Сообщения без ответов | Активные темы Текущее время: 04 июл 2020, 15:34



Ответить на тему  [ Сообщений: 20 ] 
NAT loopback на ISR 
Автор Сообщение

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 218
Подскажите пожалуйста, как правильно решить вопрос доступа к открытым извне службам по внешним айпи адресам и доменным именам из локальной сети?
К примеру, веб-сервер "поднят" на машине с адресом 10.10.10.200 в локальной сети и доступ к ней публично разрешен на роутере, через PAT (ip nat inside source static 80).
Все бы хорошо, но в локальной сети к этой машине можно подключиться только по внутреннему айпи адресу (10.10.10.200), и нельзя ! ни по внешнему "белому", ни по доменному, www.firma.ru.
Как "красиво" решить ситуацию? ;)


02 янв 2020, 22:24
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 604
siqueiros писал(а):
Подскажите пожалуйста, как правильно решить вопрос доступа к открытым извне службам по внешним айпи адресам и доменным именам из локальной сети?
К примеру, веб-сервер "поднят" на машине с адресом 10.10.10.200 в локальной сети и доступ к ней публично разрешен на роутере, через PAT (ip nat inside source static 80).
Все бы хорошо, но в локальной сети к этой машине можно подключиться только по внутреннему айпи адресу (10.10.10.200), и нельзя ! ни по внешнему "белому", ни по доменному, http://www.firma.ru.
Как "красиво" решить ситуацию? ;)

https://community.cisco.com/t5/routing/ ... -p/3302833


03 янв 2020, 03:59
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1402
Я это делаю средствами view в BIND.


03 янв 2020, 13:42
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 604
Bessmertniy писал(а):
Я это делаю средствами view в BIND.

Можно подробнее?


03 янв 2020, 20:50
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1402
https://kb.isc.org/docs/aa-00851


03 янв 2020, 21:27
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 218
dijix писал(а):
Как "красиво" решить ситуацию? ;)

https://community.cisco.com/t5/routing/ ... -p/3302833[/quote]

То есть перенастроить на NVI NAT? Вместо in и out на интерфейсах, используем "ip nat enable" и петли не будет?
Спасибо!


03 янв 2020, 21:47
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 218
Bessmertniy писал(а):
Я это делаю средствами view в BIND.


А BIND тогда надо отдельно поднимать где-то в сети на машине, да? Или цискаревый днс сервер поддерживает те же команды BIND,?


03 янв 2020, 21:49
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1402
Вы же наверняка какой-то DNS используете, узнайте умеет ли он view. Я всегда на BIND делал, не знаю умеет ли кто-то еще, АД точно не умеет. А держать DNS на цыцке это извращение.


03 янв 2020, 21:56
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 218
Bessmertniy писал(а):
Вы же наверняка какой-то DNS используете, узнайте умеет ли он view. Я всегда на BIND делал, не знаю умеет ли кто-то еще, АД точно не умеет.


Используется DNS сервер регистратора домена, это webnames.ru, там наверняка BIND, но полноценного доступа к нему нет, простая веб-панель для редактирования и внесения записей зон, типа "А", "МХ", CNAME.
Возможно что и через обращение можно какие-то изменения внести дополнительные, попробую выяснить через суппорт, спасибо!


Bessmertniy писал(а):
А держать DNS на цыцке это извращение.


Даже в маленькой сети, а почему так, этому есть объяснение? Вроде как направить клиента на роутер, а на роутере выставить нужные ДНС адреса как-бы безопаснее, нет?


03 янв 2020, 23:04
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1096
причём тут регистратор доменов со своей панелью - не делают они сплит горизонт на серые айпишники даже если у них трижды BIND - ДНС сервер у вас должен быть свой внутри сети....


03 янв 2020, 23:25
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 218
root99 писал(а):
причём тут регистратор доменов со своей панелью - не делают они сплит горизонт на серые айпишники даже если у них трижды BIND -


айпишник у меня "белый".

root99 писал(а):
ДНС сервер у вас должен быть свой внутри сети....


ясно! я поэтому выше интересовался, можно ли это view настроить средствами ip dns-server на циско. Теперь понятно, что речь о внутреннем ДНС сервере.


