Forum Debian Users Gang

radziojedi · 2011-02-21 21:05:35

Jest sobie serwer za natem (nie istotne jaki: www, ssh...). Za bramkę robi zwykły tani router (niejaki blackbox) Przekierowanie wszystkich portów jest na ten serwer. Wewnątrz sieci oczywiście po wewnętrznych ip wszystko działa jak należy. Po zewnętrznym ip zewnątrz sieci też wszystko działa. Problem w tym, że chciałbym po zewnętrznym ip mieć dostęp do tego serwera wewnątrz sieci. Jaka funkcja, opcja routera odpowiada za coś takiego?

Ostatnio edytowany przez radziojedi (2011-02-24 08:24:18)

paoolo · 2011-02-21 21:26:25

Zdemilitaryzowana zona?

Albo coś takiego: który IP adres ma być widoczny na zewnątrz?

Ostatnio edytowany przez paoolo (2011-02-21 21:27:11)

radziojedi · 2011-02-21 21:28:04

[quote=paoolo]Zdemilitaryzowana zona?

Albo coś takiego: który IP adres ma być widoczny na zewnątrz?[/quote]
zdemilitaryzowana

blinki · 2011-02-22 17:01:13

twoj router powinien mieć taką opcje jak forwarding (albo jakoś tak) lub jakaś inna opcja pozwalajaca ma przekierowanie portów na dany adres lokalny w sieci.

radziojedi · 2011-02-22 18:41:12

ee tam, nie rozumiecie:)
przekierowane porty są na ten serwer (zresztą to jest strefa zdemilitaryzowana) - dostać się na ten serwer z zewnątrz można
ja chciałbym móc po zewnętrznym ip dostać się do niego z wewnątrz sieci
czyli na przykład:
wewnątrz sieci, za natem jest serwer www, na którym jest strona www.debian.com
z zewnątrz mogę ją otworzyć wpisując w przeglądarkę: www.debian.com
z wewnątrz mogę ją otworzyć wpisując w przeglądarke: 192.168.1.100
chciałbym:
móc otworzyć tą stronę wewnątrz sieci wpisując: www.debian.com

lub:
wewnątrz sieci, za natem jest serwer ssh
z zewnątrz mogę się dostać wpisując: ssh ktos@zewnętrzny_ip
z wewnątrz mogę się dostać wpisując: ssh ktos@wewnętrzny_ip
chciałbym:
móc zalogować się wewnątrz sieci wpisując: ssh ktos@zewnętrzny_ip

mam nadzieję, że obrazowo przedstawiłem;)

paoolo · 2011-02-22 18:56:42

hmm trochę nie rozumiem praktycznej strony, ale taka może wystąpić: laptop, który raz jest wpięty do sieci wew. a raz łączy się z zew. raczej bym ustawił taki dla sieci lokalnej DNS (albo masqdns z wpisami z /etc/host z serwera), no i by ułatwić robotę DHCP.

Hmm sprawdziłem co to ten Black Box i... jeśli to ten najtańszy, to bym ustawił Forwarding na IP routera (wew.) na porty które udostępnia serwer który masz na innym adresie. O ile nie przyblokuje Ci to panelu administracyjnego. I o ile coś takiego zadziała :) Wtedy na pewno po wpisaniu IP router'a (wew.) powinno iść, a czy po wpisaniu IP zew. zadziała - nie wiem. Swoją drogą, czy to przypadkiem, w momencie gdy próbuje np. pingować adres zew. routera, nie wychodzi mi pakiet poza moją sieć?

Edit: nie wychodzi:

Kod:

traceroute to 83.xxx.xxx.xxx (83.xxx.xxx.xxx), 30 hops max, 60 byte packets
 1  192.168.2.1 (192.168.2.1)  0.198 ms  0.151 ms  0.323 ms
 2  192.168.0.1 (192.168.0.1)  4.004 ms  4.760 ms  5.910 ms

Skoki dwa, bo po drodze maszyna backup.

Hmm testuje to u siebie, ale jakoś router nie pozwala na forward. Jakikolwiek.

