Доступ к web в локалке из Wan и Lan.
-
День добрый.
У меня следущий вопрос, есть контроллер AD(win2012) и шлюз на pfsense, на hyper-V поднят redmine, доступ из интернета я к нему настроил создав переадресацию в NAT по опред\порту на внутренний адрес redmine.
Доступ планируется из интернета (доменного имени нету, доступ из инета только по ип адресу) и лок\сети, с интернетом проблему нету, но с лок сетью небольшая есть, в настройках редмайна указывается имя, соответсвенно у меня адрес WAN, когда создается задание или редактируется, на почту всем подписанным приходит извещение со ссылкой на эту тему, в ссылке соотвественно wan адрес, если заходим через локалку, то получается заходим по внешнему на шлюз, попробовал в hosts на винде прописать внешний - внутренний - не вариант ..
Получается надо создать переадресацию с одного на другой, делать это также как и тутhttp://olivier.cochard.me/reseaux/pfsense/case–solving-problem-with-nat? Пробовал, тестировал, создавать в nat правило для lan, но не заработало .. делается это только с virtualIP? И без вариантов?
-
В локальной ДНС сделайте разрешение имени редмайна в локальный адрес.
Или к локальной переадресации добавьте правило NAT (для локальной переадресации должны быть замаскированы и адрес источника и адрес получателя - NAT+Portforward. -
1. У меня нету доменного имени за пределами Lan, а в ссылке на почту приходит http://хх.22.хх.х14:65110/issues/1, там адрес внешний ип.соответственно если только подмену ип адреса, но в hosts это дело не прокатывает.
2. А к локальной переадресации, это я захожу в NAT и настраиваю правило вот так?(см влож файлы, там соответсвенно за место destination wan adress мой внеш ИП), .. с таким "раскладом" не работает ((
-
1. У меня нету доменного имени за пределами Lan, а в ссылке на почту приходит http://хх.22.хх.х14:65110/issues/1, там адрес внешний ип.соответственно если только подмену ип адреса, но в hosts это дело не прокатывает.
2. А к локальной переадресации, это я захожу в NAT и настраиваю правило вот так?(см влож файлы, там соответсвенно за место destination wan adress мой внеш ИП), .. с таким "раскладом" не работает ((Посмотрите здесь https://forum.pfsense.org/index.php/topic,40376.msg208841.html#msg208841
Плюс (либо) в последних версиях pfSense такой доступ (из локалки в локалку) вроде бы был автоматизирован, если коллеги в очередной раз подскажут имя опции. -
для 2.1.х
System: Advanced: Firewall and NAT->NAT Reflection mode for port forwardsWhen enabled, this automatically creates additional NAT redirect rules for access to port forwards on your external IP addresses from within your internal networks.
-
Ребят спасибо, буду пробовать.
- попробовал поочереди ENABLE: Nat+Proxy и PureNAT, "не заходит", буду присматриваться к msg208841 …
-
А что мешает обзавестись именем? Кстати, провайдеры иногда меняют внешний IP, и иногда без предупреждения.
Если как Вы хотели выше надо править hosts удаленных клиентов, локальных возьмёт на себя локальный DNS сервер. Естественно, веб серверу надо дать буквенное имя.
-
Scodezan Это отдельные деньги, а redmine организован мною так сказать на "добровольных началах".
Меняют присвоенный ип адрес по договору?По поводу hosts, мы не рассматривает доступ из wan, с ним все нормально.
А вот на счет внутренний сети, Hosts прописывается в виндовсе в формате:
ип_адрес <-> имя
и соотвественно если
ип_адрес1<->ип_адрес2 такой вариант не работает. -
Домены co.cc; dot.tk; freedns.afraid.org; pp.ua не рассматриваются?
@Azot:Меняют присвоенный ип адрес по договору?
Это врядли конечно, но жалобы от коллег по кухне слышал неоднократно.
Рекомендовали опираться на свой внутренний сервер DNS, если нет публичного имени.По поводу hosts, мы не рассматривает доступ из wan, с ним все нормально.
А вот на счет внутренний сети, Hosts прописывается в виндовсе в формате:
ип_адрес <-> имя
и соотвественно если
ип_адрес1<->ип_адрес2 такой вариант не работает.В чём проблема, если Вы не рассматриваете доступ из WAN??? Пишите в качестве имени redmine локальный IP.
А адрес1<->ип_адрес в hosts работать не будет, выкиньте эту дурацкую идею из головы))). -
Домены co.cc; dot.tk; freedns.afraid.org; pp.ua а это бесплатные?
