 |
|
Доступ из локалки через инет на свой прокси.
win2008r2. Сервер политики сети NPS (Маршрутизация и удаленный доступ) + Траффик инспектор. Прокся имеет внешний ип и на него назначено доменное имя blablabla.ru. Сделан проброс 80 порта внешнего интерфейса на 80 порт внутресетевого компа (web сервер iis). Все как бы обычно и отлично. Работает. Но работает если заходить с другого компа в инете. Если же я заломлюсь на свой сервак через blablabla.ru или айпи то он не соединяет. Т.е. я банально не могу тестить свой сайт сидя у себя на работе и постоянно приходится через радмин сидеть на домашнем компе чтобы смотреть свой рабочий сайт.
Подскажите где копать? в NPS ?? или в трафик инспекторе? Какое-то направление нада открыть?
Трасерт
Трассировка маршрута к blablabla.ru [217.67.ххх.ххх]
с максимальным числом прыжков 30:
1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 <1 мс <1 мс <1 мс 217-67-ххх-ххх.in-addr.mastertelecom.ru [217.67.
ххх.ххх]
Трассировка завершена.
|
naxaH,
Пропишите на своем рабочем компе в файле %SystemRoot%\system32\drivers\etc\hosts запись вида:
<внутренний ip адрес сервера > blablabla.ru
затем выполните ipconfig /flushdns и пробуйте зайти по имени blablabla.ru.
|
Работает, но на моем компе, я подразумевал чтобы вся внутренняя сеть могла обращаться к прокси через внешний ип. Для всей локальной сети как замутить?
|
Цитата:
Цитата naxaH
Для всей локальной сети как замутить? »
|
У вас внутреннее имя домена такое же как и имя сайта? |
Нет. По айпишнику внешнему тоже не могу зайти.
|
Создайте зону blablabla.ru на локальном DNS сервере и пропишите там ip адрес и имя внутренного сервера.
Цитата:
Цитата naxaH
По айпишнику внешнему тоже не могу зайти. »
|
На Linux/FreeBSD это точно можно реализовать, а вот под Win по-моему такое не возможно, на форуме уже подымалась такая тема и решение там вроде как не нашли. |
Поднималась тема как у меня? Или то что создать зону нельзя на внутреннем ДНСе?
|
Цитата:
Цитата naxaH
Поднималась тема как у меня? »
|
Да такая же тема с вопросом как завернуть трафик идущий на внешний ip, так чтобы он перенаправился на внутрений ip.
Цитата:
Цитата naxaH
Или то что создать зону нельзя на внутреннем ДНСе? »
|
Это мое предложение по решению вашей задачи. |
Я не силен в сети, но мне кажеца трафик не выходит дальше айпишника прокси и застревает где-то, словно прокся теряется и не понимает куда его пихать. Я думаю так: или трафик идет дальше к провайдеру и там еще далее на обработку, а потом уже найдясь в ДНСах возвращается обратно, или же прокся секет фишку что обращение идет к ней (ведь у нее этот айпи) и нет ризона трафик пускать дальше - заварачивает на себя, а там дальше уже по по обычному правилу-редиректу на внутренний порт. Имхо для решения это проблемы нужно понять движение и обработку трафика.
Ну в принципе есть наверное логика: в правилах стоит - трафик идущий на внешний интерфейс из вне редиректить на внутренний комп с опр портом. А тут получается что трафик идет из внутренней сети. И тут двояко: если бы трафик шел в инет, а потом обратно на проксю то правило действовало (прокся видела что трафик четко внешний и давало редирект), а видать трафик не пускается дальше сетевки и заварачивается, но правила нету int-->Ext и тут происходит блок. Это чисто имхо. Почему то мне кажеца на TMG (ISA) можно было бы сделать такое гибкое правило. В трафик инспекторе хз... на форуме "трафика" еще спрошу. Че там ответят.
|
| Oleg Krylov |
22-07-2011 20:48 1718078 |
Цитата:
Цитата Telepuzik
Да такая же тема с вопросом как завернуть трафик идущий на внешний ip, так чтобы он перенаправился на внутрений ip. »
|
Автор четко озвучил задачу: пропустить траффик из LAN на внешний интерфейс прокси, другой вопрос ЗАЧЕМ ему такой костыль и лишняя нагрузка на прокси, когда можно было закольцевать траффик внутри сети, а свою машину (для тестрирования доступности сайта извне) выпустить на внешний интерфейс. Ну да бог ему судья :). Так что тема такая же, да не такая же.
