вопрос по NAT Reflection в 2.2.6
-
Проблема с внутренними/внешними подключениями изящно решается с помощью DNS без NAT.
- Создаете "белый" домен, прописываете в него "белый" адрес.
- Создаете в DNS Forwarders в Host Overrides запись хоста с тем же именем, но с локальным IP.
В итоге своим менеджерам прописываете FQDN хоста, при подключении извне они берут белый адрес сервера. При подключении изнутри, белый адрес перекрывается локальным IP сервера.
-
Не используете ли вы limiter?
Недавно столкнулся с тем, что включение лимитера отключает в 2.2.6 работоспособность NAT Reflection
как NAT + proxy так и pure NAT.Похоже это баг:
https://forum.pfsense.org/index.php?topic=96810.0
https://redmine.pfsense.org/issues/4326 -
Видимо это проблема релиза. Сам столкнулся с этим. Вот в этой ветке: https://forum.pfsense.org/index.php?topic=94881.0;all разбирают схожий момент. Как я понял создаются не полные правила, но даже допил руками не спасает. А на счет NAT+Proxy, мне кажется вы зря переживаете, ибо "… TCP and UDP protocols are supported." (в описании к режиму). А другие протоколы я, по крайней мере, еще ни разу не прокидывал.
-
Я бы не назвал это конкретно проблемой релиза.
Использую NAT Reflection в 2.2.6, начал использовать еще в 2.0.
2.2.6, правда не чистая, а получена обновлениями с 2.0. -
А в той ветке как раз и говорится, что в обновленных версиях с 2.1.5 все работает, а при чистой перестановке перестает
-
Здравстуйте.
У меня на NAT Reflection на 2.3.2 в режиме NAT+proxy притормаживают или вовсе теряется связь с внутренними сервисами. Это критичный момент, так как взаиомдействие должно производиться непрерывно. А при включении Pure Nat, за зоной DMZ, почта на Zimbra начинает отклонять все письма.
Прочел я https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks.
И подумал, что DNS forwarding было бы действительно неплохим решением, но как тут обстоят дела с необходимостью перенаправления к нестандартным портом?
Т.е. пользователь набирает в браузере www.nameserver.ru, а его переадресует грубо говоря на http://10.0.0.99:8080/index.htm?
Плюс ко всему, на этом же самом IP у нас есть еще ресурсы на порту 8081, на который должно обращаться при указании например http://10.0.0.99:8081/resources/2.
Что бы для пользователя это выглядело просто как набор www.nameserver.ru/resources/2Реализуемо ли это данным средством?
Спасибо.
-
Доброе.
Пользователь набирает www.nameserver.ru:8080 и при вкл. dns resolver попадает на 10.0.0.99:8080
Разве это проблема порт добавить ? Закладку им сделайте в браузере, а лучше - сами пусть сделают. -
Доброе.
Пользователь набирает www.nameserver.ru:8080 и при вкл. dns resolver попадает на 10.0.0.99:8080
Разве это проблема порт добавить ? Закладку им сделайте в браузере, а лучше - сами пусть сделают.Увы - это не устроит мое руководство.
Можно было бы сделать так, что бы по определенным адресам прописанным в правиле, пользователя кидало на нужный внутренний сервер с нужным портом. И что бы он не догадывался об этом?
-
Попробуйте создать правило portforward на LAN. Только оно не сработает, если необходимо заворачивать неск. портов на один и тот же адрес.
Увы - это не устроит мое руководство.
Не повезло Вам с руководством.
-
Здравстуйте.
У меня на NAT Reflection на 2.3.2 в режиме NAT+proxy притормаживают или вовсе теряется связь с внутренними сервисами. Это критичный момент, так как взаиомдействие должно производиться непрерывно. А при включении Pure Nat, за зоной DMZ, почта на Zimbra начинает отклонять все письма.
Прочел я https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks.
И подумал, что DNS forwarding было бы действительно неплохим решением, но как тут обстоят дела с необходимостью перенаправления к нестандартным портом?
Т.е. пользователь набирает в браузере www.nameserver.ru, а его переадресует грубо говоря на http://10.0.0.99:8080/index.htm?
Плюс ко всему, на этом же самом IP у нас есть еще ресурсы на порту 8081, на который должно обращаться при указании например http://10.0.0.99:8081/resources/2.
Что бы для пользователя это выглядело просто как набор www.nameserver.ru/resources/2Реализуемо ли это данным средством?
Спасибо.
А как тогда же работают внешние пользователи если их перекидывает на серые IP?
-
А как тогда же работают внешние пользователи если их перекидывает на серые IP?
А их никуда не перекидывает.
-
-
Настройте split dns .
-
-
Т.е. у вас в сети у всех белые ip ?
-
Такая же проблема.
Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
p.s. pf2.1.2 -
Такая же проблема.
Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
p.s. pf2.1.2Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy
Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1 -
Такая же проблема.
Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
p.s. pf2.1.2Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy
Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1Это уже сделано, но так же как и в предыдущем случае это не нравится руководству)) Единственный вариант который я вижу,
это ударить себя в головуине заниматься ерундой и сменить профессиюстроить универсальные топологии. -
Хочу спросить спецов:
Разница между днс форвардером и днс резольвером -
DNS Resolver - это Unbound:
https://doc.pfsense.org/index.php/Unbound_DNS_Resolver
https://en.wikipedia.org/wiki/Unbound_(DNS_server)DNS Forwarder - это dnsmasq
https://doc.pfsense.org/index.php/DNS_Forwarder
https://en.wikipedia.org/wiki/Dnsmasq
https://ru.wikipedia.org/wiki/DnsmasqЕсли грубо:
Dnsmasq не может работать без указания внешнего DNS, которому он направляет запросы для разрешения имен в Интернет.
Вики:
Dnsmasq — легковесный и быстроконфигурируемый DNS-, DHCP- и TFTP-сервер, предназначенный для обеспечения доменными именами и связанными с ними сервисами небольшие сети. Может обеспечивать именами локальные машины, которые не имеют глобальных DNS-записей. DHCP-сервер интегрирован с DNS-сервером и даёт машинам с IP-адресом доменное имя, сконфигурированное раннее в конфигурационном файле. Поддерживает привязку IP-адреса к компьютеру или автоматическую настройку IP-адресов из заданного диапазона и BOOTP для сетевой загрузки бездисковых машин.
Разработчики позиционируют программу для использования в домашних сетях, использующих NAT, однако Dnsmasq также применим в малых сетях организаций.Unbound - "полноценный" DNS.