Доступ из wan рассматриваю, просто писал, что с этим решено, непосредственно на ип заходим, так то конечно с внутридоменным именем и днс\ом проблемы нету, проблема в ссылке в приходящем письме, и в том что она может прийти юзеру который за пределами вам и в который в лан, а имени соотвественно пока нету ..
-
Доступ из wan рассматриваю, просто писал, что с этим решено и проблем нету, непосредственно на ип заходим.
Вам ведь написали выше - поставить галку в System: Advanced: Firewall and NAT->NAT Reflection mode for port forwards
И потфорвард будет работать - локльнай сеть < - > WAN < - >локальная сеть.
Это описано в FAQ - https://forum.pfsense.org/index.php?topic=22839.msg204954#msg204954
-
Домены co.cc; dot.tk; freedns.afraid.org; pp.ua а это бесплатные?
Доступ из wan рассматриваю, просто писал, что с этим решено, непосредственно на ип заходим, так то конечно с внутридоменным именем и днс\ом проблемы нету, проблема в ссылке в приходящем письме, и в том что она может прийти юзеру который за пределами вам и в который в лан, а имени соотвественно пока нету ..
Домены бесплатные(по крайней мере пока). Ещё есть разнообразные dyndns сервисы.
И ещё, я в упор не могу понять в чём у Вас проблема? Локальные пользователи не могут попасть на сервер по внешнему IP, такое бывает? fw? -
Домены co.cc; dot.tk; freedns.afraid.org; pp.ua а это бесплатные?
Доступ из wan рассматриваю, просто писал, что с этим решено, непосредственно на ип заходим, так то конечно с внутридоменным именем и днс\ом проблемы нету, проблема в ссылке в приходящем письме, и в том что она может прийти юзеру который за пределами вам и в который в лан, а имени соотвественно пока нету ..
Домены бесплатные(по крайней мере пока). Ещё есть разнообразные dyndns сервисы.
И ещё, я в упор не могу понять в чём у Вас проблема? Локальные пользователи не могут попасть на сервер по внешнему IP, такое бывает? fw?Бывает, если осуществляется портфорвард в ту-же сеть. Для решения проблемы ранее применялось дополнительное правило NAT, в текущей версии есть спец опция.
-
dr.gopher да я включал, доступа все равно нету ..
Scodezan Так точно проблема в том чтобы локальные пользователи могли попасть именно по внешнему ип, как я писал в редмайне когда происходит какое либо действие на "задачей" на почту всем "подписанным" приходит извещением непосредственно со ссылкой на объект, у меня соотвественно ссылка эта выглядит например так, http:\xx.xxx.xx.xx\proectA\issue3 … где хх это внешний адрес, так некоторым пользователям требуется доступ из интернета к этой штуке, ну и вот столкнулся что внутренние не могут зайти, либо по этому ип попадаю на веб pfsense.
-
Я пробовал
The NAT + proxy mode uses a helper program to send packets to the target of the port forward. It is useful in setups where the interface and/or gateway IP used for communication with the target cannot be accurately determined at the time the rules are loaded. Reflection rules are not created for ranges larger than 500 ports and will not be used for more than 1000 ports total between all port forwards. Only TCP and UDP protocols are supported.
и
The pure NAT mode uses a set of NAT rules to direct packets to the target of the port forward. It has better scalability, but it must be possible to accurately determine the interface and gateway IP used for communication with the target at the time the rules are loaded. There are no inherent limits to the number of ports other than the limits of the protocols. All protocols available for port forwards are supported.
Но всёравно набирая в лан\е внешний ип, по которому на pfsense должна сработать переадресация на внутренний ип адрес с редмайном попадаю на страницу с неправильным адресом.
-
-
dr.gopher да я включал, доступа все равно нету ..
либо по этому ип попадаю на веб pfsense.
Эээ, а порт админки PFSense вы поменяли на отличный от 80 го?
-
Scodezan не покачто просто ещё "не въезжал" ))
-
dr.gopher пока что ещё нет, "висит" на стандартном порту.
-
И ещё, я в упор не могу понять в чём у Вас проблема? Локальные пользователи не могут попасть на сервер по внешнему IP, такое бывает? fw?
Бывает, если осуществляется портфорвард в ту-же сеть. Для решения проблемы ранее применялось дополнительное правило NAT, в текущей версии есть спец опция.
Короче, как вариант, добавить ещё один интерфейс и подключить сервер к нему.