Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Jest sobie serwer za natem (nie istotne jaki: www, ssh...). Za bramkę robi zwykły tani router (niejaki blackbox) Przekierowanie wszystkich portów jest na ten serwer. Wewnątrz sieci oczywiście po wewnętrznych ip wszystko działa jak należy. Po zewnętrznym ip zewnątrz sieci też wszystko działa. Problem w tym, że chciałbym po zewnętrznym ip mieć dostęp do tego serwera wewnątrz sieci. Jaka funkcja, opcja routera odpowiada za coś takiego?
Ostatnio edytowany przez radziojedi (2011-02-24 08:24:18)
Offline
Zdemilitaryzowana zona?
Albo coś takiego: który IP adres ma być widoczny na zewnątrz?
Ostatnio edytowany przez paoolo (2011-02-21 21:27:11)
Offline
paoolo napisał(-a):
Zdemilitaryzowana zona?
Albo coś takiego: który IP adres ma być widoczny na zewnątrz?
zdemilitaryzowana
Offline
twoj router powinien mieć taką opcje jak forwarding (albo jakoś tak) lub jakaś inna opcja pozwalajaca ma przekierowanie portów na dany adres lokalny w sieci.
Offline
ee tam, nie rozumiecie:)
przekierowane porty są na ten serwer (zresztą to jest strefa zdemilitaryzowana) - dostać się na ten serwer z zewnątrz można
ja chciałbym móc po zewnętrznym ip dostać się do niego z wewnątrz sieci
czyli na przykład:
wewnątrz sieci, za natem jest serwer www, na którym jest strona www.debian.com
z zewnątrz mogę ją otworzyć wpisując w przeglądarkę: www.debian.com
z wewnątrz mogę ją otworzyć wpisując w przeglądarke: 192.168.1.100
chciałbym:
móc otworzyć tą stronę wewnątrz sieci wpisując: www.debian.com
lub:
wewnątrz sieci, za natem jest serwer ssh
z zewnątrz mogę się dostać wpisując: ssh ktos@zewnętrzny_ip
z wewnątrz mogę się dostać wpisując: ssh ktos@wewnętrzny_ip
chciałbym:
móc zalogować się wewnątrz sieci wpisując: ssh ktos@zewnętrzny_ip
mam nadzieję, że obrazowo przedstawiłem;)
Offline
hmm trochę nie rozumiem praktycznej strony, ale taka może wystąpić: laptop, który raz jest wpięty do sieci wew. a raz łączy się z zew. raczej bym ustawił taki dla sieci lokalnej DNS (albo masqdns z wpisami z /etc/host z serwera), no i by ułatwić robotę DHCP.
Hmm sprawdziłem co to ten Black Box i... jeśli to ten najtańszy, to bym ustawił Forwarding na IP routera (wew.) na porty które udostępnia serwer który masz na innym adresie. O ile nie przyblokuje Ci to panelu administracyjnego. I o ile coś takiego zadziała :) Wtedy na pewno po wpisaniu IP router'a (wew.) powinno iść, a czy po wpisaniu IP zew. zadziała - nie wiem. Swoją drogą, czy to przypadkiem, w momencie gdy próbuje np. pingować adres zew. routera, nie wychodzi mi pakiet poza moją sieć?
Edit: nie wychodzi:
traceroute to 83.xxx.xxx.xxx (83.xxx.xxx.xxx), 30 hops max, 60 byte packets 1 192.168.2.1 (192.168.2.1) 0.198 ms 0.151 ms 0.323 ms 2 192.168.0.1 (192.168.0.1) 4.004 ms 4.760 ms 5.910 ms
Skoki dwa, bo po drodze maszyna backup.
Hmm testuje to u siebie, ale jakoś router nie pozwala na forward. Jakikolwiek.
Hmm, okey, nie da się z sieci lokalnej (u mnie). Ten forward/NAT jest tylko na zew. interfejsy :|
Ostatnio edytowany przez paoolo (2011-02-22 19:25:21)
Offline
Przyznam się, że chyba nie rozumiem:)
To znaczy tak: przekierowuje port 80 na wew adres serwera. Wewnątrz sieci po adresie wewnętrznym mam dostęp do tego portu rzecz jasna, po adresie zewnętrznym już nie. Natomiast z zewnątrz sieci do portu 80 mojego serwera mam dostęp, bo przekierowałem port.
dns'y w sieci miałem 192.168.x.x (router), ale zmieniłem na dns'y mojego dostawcy 62.21.99.95, niestety to nic nie dało.