03 янв 2020, 23:58
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1402
Я считал что цыцин DNS это костыль без функционала, а оказывается он даже view умеет https://www.cisco.com/c/en/us/td/docs/i ... 5622E292A4. Но это не отменяет того что это не задача маршрутизатора.


04 янв 2020, 09:08
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1096
для одной записи вполне можно и днс на рутере заиметь, да и на современных IOS XE маршрутизаторах можно запустить докер контейнер с тем же BIND9


04 янв 2020, 10:04
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 218
Bessmertniy писал(а):
Я считал что цыцин DNS это костыль без функционала, а оказывается он даже view умеет https://www.cisco.com/c/en/us/td/docs/i ... 5622E292A4. .


Отлично,! Тогда NAT NVI vs DNS VIEW

Bessmertniy писал(а):
Но это не отменяет того что это не задача маршрутизатора


Да, конечно, если есть сервер с гипервизором, но Bind на CentOS сильно ресурсов не откушает, поднять можно, хотя я лично этот процесс на зубок не знаю, поднять подниму, но опыта дальнейшего обслуживания и обеспечения работоспособности и защиты честно говоря нет, для продакшына не стану, будет падать, лишние заботы.
Для моих скромных нужд пожалуй Циськового ДНС сервера для предотвращения петли и хватит ;), спасибо!,


04 янв 2020, 16:05
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1096
По большому счёту вам и BIND не нужен не в каком виде - если есть MS AD то используйте DNS от Мелкософт - поднимете зону, сделайте А рекорд на свой внутренний адрес и забудьте....


04 янв 2020, 17:49
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 218
Этот NAT hairpin чего-то "душит" пропускную способность маршрутизатора; перебил inside/outside на enable и пропускная способность упала в два раза,!
Speedtest на классическом PAT выдает 90Мегабит, а перенастроенная трансляция на ip nat enable стал выдавать 40Мегабит с копейками всего.!


15 апр 2020, 18:11
Профиль

Зарегистрирован: 10 июл 2019, 18:21
Сообщения: 80
siqueiros писал(а):
Этот NAT hairpin чего-то "душит" пропускную способность маршрутизатора; перебил inside/outside на enable и пропускная способность упала в два раза,!
Speedtest на классическом PAT выдает 90Мегабит, а перенастроенная трансляция на ip nat enable стал выдавать 40Мегабит с копейками всего.!


по идее, такого быть не должно.


05 май 2020, 22:25
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 218
Praporwik писал(а):
siqueiros писал(а):
Этот NAT hairpin чего-то "душит" пропускную способность маршрутизатора; перебил inside/outside на enable и пропускная способность упала в два раза,!
Speedtest на классическом PAT выдает 90Мегабит, а перенастроенная трансляция на ip nat enable стал выдавать 40Мегабит с копейками всего.!


по идее, такого быть не должно.


По идее может и не должно, а на деле получается именно так.
Реально такие результаты, по крайней мере на 800-й серии.


10 июн 2020, 19:15
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 218
root99 писал(а):
для одной записи вполне можно и днс на рутере заиметь, да и на современных IOS XE маршрутизаторах можно запустить докер контейнер с тем же BIND9


Да, пока настроил Cisco в качестве DNS сервера,
Код:
ip dns server
, и прописал переадресацию доменного имени в локальный ip адрес.
Код:
ip host mydomain.ru 10.10.10.100
.
Но к сожалению, по-внешнему "белому" айпишнику на веб-сервер из локалки по-прежнему "сходить" не удается.
У меня qemu-kvm крутится на CentOS, иногда балуюсь с разными фреймворками и движками, в некоторых конфигурациях бывает нужно именно по внешнему айпишнику протестировать загрузку и настройки.
Пока не придумал как решить.


10 июн 2020, 19:42
Профиль

Зарегистрирован: 10 июл 2019, 18:21
Сообщения: 80
siqueiros писал(а):
Реально такие результаты, по крайней мере на 800-й серии.


на 800 серии может так и быть - т.к. железки начального уровня


12 июн 2020, 20:13
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 20 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google Feedfetcher, Google [Bot] и гости: 26


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB