|
|
Страница 1 из 1
|
[ Сообщений: 20 ] |
|
Автор |
Сообщение |
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Подскажите пожалуйста, как правильно решить вопрос доступа к открытым извне службам по внешним айпи адресам и доменным именам из локальной сети? К примеру, веб-сервер "поднят" на машине с адресом 10.10.10.200 в локальной сети и доступ к ней публично разрешен на роутере, через PAT (ip nat inside source static 80). Все бы хорошо, но в локальной сети к этой машине можно подключиться только по внутреннему айпи адресу (10.10.10.200), и нельзя ! ни по внешнему "белому", ни по доменному, www.firma.ru. Как "красиво" решить ситуацию?
|
02 янв 2020, 22:24 |
|
|
dijix
Зарегистрирован: 02 ноя 2013, 08:12 Сообщения: 791
|
siqueiros писал(а): Подскажите пожалуйста, как правильно решить вопрос доступа к открытым извне службам по внешним айпи адресам и доменным именам из локальной сети? К примеру, веб-сервер "поднят" на машине с адресом 10.10.10.200 в локальной сети и доступ к ней публично разрешен на роутере, через PAT (ip nat inside source static 80). Все бы хорошо, но в локальной сети к этой машине можно подключиться только по внутреннему айпи адресу (10.10.10.200), и нельзя ! ни по внешнему "белому", ни по доменному, http://www.firma.ru. Как "красиво" решить ситуацию? https://community.cisco.com/t5/routing/ ... -p/3302833
|
03 янв 2020, 03:59 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Я это делаю средствами view в BIND.
|
03 янв 2020, 13:42 |
|
|
dijix
Зарегистрирован: 02 ноя 2013, 08:12 Сообщения: 791
|
Bessmertniy писал(а): Я это делаю средствами view в BIND. Можно подробнее?
|
03 янв 2020, 20:50 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
|
03 янв 2020, 21:27 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
dijix писал(а): Как "красиво" решить ситуацию? https://community.cisco.com/t5/routing/ ... -p/3302833[/quote] То есть перенастроить на NVI NAT? Вместо in и out на интерфейсах, используем "ip nat enable" и петли не будет? Спасибо!
|
03 янв 2020, 21:47 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Bessmertniy писал(а): Я это делаю средствами view в BIND. А BIND тогда надо отдельно поднимать где-то в сети на машине, да? Или цискаревый днс сервер поддерживает те же команды BIND,?
|
03 янв 2020, 21:49 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Вы же наверняка какой-то DNS используете, узнайте умеет ли он view. Я всегда на BIND делал, не знаю умеет ли кто-то еще, АД точно не умеет. А держать DNS на цыцке это извращение.
|
03 янв 2020, 21:56 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Bessmertniy писал(а): Вы же наверняка какой-то DNS используете, узнайте умеет ли он view. Я всегда на BIND делал, не знаю умеет ли кто-то еще, АД точно не умеет. Используется DNS сервер регистратора домена, это webnames.ru, там наверняка BIND, но полноценного доступа к нему нет, простая веб-панель для редактирования и внесения записей зон, типа "А", "МХ", CNAME. Возможно что и через обращение можно какие-то изменения внести дополнительные, попробую выяснить через суппорт, спасибо! Bessmertniy писал(а): А держать DNS на цыцке это извращение. Даже в маленькой сети, а почему так, этому есть объяснение? Вроде как направить клиента на роутер, а на роутере выставить нужные ДНС адреса как-бы безопаснее, нет?
|
03 янв 2020, 23:04 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
причём тут регистратор доменов со своей панелью - не делают они сплит горизонт на серые айпишники даже если у них трижды BIND - ДНС сервер у вас должен быть свой внутри сети....
|
03 янв 2020, 23:25 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
root99 писал(а): причём тут регистратор доменов со своей панелью - не делают они сплит горизонт на серые айпишники даже если у них трижды BIND - айпишник у меня "белый". root99 писал(а): ДНС сервер у вас должен быть свой внутри сети.... ясно! я поэтому выше интересовался, можно ли это view настроить средствами ip dns-server на циско. Теперь понятно, что речь о внутреннем ДНС сервере.
