Прокидання піддомена в локальну мережу, як, Рупор Петрозаводська
Може хто зможе допомогти, бо пів дня б'юся, і ніяк не можу придумати як.
Простим прокиданням портів, робити не хочеться.
- днс
- домен
- маршрутизація
- піддомен
Коментарі
Береш залізний маршрутизатор, в WAN встромляєш інтернет (прибиваєш статику до WANу, або вона сама прибивається), в LAN встромляєш свій сервер з win2008 та ін комп'ютери локальної мережі. Налаштовуєш в режимі роутера, включаєш NAT, робиш прокидання портів з всередину,( rdp наприклад або ін.) при необхідності робиш port triggering. Домен другого рівня перенаправляєш на свою статику, то де ти його купував (хостинг). Домени третього рівня розглядай у контексті твоєї локальної мережі як хочеш із відповідними сервісами. Прокид і тригерін. Якщо просто. А так обмеження грамотної локальної мережі з ресурсами довіряй фахівцям)) (без благодійності звичайно ж)
Дещо не зрозумів, але по порядку.
Щодо port triggering
ще раз, чого хочеться
скажімо для smb comp1.domain.ru ==> 192.168.0.1:445 comp2.domain.ru ==> 192.168.0.2:445 в ідеалі без портів зовсім, тобто. всі сервіси доступні за своїми дефолтними портами
Розумію, як працює DNS, і чому я написав не запрацює, але може їсти якесь рішення.
Eagle, Навіщо відкривати всім і вся? Прокид у тебе робить маршрутизатор або сервак на Win?
Подивися в керування dns зоною запис SRV
niknamex, прокидання через сервер на win. Усім і вся, це поки що, щоб хоч якось запрацювало srv, я так зрозумів, працює з обмеженою кількістю сервісів. Робив запис виду _ms-wbt-server._tcp IN SRV 0 5 40000 comp.domain.ru через nslookup пише, що все ок, але на запит rdp кидає всеі на сервер, а чи не на внутрішній хост. Працює, як з jabber, sip, ldap, http. Ну чи може в самому рядку, що не так, перебрав з десяток варіантів.
niknamex, Srv запис налаштовував на сторінці реєстратора. на запит _ms-wbt-server._tcp IN SRV 0 5 40000 comp.domain.ru
Тим не менш, rdp наполегливо лізе на comp.domain.ru:3389, потрапляючи відповідно на сервер.
судячи з http://www.rfc-editor.org/rfc/rfc2052.txt, srv працює тільки з finger, ftp, http, kerberos, ldap, msdcs, nntp, telnet, whois. Може тому й не працює.
З іншого боку, sip же та jabber працюють.
Загалом я збентежений
Eagle, Та не SRV все одно, як пропишеш, так і має працювати. Чи не вийде так що в кінцевому підсумку (якщо все вийде) станеш ріпу чухати як захиститися зробити не для всіх. Якщо тебе цікавить віддалена підтримка локальних клієнтів, то способів море не обов'язково 3389. А спеціально робити щоб усі локалки ззовні виділити, то причин не бачу. Та й інтернет прямо в сервак, мабуть, не роняли тобі його і не забивали сервіси. Візьми маршрутизатор та налаштування прокид груп портів, їх багато я не думаю що у тебе 65535 локалок всередині Трохи незручно але все залежить для яких цілей: робота, обслуговування, супровід, ін. політику безпеки доступу з поза теорією, переноси на практику
niknamex, мета чисто академічна, зробити саме так Про безліч способів віддаленої підтримки, чудово знаю також. А ламати нехай ламають, це просто тестова "лабораторія". Якщо коли-небудь працюватиму системним адміністратором, то природно стурбуюсь питаннями безпеки даної схеми (скоріше за все схема буде принципово іншою, зкупою різних "плюшок" спереду), а поки що потрібно розібратися.