Hmm, okey, nie da się z sieci lokalnej (u mnie). Ten forward/NAT jest tylko na zew. interfejsy :|

Ostatnio edytowany przez paoolo (2011-02-22 19:25:21)

radziojedi · 2011-02-22 19:14:08

Przyznam się, że chyba nie rozumiem:)
To znaczy tak: przekierowuje port 80 na wew adres serwera. Wewnątrz sieci po adresie wewnętrznym mam dostęp do tego portu rzecz jasna, po adresie zewnętrznym już nie. Natomiast z zewnątrz sieci do portu 80 mojego serwera mam dostęp, bo przekierowałem port.
dns'y w sieci miałem 192.168.x.x (router), ale zmieniłem na dns'y mojego dostawcy 62.21.99.95, niestety to nic nie dało.

p.s. natomiast z wewnątrz sieci mogę pingować mój ip zewnętrzny, jeśli to ma jakieś znaczenie

Ostatnio edytowany przez radziojedi (2011-02-22 19:51:12)

paoolo · 2011-02-22 21:13:04

Hmm, powiem inaczej: swego czasu bawiłem się na wolnostojącym serwerze, czyli komp i Debian. Służył także to dzielenia łącza, ale że IP neostrady jest public (jedynie się tylko zmienia raz na 1440.5 minuty ;) oraz że było coś takiego jak dyn.pl (i nadal jest) to włączyłem swój komputer/serwer na świat. I gdy byłem na zew. to łącząc się z maszyną (po jakimś tam adres.dyn.pl) to się łączyłem z serwerem np. po SSH, dając ssh login@adres.dyn.pl. Logując się wew. wpisywałem, czy to ssh login@192.168.0.1 czy to ssh login@adres.dyn.pl to się łączyłem (różnica jakaś musiała być :)

No dobra, ale tu chodzi o sytuacje, gdy ma się router i żądany serwer na tym samym. No ale np. na maszynie 192.168.0.2 stawiam WWW. Więc mając bardziej konfigurowalne środowisko wew. systemu Debian, ustawiam przy pomocy iptables przekierowanie ruchu z interfejsu ppp0 (gdzie mam IP zew.) na porcie 80 TCP na adres wew. sieci (DNAT sie to chyba nazywa), oraz podobnie, chcący mieć ten efekt dla sieci lokalnej, ładuje regułkę forwardu dla interfejsu eth0 na port 80 TCP na adres:port maszyny 192.168.0.2:80. Wówczas, jak dedukuję, wpisując adres zew. serwera/routera skądkolwiek (czy to z LAN czy WAN), zostanę przekierowany na maszynę 192.168.0.2.

I to samo chciałem zrobić na routerze, sęk w tym, że pewnie te regułki dotyczące forwardu są tylko dla interfejsu ppp0 (czy coś innego analogicznego) i wówczas próba nawet wpisania 192.168.0.1 w przeglądarce zakończy się nie przekierowaniem na 192.168.0.2:80, ale na to co udostępnia router (podobnie gdybyśmy ustawili forward 22 na routerze na adres wew. sieci).

Czyli: pogrzeb jak Twój router ustawia te regułki forwardu (jakoś musi). Pingowanie niczego w tej sprawie w sumie nie wnosi :) Jedynie, że masz ICMP otwarte na świat (a to lepiej przyblokować).

Hmm wpadł mi pomysł:

1) postaw na serwerze gdzie masz usługi etc. dnsmasq/inne cóś, co robi za takie relay DNS. skonfiguruj tak, by ta usługa czerpała dane DNS z jakiś zew. serwerów (stałe od dostawcy) LUB z routera (jak wcześniej miałeś ustawione) ORAZ z własnych wpisów (np. z /etc/host, gdzie masz podane wpisy 192.168.0.2 server.twoja.domena.pl, taki wpis powinen przejść, bo mnie default'owo w Krakowie do ghnet.pl jako przestrzeń nazw chce zapisać), gdzie localnetwork czy inna taka opcja z podaniem wartości twoja.domena.pl.
2a) do DHCP (które albo będzie na routerze, albo gdy oprzesz ten cache DNS'owy na dnsmasq(DNS+DHCP), na serwerze gdzie masz inne usługi) podajesz adres DNS, adres maszyny, gdzie masz usługi oraz swojego DNS cache'a, czyli tutaj 192.168.0.2
2b) ustawiasz sztywnym klientom adres serwera DNS 192.168.0.2

Wtedy (na pewno może nie, ale z dużym prawdopodobieństwem ;) wpisując nazwę (nie IP) z localnetwork trafisz na wpis z /etc/host i wtedy adres jaki będzie się krył pod nazwę to adres lokalny, a jeśli z zewnątrz (hmm pewnie masz dyndns) to wpadnie na router, gdzie regułki forward przerzucą Cię na maszynę 192.168.0.2, bez dotykania tej całej sztucznej sieci DNS.

