Перейти к содержимому
Калькуляторы

доступ к своим ресурсам из локалки

Здравствуйте! сделали сайт. пробросил к нему влан с белым адресом. из инета все ок. днс не умеет на одно имя повесить 2 адреса (белый и серый). как пользователям локалки дать доступ из локалки. а не через интернет. прописывание маршрута на кат 3550 не помогло. чего делаю не так и как сделать правильно?. спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

днс не умеет на одно имя повесить 2 адреса (белый и серый).

То есть не умеет? если bind, man в сторону view.

 

Ну а вообще хорошо бы схему, как там у вас все устроено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

днс не умеет на одно имя повесить 2 адреса (белый и серый).
На примере BIND

 

test.test.ru.       IN A          x.x.x.x
test.test.ru.       IN A          y.y.y.y

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пользователи локалки должны видеть реальный IP-адрес web-сервера. Для этого на маршрутизаторах укажите правильно маршруты.

Если нарисуете подробно схему - укажу что именно подправить.

View лучше не использовать - нарушается логика и надо помнить о внешних и внутренних IP.

Как вариант (но опять же, подробно не описана вся ситуация) можно web-серверу отдать серый IP из домашней сети, а на маршрутизаторе Интернет настроить трансляцию адресов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

View лучше не использовать - нарушается логика и надо помнить о внешних и внутренних IP.
Это слишком сложно разве? =)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для 1-3-5 серверов или сервисов - нет конечно. Само собой ведение документации подразумевается.

Для 10-20 уже хуже.

Лучше изначально строить правильно, чтобы потом ничего не переделывать в случае чего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот так сейчас у меня устроено. просьба критиковать адекватно

ядро сети - -кат 3550 на 48 портов. прочих маршрутизаторов нет

днс сервер с фрибсд. 2 сетевые. одна смотрит в интернет - проброшен влан от провайдера в обход биллинга с белым адресом, зарезана скорость на порту, вторая в локалку с серым адресом. (вариант с резервированием белого адреса через нат не понравился вебдизайнеру). ну и от него информация, что днс путается какой из ипышников отдавать имени сайта.

на каталисте маршрут - все подсети заворачивать на подсеть биллинга - он в своем вилане.

боюсь, если сделать неправильный маршрут на влан от провайдера - абоненты могут уйти в инет мимо биллинга. маршрут типа 0.0.0.0 на адрес вебсервера ничего не дал. веб сервер на той же банке где днс. на биллинге поднят кеширующий днс

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Веб-дизайнер пусть занимается дизайном. Работает годами и такая схема с пробросом ч-з нат.

DNS не путается, а делает то, как его сконфигурировали. Если создается 2 A-записи, то он будет отдавать их по очереди.

 

Я сделал бы так: отдать web-серверу реальный IP. На 3550 сделать маршрут на этот реальный IP (а не на всю подсеть реальных IP-адресов провайдера), чтобы абоненты могли ходить на него как на локальный ресурс. На веб-сервере, если у него 2 сетевые не забыть про маршрут в локальную сеть обратно.

Все должно работать.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пользователи локалки должны видеть реальный IP-адрес web-сервера. Для этого на маршрутизаторах укажите правильно маршруты.

Если нарисуете подробно схему - укажу что именно подправить.

View лучше не использовать - нарушается логика и надо помнить о внешних и внутренних IP.

Как вариант (но опять же, подробно не описана вся ситуация) можно web-серверу отдать серый IP из домашней сети, а на маршрутизаторе Интернет настроить трансляцию адресов.

а при NAT, не надо ни о чем помнить? это именно вопрос, просто боюсь чего-то не понимаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а при NAT, не надо ни о чем помнить? это именно вопрос, просто боюсь чего-то не понимаю.
у меня так контрстрайковый сервер работает и система город. ДАЖЕ через виндовый нат. местные геймеры довольны. главное не забыть какому адресу присвоено соответствие при смене осей/железа.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а при NAT, не надо ни о чем помнить? это именно вопрос, просто боюсь чего-то не понимаю.
у меня так контрстрайковый сервер работает и система город. ДАЖЕ через виндовый нат. местные геймеры довольны. главное не забыть какому адресу присвоено соответствие при смене осей/железа.

Ну тогда мне кажется лучше решать проблему именно средствами dns, раз проблемы одни и те же (надо помнить, документировать). Хотя каждый делает выбор сам, все зависит от ситуации.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть рекомендация: как можно меньше использовать неоднозначность в технических вопросах.

Например нат - существует большое количество технологий и протоколов, с наток не дружащих и требующих дополнительных настроек. Второй пример - View или как раньше "расщепление горизонта". Про второй скажу так. Если есть 1 сервис лучше, чтобы у него была 1 точка конфигурирования (в данном случае DNS-запись). Не стоит порождать сущности если можно обойтись без этого.

 

В реальной жизни при нормальных руках все будет работать в любом из вариантов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поднять отдельный ДНС для локалки, пусть будет кеширующим резолвером, и будет держать пару записей ваших локальных ресурсов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

+1 за разделение DNS.

NSD как authoritative DNS, зарегистрированный на nic.ru

Unbound как кэширующий форвардер для локалки

с переопределением части имён через transparent-зоны.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

+1 за разделение DNS.

NSD как authoritative DNS, зарегистрированный на nic.ru

Unbound как кэширующий форвардер для локалки

с переопределением части имён через transparent-зоны.

То есть вместо 1 роута и изменения ACL вы предлагаете такое?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.