Та й звичайно залізницю ніяку купувати не хочу, т.к. не знаю, що з нею потім робити
Eagle, У якого взяв доменне ім'я. Я брав на webnames.ru, там все зрозуміло в налаштуванні сервісу SRV запису. Все має працювати, ну відповідно якщо comp1.domain.ru port 12345, то він і буде звертатися на domain.ru на порт 12345, відповідно на серваку тобі сам розумієш що потрібно зробити, а одним 3389 на всі комп'ютери не потрапиш. Дивись уважно, що в правилах вхідних з'єднань на серваку. )
niknamex, а в мене наполегливо звертається на 3389, а не на 12345. Усередині все прокинуто як слід т.к. на domain.ru:12345 проходить. реєстратор reg.ru, панелька 2domains.ru
як хочу comp1.domain.ru:3389 ==> domain.ru:12345 comp2.domain.ru:3389 ==> domain.ru:54321 ітп Чи може таке svr? Я так розумію, може, але в мене не виходить.
niknamex, наскільки я розумію, запис повинен бути таким: _ms-wbt-server._tcp.comp.domain.ru IN SRV 0 5 12345 domain.ru
Androosha, логіка виходить така: порт 3389 (_ms-wbt-server) за протоколом TCP(_tcp) на домені comp.domain.ru відповідає порту 12345 за тим самим протоколом домену domain.ru (=>12.34.56.78, мова про пріоритети поки що не потрібно). Відповідно, залишилося прокинути потрібні порти, щоб (локальна мережа) 192.168.0.11:3389 12.34.56.78:12345 (зовнішня мережа). І за одне 192.168.0.22:3389 12.34.56.78:54321.
Androosha, ось що вийшло, а точніше не вийшло є А запис serv.domain.ru 192.168.1.1 ще А запис comp.domain.ru 192.168.1.1 SRV запис _ms-wbt-server._tcp .comp.domain.ru IN SRV 0 5 12345 serv.domain.ru
на сервері в NAT 192.168.1.1:12345 >>>172.16.1.1:3389
за записами serv.domain.ru:12345, comp.domain.ru:12345, відповідно потрапляю на той самий внутрішній хост
за записом serv.domain.ru потрапляю на 192.168.1.1:3389 та за записом comp.domain.ru потрапляю на 192.168.1.1:3389
тобто. чомусь srv запис не працює ось що дає nslookup по _ms-wbt-server._tcp.comp.domain.ru
Те ж саме з udp
p.s. навіщо 2 однакові А записи, хз, поки так пробую
На серваку у тебе скільки мережевих інтерфейсів і з чого ти заходиш на сервак?
srv запис виду _http._tcp IN SRV 0 0 12345 site1.domain.ru Ти де цей srv запис робиш.
niknamex, зрозуміло, я думав, що вінд РДП розуміє srv записи, і слухняно йде на вказаний порт. Дякую за вичерпну відповідь.
Думаю у цьому дискусія закінчена, т.к. завдання не вирішуване.
Eagle, Ні віндовий, ні який інший rdp не робить того, чого не просять. 1. SRV запис я звичайно мав на увазі не не серваку а на сервісі dns реєстратора. 2. на який ip і порт явно вказаний ти постукаєш той, якщо правила прописані явно, і відповість. 3. Я звичайно не всі знаю, але може бути rdp клієнт написаний наприклад на html, який в інтернет-браузері показує те що звичайний ) котрий може пов'язувати імена піддоменів або зазначені порти у віддалений доступ тому що ми всі це розуміємо ))
До того ж які правила для вхідного та вихідного трафіку на серваку прописані так воно і працює)
niknamex, Звичайно я ці записи робив, на дні реєстратора.
Тоді не розумію, навіщо взагалі потрібні ці srv записи, будь-який додаток "танком" довбатиметься на свій нативний порт.
Eagle, 1. У клієнті rdp у вкладці параметри пограй зі значеннями. Спробуйте не використовувати шлюз. 2. dnsзапис який змінюєш у реєстратора не відразу оновлюється. Буває так що треба почекати і довго, поки на всі сервери це проабдейтіться)
niknamex, шлюз не використовується dns запис змінюється майже відразу
Eagle, Ти впевнений про dns? Я ні.
До того ж за умовчанням
niknamex, днс оновлюється майже відразу, бо монітор пінг, і nslookup, оновлюється протягом хвилини, хоча там і написано протягом 72 годин.
Eagle, розв'язувана, але трохи не так, як ти хочеш. Можна зробити 100 500 серверів з доступом по rdp на одному IP. Якщо цікаво, поділюся.
JohnDoe, якщо це не буде типу domain.ru:65536, тоді, будь ласка, поділися
Eagle, так, це буде саме так.