вопрос по NAT Reflection в 2.2.6

Kuraleb

Здравстуйте.

У меня на NAT Reflection на 2.3.2 в режиме NAT+proxy притормаживают или вовсе теряется связь с внутренними сервисами. Это критичный момент, так как взаиомдействие должно производиться непрерывно. А при включении Pure Nat, за зоной DMZ, почта на Zimbra начинает отклонять все письма.

Прочел я https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks.

И подумал, что DNS forwarding было бы действительно неплохим решением, но как тут обстоят дела с необходимостью перенаправления к нестандартным портом?

Т.е. пользователь набирает в браузере www.nameserver.ru, а его переадресует грубо говоря на http://10.0.0.99:8080/index.htm?
Плюс ко всему, на этом же самом IP у нас есть еще ресурсы на порту 8081, на который должно обращаться при указании например http://10.0.0.99:8081/resources/2.
Что бы для пользователя это выглядело просто как набор www.nameserver.ru/resources/2

Реализуемо ли это данным средством?

Спасибо.

werter

Доброе.
Пользователь набирает www.nameserver.ru:8080 и при вкл. dns resolver попадает на 10.0.0.99:8080
Разве это проблема порт добавить ? Закладку им сделайте в браузере, а лучше - сами пусть сделают.

Kuraleb

@werter:

Доброе.
Пользователь набирает www.nameserver.ru:8080 и при вкл. dns resolver попадает на 10.0.0.99:8080
Разве это проблема порт добавить ? Закладку им сделайте в браузере, а лучше - сами пусть сделают.

Увы - это не устроит мое руководство.

Можно было бы сделать так, что бы по определенным адресам прописанным в правиле, пользователя кидало на нужный внутренний сервер с нужным портом. И что бы он не догадывался об этом?

werter

Попробуйте создать правило portforward на LAN. Только оно не сработает, если необходимо заворачивать неск. портов на один и тот же адрес.

Увы - это не устроит мое руководство.

Не повезло Вам с  руководством.

PbIXTOP

@Kuraleb:

Здравстуйте.

У меня на NAT Reflection на 2.3.2 в режиме NAT+proxy притормаживают или вовсе теряется связь с внутренними сервисами. Это критичный момент, так как взаиомдействие должно производиться непрерывно. А при включении Pure Nat, за зоной DMZ, почта на Zimbra начинает отклонять все письма.

Прочел я https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks.

И подумал, что DNS forwarding было бы действительно неплохим решением, но как тут обстоят дела с необходимостью перенаправления к нестандартным портом?

Т.е. пользователь набирает в браузере www.nameserver.ru, а его переадресует грубо говоря на http://10.0.0.99:8080/index.htm?
Плюс ко всему, на этом же самом IP у нас есть еще ресурсы на порту 8081, на который должно обращаться при указании например http://10.0.0.99:8081/resources/2.
Что бы для пользователя это выглядело просто как набор www.nameserver.ru/resources/2

Реализуемо ли это данным средством?

Спасибо.

А как тогда же работают внешние пользователи если их перекидывает на серые IP?

Kuraleb

@PbIXTOP:

А как тогда же работают внешние пользователи если их перекидывает на серые IP?

А их никуда не перекидывает.

PbIXTOP

@Kuraleb:

@PbIXTOP:

А как тогда же работают внешние пользователи если их перекидывает на серые IP?

А их никуда не перекидывает.

Так может стоит настроить сервисы, чтоб и внутренних не перекидывало, а работало для всех одинаково?

werter

Настройте split dns .

Kuraleb

@PbIXTOP:

@Kuraleb:

@PbIXTOP:

А как тогда же работают внешние пользователи если их перекидывает на серые IP?

А их никуда не перекидывает.

Так может стоит настроить сервисы, чтоб и внутренних не перекидывало, а работало для всех одинаково?

У нас попросту нет серых IP)

werter

Т.е. у вас в сети у всех белые ip ?

bill_open

Такая же проблема.
Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
p.s. pf2.1.2

PbIXTOP

@bill_open:

Такая же проблема.
Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
p.s. pf2.1.2

Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy
Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1

bill_open

@PbIXTOP:

@bill_open:

Такая же проблема.
Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
p.s. pf2.1.2

Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy
Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1

Это уже сделано, но так же как и в предыдущем случае это не нравится руководству)) Единственный вариант который я вижу, это ударить себя в голову и не заниматься ерундой и сменить профессию строить универсальные топологии.

A Former User

Хочу спросить спецов:
Разница между днс форвардером и днс резольвером

pigbrother

DNS Resolver - это Unbound:
https://doc.pfsense.org/index.php/Unbound_DNS_Resolver
https://en.wikipedia.org/wiki/Unbound_(DNS_server)

DNS Forwarder - это dnsmasq
https://doc.pfsense.org/index.php/DNS_Forwarder
https://en.wikipedia.org/wiki/Dnsmasq
https://ru.wikipedia.org/wiki/Dnsmasq

Если грубо:
Dnsmasq не может работать без указания внешнего DNS, которому он направляет запросы для разрешения имен в Интернет.
Вики:
Dnsmasq — легковесный и быстроконфигурируемый DNS-, DHCP- и TFTP-сервер, предназначенный для обеспечения доменными именами и связанными с ними сервисами небольшие сети. Может обеспечивать именами локальные машины, которые не имеют глобальных DNS-записей. DHCP-сервер интегрирован с DNS-сервером и даёт машинам с IP-адресом доменное имя, сконфигурированное раннее в конфигурационном файле. Поддерживает привязку IP-адреса к компьютеру или автоматическую настройку IP-адресов из заданного диапазона и BOOTP для сетевой загрузки бездисковых машин.
Разработчики позиционируют программу для использования в домашних сетях, использующих NAT, однако Dnsmasq также применим в малых сетях организаций.

Unbound - "полноценный" DNS.

PbIXTOP

@bill_open:

@PbIXTOP:

@bill_open:

Такая же проблема.
Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
p.s. pf2.1.2

Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy
Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1

Это уже сделано, но так же как и в предыдущем случае это не нравится руководству)) Единственный вариант который я вижу, это ударить себя в голову и не заниматься ерундой и сменить профессию строить универсальные топологии.

Так объясните руководству, что разницы никакой все равно нету, если требуется какой либо ресурс из сети LAN2. Если вы открываете порт через NAT, то точно также вы можете его открыть и на файрволе

bill_open

@PbIXTOP:

@bill_open:

@PbIXTOP:

@bill_open:

Такая же проблема.
Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
p.s. pf2.1.2

Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy
Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1

Это уже сделано, но так же как и в предыдущем случае это не нравится руководству)) Единственный вариант который я вижу, это ударить себя в голову и не заниматься ерундой и сменить профессию строить универсальные топологии.

Так объясните руководству, что разницы никакой все равно нету, если требуется какой либо ресурс из сети LAN2. Если вы открываете порт через NAT, то точно также вы можете его открыть и на файрволе

Хоть уже и объяснил в кратце. Но разница есть. объясняю: есть моб приложение, оно работает, только шум стоит, но есть одна необходимость подтягивать данные в него с сервака который в лан2 стоит. Собственно вот и появилась выше упомянутая необходимость. Пока что, самый правильный вариант, это изменить топологию сети.