htЕсть два роутера а хотелось бы иметь один, нужен совет !!!

[serge666]

Здравствуйте.

У меня во внутренней сети кроме юзерских компов стоят сервера : почта, веб и т.д. и есть роутер №1 который имеет несколько внешних адресов и на котором порт форвардинг. С пользователями из интернета все в порядке а вот для внутренних юзеров если они пытаються пробиться к серваку которы внутри по его внешнему IP то для них мне приходиться держать отдельный роутер №2. Потому как если я использую №1 то их запросы уходят внекуда, попросту роутер №1 не знает как отправить запрос посланный на один из его внешних адресов от компа внутренней сети обратно во внутреннюю сеть на соответсвующий сервер. Конечно можно держать внутренние адреса для серверов на внутреннем же днс, но не хочеться мне голову марочить и постоянно обновлять записи.
Пожалуйста подскажите решение с использованием одного роутера.
Заранее спасибо.
Сергей

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

Потому как если я использую №1 то их запросы уходят внекуда

Можно использовать DNS. Тогда http://www.mydomain.ru будет указывать на внутренний адрес и при доступе к своим сервисам роутер использоваться не будет.

, попросту роутер №1 не знает как отправить запрос посланный на один из его внешних адресов

Знает, проброс порта нужен. natd, rinetd, datapipe и т.д.

У меня все сервисы выведены в DMZ, в которой реальные внешние IP-Адреса. Все ходят через роутер, хоть в инет, хоть к своим сервисам, хоть снаружи, хоть внутри.

http://forum.lissyara.su/viewtopic.php? ... it=gateway

[serge666]

Спасибо за совет, однако же зачем разрешать всему трафику проходить к серверу мне то нужно только один два порта да еще и на несколько серверов.
Хотелось бы иметь решение на одном роутере и желательно на заточеном дистрибутиве как то PFSense, который кстати и работает сейчас.
Есть еще пожелаение, поскольку я профессионализмом сильно похвастать не могу то мне бы хотелось видеть подробные объяснения или даже инструкции что и как необходимо настроить.
Ну например как сделать проброс порта в natd если он получает запрос на внешний IP из внутренней сети?

Заранее благодарен,
Сергей

[serge666]

Неужели никто не хочет помочь?

[zg]

нарисуй сеть, а то как-то непонятно

[serge666]

Странно вроде добавлял файл с самого начала но он куда то делся

Network

[zg]

кхмм.. мне наш админ такую же схему неделю назад рисовал а называется она - у нас два провайдера и мы тоже

нужно сделать следующее: использовать только глобальные настройки для доступа на серваки, при обращении с локальной сети можно настроить нат. Надо разделить пользователей и серверы, чтоб никаких петель не было. В идеале - сервера в одном месте, пользователи к ним только через роутер.

Сервера какого плана и как построена архитектура сети?

[serge666]

Это в основном веб сервера их несколько есть еще почта

[zg]

Схема.PNG (6.61 КБ) 1475 просмотров

суть следующая - и локальные и глобальные пользователи обращаются к серверам только по глобальным IP-адресам, у тебя схема сейчас так и работает, за тем исключением, что запросы на глобальные IP-серверов берёт на себя второй роутер, вот его функции можно настроить на основном роутере. Можно натить, можно маршрутизировать, суть - отказаться от двойной адресации серверов.

[serge666]

Да именно так, но мне бы поподробнее о том как это сделать.
У меня установлен PFsense как второй роутер и я пытался сделать следующее http://gugus69.free.fr/special_nat_conf ... fsense.php
естественно используя WAN вместо LAN однако почему то это не работало.

Спасибо,
Сергей

[zg]

PFsense поддерживает нат, поэтому можно разделить задачи

Схема.PNG (6.93 КБ) 1471 просмотр

роутер отдельно, нат отдельно, таким образом роутер будет один, пользователи могут ходить по локальным адресам на сервера, а на глобальные адреса - через нат, в том числе и на свои сервера.

ЗЫ при этом натить можно только свои глобальные серверы

[zg]

таким образом схема сети в корне не меняется

[serge666]

Да вроде все просто :-) и отсталось только воплотить это в жизнь а вот с этим у меня к сожелению проблемка
Пробовал создать виртуальный сервер и заворачивать туда по портам но не сработало почему то

Сергей

[zg]

Пробовал создать виртуальный сервер и заворачивать туда по портам но не сработало почему то

к чему такие сложности? и я так думаю этим админ должен заниматься...

[serge666]

Ну админ это понятие растяжимое, кому то повезло с ними а у когото они просто админят а работу делает кто-то еще :-)
Я буду очень разу увидеть реальное описание решения поставленной задачи

Заранее Спасибо,
Сергей

[zg]

Ну админ это понятие растяжимое, кому то повезло с ними а у когото они просто админят а работу делает кто-то еще :-)

ну, есть такое

Я буду очень разу увидеть реальное описание решения поставленной задачи

Заранее Спасибо,
Сергей

тут сложнее, поскольку нужно ориентироваться на месте, что реально можно, а что нет.

Первый вопрос - роутер аппаратный и сертифицированный?
Второй вопрос - сеть должна быть построена на сертифицированном оборудовании?
Третий вопрос - между роутером и пользователями возможно сделать разрыв и вставить туда, к примеру, сервер?

ЗЫ если на первые два вопроса ответ да, то я рекмендую обратиться в специализированную компанию сетевых решений

[serge666]

В простом варианте задача звучит так:
Рефлизовать схему изображенную на рисунке "схема.PNG" где роутер и нат это компьютер с PFsense

Сергей

[zg]

роутер - это компьютер говоришь... на фре?