Hmm tak myślę ;)

Ostatnio edytowany przez paoolo (2011-02-22 21:41:44)

bercik · 2011-02-23 01:05:10

jezeli masz stale zewnetrzne ip to na komputerach wewnatrz sieci dodaj trase routingu na to ip:

Kod:

ip route add ip.ip.ip.ip/32 dev eth0

radziojedi · 2011-02-23 07:24:14

[quote=paoolo](...)1) postaw na serwerze gdzie masz usługi etc. dnsmasq/inne cóś, co robi za takie relay DNS. skonfiguruj tak, by ta usługa czerpała dane DNS z jakiś zew. serwerów (stałe od dostawcy) LUB z routera (jak wcześniej miałeś ustawione) ORAZ z własnych wpisów (np. z /etc/host, gdzie masz podane wpisy 192.168.0.2 server.twoja.domena.pl, taki wpis powinen przejść, bo mnie default'owo w Krakowie do ghnet.pl jako przestrzeń nazw chce zapisać), gdzie localnetwork czy inna taka opcja z podaniem wartości twoja.domena.pl.
2a) do DHCP (które albo będzie na routerze, albo gdy oprzesz ten cache DNS'owy na dnsmasq(DNS+DHCP), na serwerze gdzie masz inne usługi) podajesz adres DNS, adres maszyny, gdzie masz usługi oraz swojego DNS cache'a, czyli tutaj 192.168.0.2
2b) ustawiasz sztywnym klientom adres serwera DNS 192.168.0.2

Wtedy (na pewno może nie, ale z dużym prawdopodobieństwem ;) wpisując nazwę (nie IP) z localnetwork trafisz na wpis z /etc/host i wtedy adres jaki będzie się krył pod nazwę to adres lokalny, a jeśli z zewnątrz (hmm pewnie masz dyndns) to wpadnie na router, gdzie regułki forward przerzucą Cię na maszynę 192.168.0.2, bez dotykania tej całej sztucznej sieci DNS.
(...)[/quote]
trochę tak od d^&py strony, ale pewnie jakieś to rozwiązanie jest, na pewno spróbuję.

[quote=bercik]jezeli masz stale zewnetrzne ip to na komputerach wewnatrz sieci dodaj trase routingu na to ip:

Kod:

ip route add ip.ip.ip.ip/32 dev eth0

[/quote]
Niestety nie dało rady. Wydaje mi się, że jest to raczej jakaś bolączka routera. Teoretycznie w każdym routerze, jaki podłączałem w mojej sieci sytuacja przedstawiała się nastepującą: wpisywałem adres wew routera, otwierał się panel routera, wpisywałem adres zew sieci, otwierał się panel routera (i w takiej sytuacji ta cała sytuacja opisana wyżej działała tak, jakbym chciał) i nie trzeba było wpisywać ręcznie trasy routingu. W tym aktualnym routerze (blackboksie) jest to jakoś inaczej, dziwniej rozwiązane.

radziojedi · 2011-02-23 21:12:51

[quote=paoolo](...)Hmm wpadł mi pomysł:

1) postaw na serwerze gdzie masz usługi etc. dnsmasq/inne cóś, co robi za takie relay DNS. skonfiguruj tak, by ta usługa czerpała dane DNS z jakiś zew. serwerów (stałe od dostawcy) LUB z routera (jak wcześniej miałeś ustawione) ORAZ z własnych wpisów (np. z /etc/host, gdzie masz podane wpisy 192.168.0.2 server.twoja.domena.pl, taki wpis powinen przejść, bo mnie default'owo w Krakowie do ghnet.pl jako przestrzeń nazw chce zapisać), gdzie localnetwork czy inna taka opcja z podaniem wartości twoja.domena.pl.
2a) do DHCP (które albo będzie na routerze, albo gdy oprzesz ten cache DNS'owy na dnsmasq(DNS+DHCP), na serwerze gdzie masz inne usługi) podajesz adres DNS, adres maszyny, gdzie masz usługi oraz swojego DNS cache'a, czyli tutaj 192.168.0.2
2b) ustawiasz sztywnym klientom adres serwera DNS 192.168.0.2

Wtedy (na pewno może nie, ale z dużym prawdopodobieństwem ;) wpisując nazwę (nie IP) z localnetwork trafisz na wpis z /etc/host i wtedy adres jaki będzie się krył pod nazwę to adres lokalny, a jeśli z zewnątrz (hmm pewnie masz dyndns) to wpadnie na router, gdzie regułki forward przerzucą Cię na maszynę 192.168.0.2, bez dotykania tej całej sztucznej sieci DNS.

