доступ к своим ресурсам из локалки

[kf72]

Здравствуйте! сделали сайт. пробросил к нему влан с белым адресом. из инета все ок. днс не умеет на одно имя повесить 2 адреса (белый и серый). как пользователям локалки дать доступ из локалки. а не через интернет. прописывание маршрута на кат 3550 не помогло. чего делаю не так и как сделать правильно?. спасибо.

[chubais]

днс не умеет на одно имя повесить 2 адреса (белый и серый).

То есть не умеет? если bind, man в сторону view.

 

Ну а вообще хорошо бы схему, как там у вас все устроено.

[detx]

днс не умеет на одно имя повесить 2 адреса (белый и серый).

На примере BIND

 

test.test.ru.       IN A          x.x.x.x
test.test.ru.       IN A          y.y.y.y

[yakuzzza]

Пользователи локалки должны видеть реальный IP-адрес web-сервера. Для этого на маршрутизаторах укажите правильно маршруты.

Если нарисуете подробно схему - укажу что именно подправить.

View лучше не использовать - нарушается логика и надо помнить о внешних и внутренних IP.

Как вариант (но опять же, подробно не описана вся ситуация) можно web-серверу отдать серый IP из домашней сети, а на маршрутизаторе Интернет настроить трансляцию адресов.

[sirmax]

View лучше не использовать - нарушается логика и надо помнить о внешних и внутренних IP.

Это слишком сложно разве? =)

 

[yakuzzza]

Для 1-3-5 серверов или сервисов - нет конечно. Само собой ведение документации подразумевается.

Для 10-20 уже хуже.

Лучше изначально строить правильно, чтобы потом ничего не переделывать в случае чего.

[kf72]

вот так сейчас у меня устроено. просьба критиковать адекватно

ядро сети - -кат 3550 на 48 портов. прочих маршрутизаторов нет

днс сервер с фрибсд. 2 сетевые. одна смотрит в интернет - проброшен влан от провайдера в обход биллинга с белым адресом, зарезана скорость на порту, вторая в локалку с серым адресом. (вариант с резервированием белого адреса через нат не понравился вебдизайнеру). ну и от него информация, что днс путается какой из ипышников отдавать имени сайта.

на каталисте маршрут - все подсети заворачивать на подсеть биллинга - он в своем вилане.

боюсь, если сделать неправильный маршрут на влан от провайдера - абоненты могут уйти в инет мимо биллинга. маршрут типа 0.0.0.0 на адрес вебсервера ничего не дал. веб сервер на той же банке где днс. на биллинге поднят кеширующий днс

[yakuzzza]

Веб-дизайнер пусть занимается дизайном. Работает годами и такая схема с пробросом ч-з нат.

DNS не путается, а делает то, как его сконфигурировали. Если создается 2 A-записи, то он будет отдавать их по очереди.

 

Я сделал бы так: отдать web-серверу реальный IP. На 3550 сделать маршрут на этот реальный IP (а не на всю подсеть реальных IP-адресов провайдера), чтобы абоненты могли ходить на него как на локальный ресурс. На веб-сервере, если у него 2 сетевые не забыть про маршрут в локальную сеть обратно.

Все должно работать.

 

[chubais]

Пользователи локалки должны видеть реальный IP-адрес web-сервера. Для этого на маршрутизаторах укажите правильно маршруты.

Если нарисуете подробно схему - укажу что именно подправить.

View лучше не использовать - нарушается логика и надо помнить о внешних и внутренних IP.

Как вариант (но опять же, подробно не описана вся ситуация) можно web-серверу отдать серый IP из домашней сети, а на маршрутизаторе Интернет настроить трансляцию адресов.

а при NAT, не надо ни о чем помнить? это именно вопрос, просто боюсь чего-то не понимаю.

[kf72]

а при NAT, не надо ни о чем помнить? это именно вопрос, просто боюсь чего-то не понимаю.

у меня так контрстрайковый сервер работает и система город. ДАЖЕ через виндовый нат. местные геймеры довольны. главное не забыть какому адресу присвоено соответствие при смене осей/железа.

 

[chubais]

а при NAT, не надо ни о чем помнить? это именно вопрос, просто боюсь чего-то не понимаю.

у меня так контрстрайковый сервер работает и система город. ДАЖЕ через виндовый нат. местные геймеры довольны. главное не забыть какому адресу присвоено соответствие при смене осей/железа.

Ну тогда мне кажется лучше решать проблему именно средствами dns, раз проблемы одни и те же (надо помнить, документировать). Хотя каждый делает выбор сам, все зависит от ситуации.

 

[yakuzzza]

Есть рекомендация: как можно меньше использовать неоднозначность в технических вопросах.

Например нат - существует большое количество технологий и протоколов, с наток не дружащих и требующих дополнительных настроек. Второй пример - View или как раньше "расщепление горизонта". Про второй скажу так. Если есть 1 сервис лучше, чтобы у него была 1 точка конфигурирования (в данном случае DNS-запись). Не стоит порождать сущности если можно обойтись без этого.

 

В реальной жизни при нормальных руках все будет работать в любом из вариантов.

[Ivan_83]

Поднять отдельный ДНС для локалки, пусть будет кеширующим резолвером, и будет держать пару записей ваших локальных ресурсов.

[detx]

)))

[Ilya Evseev]

+1 за разделение DNS.

NSD как authoritative DNS, зарегистрированный на nic.ru

Unbound как кэширующий форвардер для локалки

с переопределением части имён через transparent-зоны.

 

[yakuzzza]

+1 за разделение DNS.

NSD как authoritative DNS, зарегистрированный на nic.ru

Unbound как кэширующий форвардер для локалки

с переопределением части имён через transparent-зоны.

То есть вместо 1 роута и изменения ACL вы предлагаете такое?