p.s. natomiast z wewnątrz sieci mogę pingować mój ip zewnętrzny, jeśli to ma jakieś znaczenie
Ostatnio edytowany przez radziojedi (2011-02-22 19:51:12)
Offline
Hmm, powiem inaczej: swego czasu bawiłem się na wolnostojącym serwerze, czyli komp i Debian. Służył także to dzielenia łącza, ale że IP neostrady jest public (jedynie się tylko zmienia raz na 1440.5 minuty ;) oraz że było coś takiego jak dyn.pl (i nadal jest) to włączyłem swój komputer/serwer na świat. I gdy byłem na zew. to łącząc się z maszyną (po jakimś tam adres.dyn.pl) to się łączyłem z serwerem np. po SSH, dając ssh login@adres.dyn.pl. Logując się wew. wpisywałem, czy to ssh login@192.168.0.1 czy to ssh login@adres.dyn.pl to się łączyłem (różnica jakaś musiała być :)
No dobra, ale tu chodzi o sytuacje, gdy ma się router i żądany serwer na tym samym. No ale np. na maszynie 192.168.0.2 stawiam WWW. Więc mając bardziej konfigurowalne środowisko wew. systemu Debian, ustawiam przy pomocy iptables przekierowanie ruchu z interfejsu ppp0 (gdzie mam IP zew.) na porcie 80 TCP na adres wew. sieci (DNAT sie to chyba nazywa), oraz podobnie, chcący mieć ten efekt dla sieci lokalnej, ładuje regułkę forwardu dla interfejsu eth0 na port 80 TCP na adres:port maszyny 192.168.0.2:80. Wówczas, jak dedukuję, wpisując adres zew. serwera/routera skądkolwiek (czy to z LAN czy WAN), zostanę przekierowany na maszynę 192.168.0.2.
I to samo chciałem zrobić na routerze, sęk w tym, że pewnie te regułki dotyczące forwardu są tylko dla interfejsu ppp0 (czy coś innego analogicznego) i wówczas próba nawet wpisania 192.168.0.1 w przeglądarce zakończy się nie przekierowaniem na 192.168.0.2:80, ale na to co udostępnia router (podobnie gdybyśmy ustawili forward 22 na routerze na adres wew. sieci).
Czyli: pogrzeb jak Twój router ustawia te regułki forwardu (jakoś musi). Pingowanie niczego w tej sprawie w sumie nie wnosi :) Jedynie, że masz ICMP otwarte na świat (a to lepiej przyblokować).
Hmm wpadł mi pomysł:
1) postaw na serwerze gdzie masz usługi etc. dnsmasq/inne cóś, co robi za takie relay DNS. skonfiguruj tak, by ta usługa czerpała dane DNS z jakiś zew. serwerów (stałe od dostawcy) LUB z routera (jak wcześniej miałeś ustawione) ORAZ z własnych wpisów (np. z /etc/host, gdzie masz podane wpisy 192.168.0.2 server.twoja.domena.pl, taki wpis powinen przejść, bo mnie default'owo w Krakowie do ghnet.pl jako przestrzeń nazw chce zapisać), gdzie localnetwork czy inna taka opcja z podaniem wartości twoja.domena.pl.
2a) do DHCP (które albo będzie na routerze, albo gdy oprzesz ten cache DNS'owy na dnsmasq(DNS+DHCP), na serwerze gdzie masz inne usługi) podajesz adres DNS, adres maszyny, gdzie masz usługi oraz swojego DNS cache'a, czyli tutaj 192.168.0.2
2b) ustawiasz sztywnym klientom adres serwera DNS 192.168.0.2
Wtedy (na pewno może nie, ale z dużym prawdopodobieństwem ;) wpisując nazwę (nie IP) z localnetwork trafisz na wpis z /etc/host i wtedy adres jaki będzie się krył pod nazwę to adres lokalny, a jeśli z zewnątrz (hmm pewnie masz dyndns) to wpadnie na router, gdzie regułki forward przerzucą Cię na maszynę 192.168.0.2, bez dotykania tej całej sztucznej sieci DNS.
Hmm tak myślę ;)
Ostatnio edytowany przez paoolo (2011-02-22 21:41:44)
Offline
jezeli masz stale zewnetrzne ip to na komputerach wewnatrz sieci dodaj trase routingu na to ip:
ip route add ip.ip.ip.ip/32 dev eth0
Offline
paoolo napisał(-a):
(...)1) postaw na serwerze gdzie masz usługi etc. dnsmasq/inne cóś, co robi za takie relay DNS. skonfiguruj tak, by ta usługa czerpała dane DNS z jakiś zew. serwerów (stałe od dostawcy) LUB z routera (jak wcześniej miałeś ustawione) ORAZ z własnych wpisów (np. z /etc/host, gdzie masz podane wpisy 192.168.0.2 server.twoja.domena.pl, taki wpis powinen przejść, bo mnie default'owo w Krakowie do ghnet.pl jako przestrzeń nazw chce zapisać), gdzie localnetwork czy inna taka opcja z podaniem wartości twoja.domena.pl.