Hmm tak myślę ;)(...)[/quote]
Hmm:) No cóż - gratuluję pomysłu. Udało się:)
Ten serwer za natem jest w tej chwili serwerem dns wewnątrz sieci (dhcp zajmuje się dalej router). Po zewnętrznym IP nadal z oczywiście nie mogę się dostać do tego serwera z wewnątrz sieci, ale po nazwie już tak. Serwer ten obsługuje kilka domen (między innymi jest to serwer pocztowy i www), ale wszystko działa jak należy.
Wielkie dzięki

paoolo · 2011-02-23 23:39:13

OT: Buah: w życiu czegoś takiego nie implementowałem. Dziękuję ;)

maro · 2011-02-24 17:00:12

[quote=radziojedi]Jest sobie serwer za natem (nie istotne jaki: www, ssh...). Za bramkę robi zwykły tani router (niejaki blackbox) Przekierowanie wszystkich portów jest na ten serwer. Wewnątrz sieci oczywiście po wewnętrznych ip wszystko działa jak należy. Po zewnętrznym ip zewnątrz sieci też wszystko działa. Problem w tym, że chciałbym po zewnętrznym ip mieć dostęp do tego serwera wewnątrz sieci. Jaka funkcja, opcja routera odpowiada za coś takiego?[/quote]
Nie miało szans zadziałania coś takiego. Jeśli na routerze ustawisz DMZ on robi nic innego jak przekierowuje pakiety na wybrany adres lokalny załóżmy z 89.89.89.89 na 10.0.0.1. I teraz gdy Ty łączysz sie na adres publiczny 89.89.89.89 mając adres 10.0.0.2 router owszem przekieruje to na 10.0.0.1 ale ten serwer widząc że SRC jest 10.0.0.2 ( w swojej sieci ) odpowie bezpośrednio do 10.0.0.2 ustawiając src 10.0.0.1 a nie jak tego oczekuje klient 89.89.89.89.

Time (s)	Query
0.00011	SET CHARSET latin2
0.00005	SET NAMES latin2
0.00201	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.217.218.1' WHERE u.id=1
0.00076	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.217.218.1', 1716283537)
0.00072	SELECT * FROM punbb_online WHERE logged<1716283237
0.00070	SELECT topic_id FROM punbb_posts WHERE id=166694
0.00220	SELECT id FROM punbb_posts WHERE topic_id=18392 ORDER BY posted
0.00126	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=18392 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00120	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=18392 ORDER BY p.id LIMIT 0,25
0.00121	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=18392
Total query time: 0.01027 s

Forum Debian Users Gang

Ogłoszenie

#1 2011-02-21 21:05:35

radziojedi - Gambini

serwer za Natem i dostęp wewnątrz sieci po zewnętrznym IP (SOLVED)

#2 2011-02-21 21:26:25

paoolo - Oldtimer

Re: serwer za Natem i dostęp wewnątrz sieci po zewnętrznym IP (SOLVED)

#3 2011-02-21 21:28:04

radziojedi - Gambini

Re: serwer za Natem i dostęp wewnątrz sieci po zewnętrznym IP (SOLVED)

#4 2011-02-22 17:01:13

blinki - Użytkownik

Re: serwer za Natem i dostęp wewnątrz sieci po zewnętrznym IP (SOLVED)

#5 2011-02-22 18:41:12

radziojedi - Gambini

Re: serwer za Natem i dostęp wewnątrz sieci po zewnętrznym IP (SOLVED)

#6 2011-02-22 18:56:42

paoolo - Oldtimer

Re: serwer za Natem i dostęp wewnątrz sieci po zewnętrznym IP (SOLVED)

Kod:

#7 2011-02-22 19:14:08

radziojedi - Gambini

Re: serwer za Natem i dostęp wewnątrz sieci po zewnętrznym IP (SOLVED)

#8 2011-02-22 21:13:04

paoolo - Oldtimer

Re: serwer za Natem i dostęp wewnątrz sieci po zewnętrznym IP (SOLVED)

#9 2011-02-23 01:05:10

bercik - Moderator Mamut

Re: serwer za Natem i dostęp wewnątrz sieci po zewnętrznym IP (SOLVED)

Kod:

#10 2011-02-23 07:24:14

radziojedi - Gambini

Re: serwer za Natem i dostęp wewnątrz sieci po zewnętrznym IP (SOLVED)

Kod:

#11 2011-02-23 21:12:51

radziojedi - Gambini

Re: serwer za Natem i dostęp wewnątrz sieci po zewnętrznym IP (SOLVED)

#12 2011-02-23 23:39:13

paoolo - Oldtimer

Re: serwer za Natem i dostęp wewnątrz sieci po zewnętrznym IP (SOLVED)

#13 2011-02-24 17:00:12

maro - Użytkownik

Re: serwer za Natem i dostęp wewnątrz sieci po zewnętrznym IP (SOLVED)

Stopka forum

Informacje debugowania