forum.lissyara.su

Здравствуйте.

У меня во внутренней сети кроме юзерских компов стоят сервера : почта, веб и т.д. и есть роутер №1 который имеет несколько внешних адресов и на котором порт форвардинг. С пользователями из интернета все в порядке а вот для внутренних юзеров если они пытаються пробиться к серваку которы внутри по его внешнему IP то для них мне приходиться держать отдельный роутер №2. Потому как если я использую №1 то их запросы уходят внекуда, попросту роутер №1 не знает как отправить запрос посланный на один из его внешних адресов от компа внутренней сети обратно во внутреннюю сеть на соответсвующий сервер. Конечно можно держать внутренние адреса для серверов на внутреннем же днс, но не хочеться мне голову марочить и постоянно обновлять записи.
Пожалуйста подскажите решение с использованием одного роутера.
Заранее спасибо.
Сергей

Потому как если я использую №1 то их запросы уходят внекуда

Можно использовать DNS. Тогда http://www.mydomain.ru будет указывать на внутренний адрес и при доступе к своим сервисам роутер использоваться не будет.

, попросту роутер №1 не знает как отправить запрос посланный на один из его внешних адресов

Знает, проброс порта нужен. natd, rinetd, datapipe и т.д.

У меня все сервисы выведены в DMZ, в которой реальные внешние IP-Адреса. Все ходят через роутер, хоть в инет, хоть к своим сервисам, хоть снаружи, хоть внутри.

http://forum.lissyara.su/viewtopic.php? ... it=gateway

Спасибо за совет, однако же зачем разрешать всему трафику проходить к серверу мне то нужно только один два порта да еще и на несколько серверов.
Хотелось бы иметь решение на одном роутере и желательно на заточеном дистрибутиве как то PFSense, который кстати и работает сейчас.
Есть еще пожелаение, поскольку я профессионализмом сильно похвастать не могу то мне бы хотелось видеть подробные объяснения или даже инструкции что и как необходимо настроить.
Ну например как сделать проброс порта в natd если он получает запрос на внешний IP из внутренней сети?

Заранее благодарен,
Сергей

Неужели никто не хочет помочь?

нарисуй сеть, а то как-то непонятно

Странно вроде добавлял файл с самого начала но он куда то делся

кхмм.. мне наш админ такую же схему неделю назад рисовал а называется она - у нас два провайдера и мы тоже

нужно сделать следующее: использовать только глобальные настройки для доступа на серваки, при обращении с локальной сети можно настроить нат. Надо разделить пользователей и серверы, чтоб никаких петель не было. В идеале - сервера в одном месте, пользователи к ним только через роутер.

Сервера какого плана и как построена архитектура сети?

Это в основном веб сервера их несколько есть еще почта

суть следующая - и локальные и глобальные пользователи обращаются к серверам только по глобальным IP-адресам, у тебя схема сейчас так и работает, за тем исключением, что запросы на глобальные IP-серверов берёт на себя второй роутер, вот его функции можно настроить на основном роутере. Можно натить, можно маршрутизировать, суть - отказаться от двойной адресации серверов.

Да именно так, но мне бы поподробнее о том как это сделать.
У меня установлен PFsense как второй роутер и я пытался сделать следующее http://gugus69.free.fr/special_nat_conf ... fsense.php
естественно используя WAN вместо LAN однако почему то это не работало.

Спасибо,
Сергей

PFsense поддерживает нат, поэтому можно разделить задачи роутер отдельно, нат отдельно, таким образом роутер будет один, пользователи могут ходить по локальным адресам на сервера, а на глобальные адреса - через нат, в том числе и на свои сервера.

ЗЫ при этом натить можно только свои глобальные серверы

таким образом схема сети в корне не меняется

Да вроде все просто :-) и отсталось только воплотить это в жизнь а вот с этим у меня к сожелению проблемка
Пробовал создать виртуальный сервер и заворачивать туда по портам но не сработало почему то

Сергей

serge666 писал(а):Пробовал создать виртуальный сервер и заворачивать туда по портам но не сработало почему то

к чему такие сложности? и я так думаю этим админ должен заниматься...

Ну админ это понятие растяжимое, кому то повезло с ними а у когото они просто админят а работу делает кто-то еще :-)
Я буду очень разу увидеть реальное описание решения поставленной задачи

Заранее Спасибо,
Сергей

serge666 писал(а):Ну админ это понятие растяжимое, кому то повезло с ними а у когото они просто админят а работу делает кто-то еще :-)

ну, есть такое

serge666 писал(а):Я буду очень разу увидеть реальное описание решения поставленной задачи

Заранее Спасибо,
Сергей

тут сложнее, поскольку нужно ориентироваться на месте, что реально можно, а что нет.

Первый вопрос - роутер аппаратный и сертифицированный?
Второй вопрос - сеть должна быть построена на сертифицированном оборудовании?
Третий вопрос - между роутером и пользователями возможно сделать разрыв и вставить туда, к примеру, сервер?

ЗЫ если на первые два вопроса ответ да, то я рекмендую обратиться в специализированную компанию сетевых решений

В простом варианте задача звучит так:
Рефлизовать схему изображенную на рисунке "схема.PNG" где роутер и нат это компьютер с PFsense

Сергей

роутер - это компьютер говоришь... на фре?