2a) do DHCP (które albo będzie na routerze, albo gdy oprzesz ten cache DNS'owy na dnsmasq(DNS+DHCP), na serwerze gdzie masz inne usługi) podajesz adres DNS, adres maszyny, gdzie masz usługi oraz swojego DNS cache'a, czyli tutaj 192.168.0.2
2b) ustawiasz sztywnym klientom adres serwera DNS 192.168.0.2
Wtedy (na pewno może nie, ale z dużym prawdopodobieństwem ;) wpisując nazwę (nie IP) z localnetwork trafisz na wpis z /etc/host i wtedy adres jaki będzie się krył pod nazwę to adres lokalny, a jeśli z zewnątrz (hmm pewnie masz dyndns) to wpadnie na router, gdzie regułki forward przerzucą Cię na maszynę 192.168.0.2, bez dotykania tej całej sztucznej sieci DNS.
(...)
trochę tak od d^&py strony, ale pewnie jakieś to rozwiązanie jest, na pewno spróbuję.
bercik napisał(-a):
jezeli masz stale zewnetrzne ip to na komputerach wewnatrz sieci dodaj trase routingu na to ip:
Kod:
ip route add ip.ip.ip.ip/32 dev eth0
Niestety nie dało rady. Wydaje mi się, że jest to raczej jakaś bolączka routera. Teoretycznie w każdym routerze, jaki podłączałem w mojej sieci sytuacja przedstawiała się nastepującą: wpisywałem adres wew routera, otwierał się panel routera, wpisywałem adres zew sieci, otwierał się panel routera (i w takiej sytuacji ta cała sytuacja opisana wyżej działała tak, jakbym chciał) i nie trzeba było wpisywać ręcznie trasy routingu. W tym aktualnym routerze (blackboksie) jest to jakoś inaczej, dziwniej rozwiązane.
Offline
paoolo napisał(-a):
(...)Hmm wpadł mi pomysł:
1) postaw na serwerze gdzie masz usługi etc. dnsmasq/inne cóś, co robi za takie relay DNS. skonfiguruj tak, by ta usługa czerpała dane DNS z jakiś zew. serwerów (stałe od dostawcy) LUB z routera (jak wcześniej miałeś ustawione) ORAZ z własnych wpisów (np. z /etc/host, gdzie masz podane wpisy 192.168.0.2 server.twoja.domena.pl, taki wpis powinen przejść, bo mnie default'owo w Krakowie do ghnet.pl jako przestrzeń nazw chce zapisać), gdzie localnetwork czy inna taka opcja z podaniem wartości twoja.domena.pl.
2a) do DHCP (które albo będzie na routerze, albo gdy oprzesz ten cache DNS'owy na dnsmasq(DNS+DHCP), na serwerze gdzie masz inne usługi) podajesz adres DNS, adres maszyny, gdzie masz usługi oraz swojego DNS cache'a, czyli tutaj 192.168.0.2
2b) ustawiasz sztywnym klientom adres serwera DNS 192.168.0.2
Wtedy (na pewno może nie, ale z dużym prawdopodobieństwem ;) wpisując nazwę (nie IP) z localnetwork trafisz na wpis z /etc/host i wtedy adres jaki będzie się krył pod nazwę to adres lokalny, a jeśli z zewnątrz (hmm pewnie masz dyndns) to wpadnie na router, gdzie regułki forward przerzucą Cię na maszynę 192.168.0.2, bez dotykania tej całej sztucznej sieci DNS.
Hmm tak myślę ;)(...)
Hmm:) No cóż - gratuluję pomysłu. Udało się:)
Ten serwer za natem jest w tej chwili serwerem dns wewnątrz sieci (dhcp zajmuje się dalej router). Po zewnętrznym IP nadal z oczywiście nie mogę się dostać do tego serwera z wewnątrz sieci, ale po nazwie już tak. Serwer ten obsługuje kilka domen (między innymi jest to serwer pocztowy i www), ale wszystko działa jak należy.
Wielkie dzięki
Offline
OT: Buah: w życiu czegoś takiego nie implementowałem. Dziękuję ;)
Offline
radziojedi napisał(-a):
Jest sobie serwer za natem (nie istotne jaki: www, ssh...). Za bramkę robi zwykły tani router (niejaki blackbox) Przekierowanie wszystkich portów jest na ten serwer. Wewnątrz sieci oczywiście po wewnętrznych ip wszystko działa jak należy. Po zewnętrznym ip zewnątrz sieci też wszystko działa. Problem w tym, że chciałbym po zewnętrznym ip mieć dostęp do tego serwera wewnątrz sieci. Jaka funkcja, opcja routera odpowiada za coś takiego?
Nie miało szans zadziałania coś takiego. Jeśli na routerze ustawisz DMZ on robi nic innego jak przekierowuje pakiety na wybrany adres lokalny załóżmy z 89.89.89.89 na 10.0.0.1. I teraz gdy Ty łączysz sie na adres publiczny 89.89.89.89 mając adres 10.0.0.2 router owszem przekieruje to na 10.0.0.1 ale ten serwer widząc że SRC jest 10.0.0.2 ( w swojej sieci ) odpowie bezpośrednio do 10.0.0.2 ustawiając src 10.0.0.1 a nie jak tego oczekuje klient 89.89.89.89.
Offline
Strony: 1