Несколько порталов внутри - как настроить NAT



  • Доброго!
    pfSense 2.2.6

    Внутри локальной сети есть несколько порталов, можно ли настроить NAT так, чтобы при обращении к web1.contora.ru шло обращение к 192.168.5.200, в при обращении к web2.contora.ru шло обращение к 192.168.5.201 ? Внешний IP при этом один.

    Возможно ли такое?



  • Доброе
    Исп. пакет haproxy



  • werter - спасибо.
    Настроил, казалось что работает хорошо, но всплыла проблема: когда пользователь подключается через OpenVPN то сайты прописанные в HAProxy у них не открываются. При этом ping идет нормально до этих сайтов, доменное имя также корректно разрешается в IP, а сайт(ы) не грузятся. Разрешающее правило для OpenVPN есть - разрешить всем всё.

    Подскажите как решить проблему?



  • Доброе.
    Что получают в кач-ве днс пол-ли по впн ?



  • Получают IP сервера с DNS внутри локальной сети центрального офиса.

    Другие сервисы при этом работают исправно: общие папки, RDP и др.



  • Используйте различные DNS записи для Internet и Intranet сегментов.
    Для Internet - IP Haproxy
    Для Intranet - можно и внутренние



  • Не понимаю зачем использовать разные DNS…
    Только если подключился клиент по OpenVPN , то ему давать вместо внутреннего IP внешний?

    Я уже установил тунель (OpenVPN), и уже имею доступ к внутренним ресурсам, зачем мне их получать мимо тунеля?



  • @Angel_19:

    Не понимаю зачем использовать разные DNS…
    Только если подключился клиент по OpenVPN , то ему давать вместо внутреннего IP внешний?

    Я уже установил тунель (OpenVPN), и уже имею доступ к внутренним ресурсам, зачем мне их получать мимо тунеля?

    Это наз-ся SplitDNS.

    Попробуйте у себя на машине в файл hosts добавить записи :

    web1.contora.ru  192.168.5.200
    web2.contora.ru  192.168.5.201

    После сбросить кеш в ИЕ, подкл. извне через OpenVPN и попробовать в IE открыть web1.contora.ru , web2.contora.ru



  • @Angel_19:

    При этом ping идет нормально до этих сайтов, доменное имя также корректно разрешается в IP, а сайт(ы) не грузятся.

    Т.е. если:```
    ping office.contora.ru

    Обмен пакетами с office.contora.ru [192.168.5.198] с 32 байтами данных:
    Ответ от 192.168.5.198: число байт=32 время<1мс TTL=64

    
    Таким образом, у клиента подключившегося через **OpenVPN**, доменное имя **office.contora.ru** разрешается в верный IP внутри сети!
    
    Предполагаю что нужно донастроить или изменить настройки Frontend'a. Т.к. там указано что слушаем на WAN, + правило создано которое данные с WAN порт 80 заворачивают на файорвол, а в случае с OpenVPN данные идут с другого интерфейса и следовательно не попадают под эти правила.
    Выкладываю настройки Frontend'a:
    
    ![HAProxy_Frontend.png](/public/_imported_attachments_/1/HAProxy_Frontend.png)
    ![HAProxy_Frontend.png_thumb](/public/_imported_attachments_/1/HAProxy_Frontend.png_thumb)


  • 2 Angel_19
    Вы nat loopback пытаетесь реализовать. Клиенты-то впн-ские на WAN изнутри сети лезут.

    Не любите моск. Настраивайте splitdns.



  • Если смысл split dns в том , чтобы внешнее имя Вашего сервиса, нах-ся внутри сети,  для лок. пользователей разрешалось в локальный IP-адрес.
    То это уже сделано. И исправно работает.



  • когда пользователь подключается через OpenVPN то сайты прописанные в HAProxy у них не открываются

    Тогда как подкл. ? Куда подкл ?



  • Peer to peer, и Remote Access.

    Проблемы начались именно после установки HAProxy, до этого использовал NAT, т.к. веб сайт внутри был один.



  • Проблему решил: в настройках: Backend 'ов убрал галочки - Transparent ClientIP -> Use Client-IP to connect to backend servers.
    Все стало работать нормально.

    Всем спасибо!