из домашней сети, а на маршрутизаторе Интернет настроить трансляцию адресов.

а при NAT, не надо ни о чем помнить? это именно вопрос, просто боюсь чего-то не понимаю.

Share this post


Link to post
Share on other sites
а при NAT, не надо ни о чем помнить? это именно вопрос, просто боюсь чего-то не понимаю.
у меня так контрстрайковый сервер работает и система город. ДАЖЕ через виндовый нат. местные геймеры довольны. главное не забыть какому адресу присвоено соответствие при смене осей/железа.

 

Share this post


Link to post
Share on other sites
а при NAT, не надо ни о чем помнить? это именно вопрос, просто боюсь чего-то не понимаю.
у меня так контрстрайковый сервер работает и система город. ДАЖЕ через виндовый нат. местные геймеры довольны. главное не забыть какому адресу присвоено соответствие при смене осей/железа.

Ну тогда мне кажется лучше решать проблему именно средствами dns, раз проблемы одни и те же (надо помнить, документировать). Хотя каждый делает выбор сам, все зависит от ситуации.

 

Share this post


Link to post
Share on other sites

Есть рекомендация: как можно меньше использовать неоднозначность в технических вопросах.

Например нат - существует большое количество технологий и протоколов, с наток не дружащих и требующих дополнительных настроек. Второй пример - View или как раньше "расщепление горизонта". Про второй скажу так. Если есть 1 сервис лучше, чтобы у него была 1 точка конфигурирования (в данном случае DNS-запись). Не стоит порождать сущности если можно обойтись без этого.

 

В реальной жизни при нормальных руках все будет работать в любом из вариантов.

Share this post


Link to post
Share on other sites

Поднять отдельный ДНС для локалки, пусть будет кеширующим резолвером, и будет держать пару записей ваших локальных ресурсов.

Share this post


Link to post
Share on other sites

+1 за разделение DNS.

NSD как authoritative DNS, зарегистрированный на nic.ru

Unbound как кэширующий форвардер для локалки

с переопределением части имён через transparent-зоны.

 

Share this post


Link to post
Share on other sites
+1 за разделение DNS.

NSD как authoritative DNS, зарегистрированный на nic.ru

Unbound как кэширующий форвардер для локалки

с переопределением части имён через transparent-зоны.

То есть вместо 1 роута и изменения ACL вы предлагаете такое?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this