|
03 янв 2020, 23:58 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Я считал что цыцин DNS это костыль без функционала, а оказывается он даже view умеет https://www.cisco.com/c/en/us/td/docs/i ... 5622E292A4. Но это не отменяет того что это не задача маршрутизатора.
|
04 янв 2020, 09:08 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
для одной записи вполне можно и днс на рутере заиметь, да и на современных IOS XE маршрутизаторах можно запустить докер контейнер с тем же BIND9
|
04 янв 2020, 10:04 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Отлично,! Тогда NAT NVI vs DNS VIEWBessmertniy писал(а): Но это не отменяет того что это не задача маршрутизатора Да, конечно, если есть сервер с гипервизором, но Bind на CentOS сильно ресурсов не откушает, поднять можно, хотя я лично этот процесс на зубок не знаю, поднять подниму, но опыта дальнейшего обслуживания и обеспечения работоспособности и защиты честно говоря нет, для продакшына не стану, будет падать, лишние заботы. Для моих скромных нужд пожалуй Циськового ДНС сервера для предотвращения петли и хватит , спасибо!,
|
04 янв 2020, 16:05 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
По большому счёту вам и BIND не нужен не в каком виде - если есть MS AD то используйте DNS от Мелкософт - поднимете зону, сделайте А рекорд на свой внутренний адрес и забудьте....
|
04 янв 2020, 17:49 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Этот NAT hairpin чего-то "душит" пропускную способность маршрутизатора; перебил inside/outside на enable и пропускная способность упала в два раза,! Speedtest на классическом PAT выдает 90Мегабит, а перенастроенная трансляция на ip nat enable стал выдавать 40Мегабит с копейками всего.!
|
15 апр 2020, 18:11 |
|
|
Praporwik
Зарегистрирован: 10 июл 2019, 18:21 Сообщения: 103
|
siqueiros писал(а): Этот NAT hairpin чего-то "душит" пропускную способность маршрутизатора; перебил inside/outside на enable и пропускная способность упала в два раза,! Speedtest на классическом PAT выдает 90Мегабит, а перенастроенная трансляция на ip nat enable стал выдавать 40Мегабит с копейками всего.! по идее, такого быть не должно.
|
05 май 2020, 22:25 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Praporwik писал(а): siqueiros писал(а): Этот NAT hairpin чего-то "душит" пропускную способность маршрутизатора; перебил inside/outside на enable и пропускная способность упала в два раза,! Speedtest на классическом PAT выдает 90Мегабит, а перенастроенная трансляция на ip nat enable стал выдавать 40Мегабит с копейками всего.! по идее, такого быть не должно. По идее может и не должно, а на деле получается именно так. Реально такие результаты, по крайней мере на 800-й серии.
|
10 июн 2020, 19:15 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
root99 писал(а): для одной записи вполне можно и днс на рутере заиметь, да и на современных IOS XE маршрутизаторах можно запустить докер контейнер с тем же BIND9 Да, пока настроил Cisco в качестве DNS сервера, , и прописал переадресацию доменного имени в локальный ip адрес. Код: ip host mydomain.ru 10.10.10.100 . Но к сожалению, по-внешнему "белому" айпишнику на веб-сервер из локалки по-прежнему "сходить" не удается. У меня qemu-kvm крутится на CentOS, иногда балуюсь с разными фреймворками и движками, в некоторых конфигурациях бывает нужно именно по внешнему айпишнику протестировать загрузку и настройки. Пока не придумал как решить.
|
10 июн 2020, 19:42 |
|
|
Praporwik
Зарегистрирован: 10 июл 2019, 18:21 Сообщения: 103
|
siqueiros писал(а): Реально такие результаты, по крайней мере на 800-й серии. на 800 серии может так и быть - т.к. железки начального уровня
|
12 июн 2020, 20:13 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 20 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 26 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|