naxaH, тут вопрос исключительно к Traffic Inspector. Если внутри LAN, внешнее имя сайта разрешается в внешний IP прокси - проблема только в правилах. Да, TMG позволяет создать такое правило. По TI нужно уточнять, хотя видимых препятствий нет, такая схема не противоречит никаким стандартам. Вы пробовали разрешить http\https из LAN в WAN? Попробуйте протестировать доступность портов телнетом. А вообще лучше всего поможет анализ логов TI. |
Олег, видать вы ближе к сути дела. Я вообще с этим столкнулся када выводил вебморду почтовика - "белки". Дабы посмотреть работает это извне я и ломанулся на mail.blablabla.ru - доступ работает тока извне, а для моей внутренней сети нет доступа. Я сразу начал прикидывать как гуляет трафик и понял что имхо тупа нет доступа из LAN -> WAN. Значит буду капать в ТИ. В принципе это и хотел узнать. Где копать .) Спасибо всем.
Олег, а закольцевать этот как?
И еще, а в DNS можно как прописать что мол запрос на mail.blabla.ru отправлять на ip внутресетевого компа (iis), м?
|
| Oleg Krylov |
24-07-2011 15:38 1718922 |
Проще всего сделать, как вам советовали выше: создать зону DNS с именем вашего внешнего домена на внутреннем DNS-сервере, прописать в нем хост А с именем вашего сайта и IP внутреннего веб-сервера. В этом случае все внутренние клиенты в LAN начнут ходить напрямую на сервер минуя прокси. Таким образом вы избежите ненужной нагрузки на прокси. А себе пропишите в C:\Windows\system32\drivers\etc\hosts запись с внешним именем сайта, указывающую на внешний IP. Так вы сможете тестировать доступность сайта снаружи, а при необходимости попасть напрямую на веб-сервер - просто укажите его FQDN.
|
Цитата:
Цитата Oleg Krylov
Автор четко озвучил задачу: пропустить траффик из LAN на внешний интерфейс прокси, другой вопрос ЗАЧЕМ ему такой костыль и лишняя нагрузка на прокси, когда можно было закольцевать траффик внутри сети, а свою машину (для тестрирования доступности сайта извне) выпустить на внешний интерфейс. Ну да бог ему судья . Так что тема такая же, да не такая же. »
|
Я может не совсем корректно написал, но как раз тема и была: из внутренней сети набрав внешний ip попасть на внутренний веб-сервер. Надо будет поискать эту тему. |
Олег, ну вот так я уже и подумал... а не подскажите при создании зоны какой тип зоны создавать? (основная/доп зона/зона-заглушка)
|
| Oleg Krylov |
25-07-2011 10:30 1719301 |
Мне видится дополнительная, для заглушки нужно указать серверы NS для внешнего домена, и тогда вы будете получать все тот же внешний адрес.
|
Создал еще одну основную зону аля mail.company.ru без динамического обновления. В ней создал запись А с путым именем и с айпишником того ПК/сервера, который должен отвечать на запрос по mail.company.ru. Все. Так показалось проще и удобнее.
|
Друзья. дабы не плодить темы и все скомпоновать отпишусь тут же.
Все практически тоже самое только имеем внутри рабочей сети почтовый сервер. Порты прокинуты. Дырка в файерволе сделана. Он располагается на одной машине с прокси (RRAS+Трафик Инспектор). И вот тут повторяется точно такая же проблема - почта от сервера во внешку уходит, а придти не может. Трафик инспектор отключал - такая же шляпа. Получается приходящий трафик с внешки приходит и сразу редиректится на второй (внутренний) NIC прокси. И тут тупик. Как бы не может.
Есть какие-нить идеи? Маза с внутренним ДНс не прокатит ибо тут не "выход-вход на себя", а тупо "вход".
|
Решено. Все воркает. Нада было в настройках hmailserver указать что сервак может принимать неавторизованных ИЗВНЕ для Локальных.
|
Время: 04:39.
© OSzone.net 2001-