Сообщения без ответов | Активные темы Текущее время: 19 янв 2020, 02:40



Ответить на тему  [ Сообщений: 15 ] 
NAT loopback на ISR 
Автор Сообщение

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
Подскажите пожалуйста, как правильно решить вопрос доступа к открытым извне службам по внешним айпи адресам и доменным именам из локальной сети?
К примеру, веб-сервер "поднят" на машине с адресом 10.10.10.200 в локальной сети и доступ к ней публично разрешен на роутере, через PAT (ip nat inside source static 80).
Все бы хорошо, но в локальной сети к этой машине можно подключиться только по внутреннему айпи адресу (10.10.10.200), и нельзя ! ни по внешнему "белому", ни по доменному, www.firma.ru.
Как "красиво" решить ситуацию? ;)


02 янв 2020, 22:24
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 459
siqueiros писал(а):
Подскажите пожалуйста, как правильно решить вопрос доступа к открытым извне службам по внешним айпи адресам и доменным именам из локальной сети?
К примеру, веб-сервер "поднят" на машине с адресом 10.10.10.200 в локальной сети и доступ к ней публично разрешен на роутере, через PAT (ip nat inside source static 80).
Все бы хорошо, но в локальной сети к этой машине можно подключиться только по внутреннему айпи адресу (10.10.10.200), и нельзя ! ни по внешнему "белому", ни по доменному, http://www.firma.ru.
Как "красиво" решить ситуацию? ;)

https://community.cisco.com/t5/routing/ ... -p/3302833


03 янв 2020, 03:59
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1357
Я это делаю средствами view в BIND.


03 янв 2020, 13:42
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 459
Bessmertniy писал(а):
Я это делаю средствами view в BIND.

Можно подробнее?


03 янв 2020, 20:50
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1357
https://kb.isc.org/docs/aa-00851


03 янв 2020, 21:27
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
dijix писал(а):
Как "красиво" решить ситуацию? ;)

https://community.cisco.com/t5/routing/ ... -p/3302833[/quote]

То есть перенастроить на NVI NAT? Вместо in и out на интерфейсах, используем "ip nat enable" и петли не будет?
Спасибо!


03 янв 2020, 21:47
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
Bessmertniy писал(а):
Я это делаю средствами view в BIND.


А BIND тогда надо отдельно поднимать где-то в сети на машине, да? Или цискаревый днс сервер поддерживает те же команды BIND,?


03 янв 2020, 21:49
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1357
Вы же наверняка какой-то DNS используете, узнайте умеет ли он view. Я всегда на BIND делал, не знаю умеет ли кто-то еще, АД точно не умеет. А держать DNS на цыцке это извращение.


03 янв 2020, 21:56
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
Bessmertniy писал(а):
Вы же наверняка какой-то DNS используете, узнайте умеет ли он view. Я всегда на BIND делал, не знаю умеет ли кто-то еще, АД точно не умеет.


Используется DNS сервер регистратора домена, это webnames.ru, там наверняка BIND, но полноценного доступа к нему нет, простая веб-панель для редактирования и внесения записей зон, типа "А", "МХ", CNAME.
Возможно что и через обращение можно какие-то изменения внести дополнительные, попробую выяснить через суппорт, спасибо!


Bessmertniy писал(а):
А держать DNS на цыцке это извращение.


Даже в маленькой сети, а почему так, этому есть объяснение? Вроде как направить клиента на роутер, а на роутере выставить нужные ДНС адреса как-бы безопаснее, нет?


03 янв 2020, 23:04
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 954
причём тут регистратор доменов со своей панелью - не делают они сплит горизонт на серые айпишники даже если у них трижды BIND - ДНС сервер у вас должен быть свой внутри сети....


03 янв 2020, 23:25
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
root99 писал(а):
причём тут регистратор доменов со своей панелью - не делают они сплит горизонт на серые айпишники даже если у них трижды BIND -


айпишник у меня "белый".

root99 писал(а):
ДНС сервер у вас должен быть свой внутри сети....


ясно! я поэтому выше интересовался, можно ли это view настроить средствами ip dns-server на циско. Теперь понятно, что речь о внутреннем ДНС сервере.


03 янв 2020, 23:58
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1357
Я считал что цыцин DNS это костыль без функционала, а оказывается он даже view умеет https://www.cisco.com/c/en/us/td/docs/i ... 5622E292A4. Но это не отменяет того что это не задача маршрутизатора.


04 янв 2020, 09:08
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 954
для одной записи вполне можно и днс на рутере заиметь, да и на современных IOS XE маршрутизаторах можно запустить докер контейнер с тем же BIND9


04 янв 2020, 10:04
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
Bessmertniy писал(а):
Я считал что цыцин DNS это костыль без функционала, а оказывается он даже view умеет https://www.cisco.com/c/en/us/td/docs/i ... 5622E292A4. .


Отлично,! Тогда NAT NVI vs DNS VIEW

Bessmertniy писал(а):
Но это не отменяет того что это не задача маршрутизатора


Да, конечно, если есть сервер с гипервизором, но Bind на CentOS сильно ресурсов не откушает, поднять можно, хотя я лично этот процесс на зубок не знаю, поднять подниму, но опыта дальнейшего обслуживания и обеспечения работоспособности и защиты честно говоря нет, для продакшына не стану, будет падать, лишние заботы.
Для моих скромных нужд пожалуй Циськового ДНС сервера для предотвращения петли и хватит ;), спасибо!,


04 янв 2020, 16:05
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 954
По большому счёту вам и BIND не нужен не в каком виде - если есть MS AD то используйте DNS от Мелкософт - поднимете зону, сделайте А рекорд на свой внутренний адрес и забудьте....


04 янв 2020, 17:49
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 15 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 27


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB