Несколько порталов внутри - как настроить NAT

Angel_19

Доброго!
pfSense 2.2.6

Внутри локальной сети есть несколько порталов, можно ли настроить NAT так, чтобы при обращении к web1.contora.ru шло обращение к 192.168.5.200, в при обращении к web2.contora.ru шло обращение к 192.168.5.201 ? Внешний IP при этом один.

Возможно ли такое?

werter

Доброе
Исп. пакет haproxy

Angel_19

werter - спасибо.
Настроил, казалось что работает хорошо, но всплыла проблема: когда пользователь подключается через OpenVPN то сайты прописанные в HAProxy у них не открываются. При этом ping идет нормально до этих сайтов, доменное имя также корректно разрешается в IP, а сайт(ы) не грузятся. Разрешающее правило для OpenVPN есть - разрешить всем всё.

Подскажите как решить проблему?

werter

Доброе.
Что получают в кач-ве днс пол-ли по впн ?

Angel_19

Получают IP сервера с DNS внутри локальной сети центрального офиса.

Другие сервисы при этом работают исправно: общие папки, RDP и др.

PbIXTOP

Используйте различные DNS записи для Internet и Intranet сегментов.
Для Internet - IP Haproxy
Для Intranet - можно и внутренние

Angel_19

Не понимаю зачем использовать разные DNS…
Только если подключился клиент по OpenVPN , то ему давать вместо внутреннего IP внешний?

Я уже установил тунель (OpenVPN), и уже имею доступ к внутренним ресурсам, зачем мне их получать мимо тунеля?

werter

@Angel_19:

Не понимаю зачем использовать разные DNS…
Только если подключился клиент по OpenVPN , то ему давать вместо внутреннего IP внешний?

Я уже установил тунель (OpenVPN), и уже имею доступ к внутренним ресурсам, зачем мне их получать мимо тунеля?

Это наз-ся SplitDNS.

Попробуйте у себя на машине в файл hosts добавить записи :

web1.contora.ru  192.168.5.200
web2.contora.ru  192.168.5.201

После сбросить кеш в ИЕ, подкл. извне через OpenVPN и попробовать в IE открыть web1.contora.ru , web2.contora.ru

Angel_19

@Angel_19:

При этом ping идет нормально до этих сайтов, доменное имя также корректно разрешается в IP, а сайт(ы) не грузятся.

Т.е. если:```
ping office.contora.ru

Обмен пакетами с office.contora.ru [192.168.5.198] с 32 байтами данных:
Ответ от 192.168.5.198: число байт=32 время<1мс TTL=64

Таким образом, у клиента подключившегося через **OpenVPN**, доменное имя **office.contora.ru** разрешается в верный IP внутри сети!

Предполагаю что нужно донастроить или изменить настройки Frontend'a. Т.к. там указано что слушаем на WAN, + правило создано которое данные с WAN порт 80 заворачивают на файорвол, а в случае с OpenVPN данные идут с другого интерфейса и следовательно не попадают под эти правила.
Выкладываю настройки Frontend'a:

![HAProxy_Frontend.png](/public/_imported_attachments_/1/HAProxy_Frontend.png)
![HAProxy_Frontend.png_thumb](/public/_imported_attachments_/1/HAProxy_Frontend.png_thumb)

werter

2 Angel_19
Вы nat loopback пытаетесь реализовать. Клиенты-то впн-ские на WAN изнутри сети лезут.

Не любите моск. Настраивайте splitdns.

Angel_19

Если смысл split dns в том , чтобы внешнее имя Вашего сервиса, нах-ся внутри сети,  для лок. пользователей разрешалось в локальный IP-адрес.
То это уже сделано. И исправно работает.

werter

когда пользователь подключается через OpenVPN то сайты прописанные в HAProxy у них не открываются

Тогда как подкл. ? Куда подкл ?

Angel_19

Peer to peer, и Remote Access.

Проблемы начались именно после установки HAProxy, до этого использовал NAT, т.к. веб сайт внутри был один.

Angel_19

Проблему решил: в настройках: Backend 'ов убрал галочки - Transparent ClientIP -> Use Client-IP to connect to backend servers.
Все стало работать нормально.

Всем спасибо!