Помогите настроить правильно LAN to LAN
-
Кратко о проблеме.
-
Поставили, сконфигурировали.
-
Из WAN на сервер почты и http все ходит без проблем. при этом сервер стоит на локальном IP-ке, а на роутере прописан NAT с Firewall. На той же машине стоит и днс сервер.
-
Роутер является гетевеем и ДНС сервером для всех устройств в LAN.
Проблема.
Когда находишся в LAN и на машине IP адрес из LAN, то зайти на вебсайт невозможно. так же невозможно получить почту, не проходит соединение.Я даже догадываюсь в чем проблема. Скорее всего происходит следующее.
дальше будет так: "название девайса" (IP адрес, IP шлюза, IP DNS)
ноут (10.0.0.1, 10.0.0.140, 10.0.0.140) -> роутер (82.34.66.50/10.0.0.140, 82.34.66.49, 95.34.45.12) -> DNS сервер провайдера (95.34.45.12, *, *) -> роутер (82.34.66.50/10.0.0.140, 82.34.66.49, 95.34.45.12) -> DNS сервер (10.0.0.100, 10.0.0.140, 10.0.0.140) -> роутер (82.34.66.50/10.0.0.140, 82.34.66.49, 95.34.45.12) -> ноут (10.0.0.1, 10.0.0.140, 10.0.0.140)
Это пример, но мне кажется, что именно вот тут и происходит проблема, так как в правилах есть запись, что все, что с WAN в том числе и 82.34.66.50 по порту например 53 отправлять на 10.0.0.100 но мне то надо было отравить на 10.0.0.1.
В общем почта по доменному имени и по внешнему IP не ходит. таже проблема с сайтом.
Хотя у нас до этого стоял зюксель и там была опция "Server" я впрочем не знаю как именно это работало, но использовалось именно для такой конфигурации и все работало без проблем. Конечно за этой опцией стоял набор правил… но вот каких?
Огромная просьба к Гуру! Подскажите в какую сторону ковырять.... и какие правила использовать.
-
-
А если обратиться к серверу по его IP в LAN. Видится ?
-
А если обратиться к серверу по его IP в LAN. Видится ?
Конечно.
Но вся проблема в том, что когда у тебя почтовик висит на 10.0.0.100 а на внешнем интерфейсе есть порт мепинг на него и к тому же у меня там аж 3 домена (vitele.com, sohonet.com.ua, farleysolutions.org) и каждый из них имеет свой сайт и почтовик…. то использовать адрес IP просто невозможно, так как по умолчанию будет отображаться только праймери домен, а все остальные..... Да и к тому же очвидно, что 10 сеть не будет совсем видна, когда находишся вне LAN.Кстать ДНС отрабатывает правильно, но скорее всего это из вышестоящей зоны, так как у меня настроена передача зоны в вышестоящие ДНС сервера.
-
Роутер является гетевеем и ДНС сервером для всех устройств в LAN.
Это DNS Forward или Tiny DNS ?
Я по описанию не совсем понял проблему.
Вы не можете из Лана обратиться к внутреннему вебсерверу по внешнему доменному имени?
–-
Я как-то похожую штуку делал с помощью записи CNAME на DNS сервере. Мне нужно было перенаправить запрос на внутренний сервер. Я объявил mycompany.com как mylocal.domain (тоесть при обращении к местному ДНС серверу локальный комп получал адрес локальног сервера. Вот только не знаю что будет если ваш DNS сервер обслуживает внешние запросы.В форварде посмотрите Override записи.
-
Да проблема как раз не в ДНС.
Проблема с почтой и с вебсайтами.
ДНС работает нормально и нормальность по причине наличия записей нашего ДНС у вышестоящего ДНС сервера.
Еще раз у меня сервер почты и сервер веб стоит внутри сети на адресе 10.0.0.100
на этой же машине стоит сервер ДНС. В нем указаны домены и А записи к почте и к сайтам, это честный IP адрес, который нам выдал провайдер.
Этот честный IP прописан на WAN роутера(pfsense). И порты 25, 53, 80, 110 перенаправлены на 10.0.0.100.
Когда я нахожусь снаружи и набираю например mail.vitele.com, то получаю честный IP как и прописано в ДНС. Все работает прекрасно.
Но когда я нахожусь в LAN, то я не могу достучаться к mail.vitele.com, хотя спокойно работаю например с гуглом.Я так понимаю. что проблема именно в перенаправлении портов. Или в настройках НАТ. Чего то я там не прописал, или не включил какую то опцию.
Использую я автоматическое создание правил в НАТ, может быть это не правильно и надо прописать ручками…. (этого не пробовал ибо не силен в вопросе).
-
И все-таки попытка завернуть траф из лана на внешнем интерфейсе обратно внутрь напоминает шаманство. Попробуйте решить вашу проблему сретствами DNS. То-есть, чтобы для внутренней сети адрес этого сервера резолвился именно в фактический внутренний IP.
–-
Я тут посоветовался с гуглом - эта проблема довольно часто встречается. Поищите там-же.
http://sysadmins.ru/topic194855.html -
Спасибо…
То что это часто встречающаяся проблема это я знаю. Но каждое програмное или железное решение имеет таблетку от этой проблемы. Например в длинковском дфл это разрешается 6 правилами. В зюкселе есть понятие "сервер". По тем или другим причинам нас не устраивает ни то ни то оборудование. В циске тоже есть сложность в описании правил. но в связи с тем, что настройка циски доволно сложна и мало прозрачна ;) мы ее используем только как роутер автономной системы.Вообщем у нас сложность даже не с ДНС, а с почтой и вебом. С ДНС все понятно и нет проблем, так как это в любом случае в офисе внутренний IP.
Но вот почтовый IP является внешним и в ДНС естественно он тоже прописан как внешний IP. Конечно если бы было 2 ДНС сервера, то не возникло бы проблем. На одном были бы прописаны внешние IP, а на втором внутренние. Но это как то мало привлекает в связи с необходимостью синхронизировать изменения, которые происходят довольно часто.
Вобщем вопрос то был про таблетку и настройки именно pfsense. Ну например сервер должен выходить со внешним IP адресов отличным от адреса с которым выходят пользователи LAN. Или вынести сервер в отдельную VLAN и прописать статичные маршруты.....
Но как бы там небыло, мы пробовать будем разные варианты и потом я отпишу, что у нас вышло. Но если кто то сталкивался с такой проблемой и ее победил, то мы будем рады получить помощь...