DNS Route IP pubblico a IP privato?


2

Ho un IP pubblico, diciamo, 123.45.67.89 e una rete privata di 192.168.1.0/24

Quando sono fuori dalla rete privata, posso collegarmi all'IP pubblico. Quando mi trovo all'interno della rete privata, non riesco a comunicare con l'IP pubblico (HTTP / IMAP / ecc.).

Mi è stato detto che il mio DNS dovrebbe risolversi nell'IP privato dall'IP pubblico all'interno della rete.

È vero e come potrei farlo? Sul server 2003 (il server DNS) ho impostato una ricerca inversa di 123.45.67.0 e ho creato un puntatore di 123.45.67.89 al mio nome host privato. Dopo un ipconfig / flushdns su un client, questo non sembra funzionare.

Risposte:


2

Il DNS non indirizza nulla: risolve solo i nomi.

La funzione che stai cercando è DNS split-horizon . È possibile configurare il server DNS per risolvere lo stesso nome in indirizzi diversi, a seconda della provenienza della richiesta. Per esempio:

192.168.0.1 → dnsserver:  query  'mail.example.com.' A
dnsserver → 192.168.0.1:  answer 'mail.example.com.' A 192.168.1.42

45.67.89.0 → dnsserver:   query  'mail.example.com.' A
dnsserver → 45.67.89.0:   answer 'mail.example.com.' A 123.456.78.9

Per Windows Server 2003, è necessario un secondo server DNS. Vedi queste due pagine per maggiori informazioni.


Sono abbastanza sicuro che questo sia al di fuori di quanto è necessario, come ho detto in un commento sopra, un router Linsys semplicemente ha funzionato perfettamente. Una volta sostituito con un router Cisco di livello industriale, non funzionava più. Sebbene possa funzionare, non ho un secondo server DNS.
gpresland,

Sbagli ad essere abbastanza sicuro. (Se conoscessi la risposta giusta, non saresti qui a porre la domanda, vero?) Questo è ciò che è necessario. grawityè giusto. MaQleodha detto la stessa cosa. Dico la stessa cosa. Cavolo, ci hai detto in quello stesso commento che i tuoi stessi amministratori di rete ti hanno detto la stessa cosa. Configurare il servizio DNS split-horizon. I tuoi amministratori di rete non forniscono più NAT a forcina e ti hanno detto di impostare i tuoi server DNS per fornire un servizio split-horizon. Quindi fallo!
JdeBP,

1

Il problema che stai riscontrando è che il router non ha l'attraversamento NAT abilitato. Se vuoi connetterti al tuo server dall'interno della rete dovrai abilitare NAT traversal (se è un'opzione) oppure dovrai usare l'IP privato. Dovresti anche essere in grado di utilizzare un'opzione DNS interna in cui un nome di dominio interno punta a quell'IP privato.
La configurazione di un record DNS pubblico in modo che punti a un IP privato o a un nome host non funzionerà.


L'uso dell'IP privato / nome dominio non è un'opzione. Ad esempio, il mio cellulare tira le e-mail dal nostro server tramite l'IP pubblico, funziona bene. Quando entro nell'edificio e mi collego alla rete wireless dell'edificio ottengo un IP privato e non riesco più a recuperare la posta elettronica dall'IP pubblico del server. In termini di attraversamento NAT, non ne sono sicuro. Tutto prima funzionava bene su un Linksys, ma un'azienda ha installato un router Cisco e ora l'IP pubblico all'interno non funziona più e mi hanno detto di configurare il mio DNS per risolvere l'IP pubblico con l'IP privato del nostro server. Il server DNS è su Server 2003.
gpresland

1
Penso che chiedere alle persone che hanno installato e possono gestire l'hardware Cisco sarebbe un buon inizio. Come dice @MaQleod, è necessario un cambio di configurazione per raggiungere il tuo obiettivo. Tuttavia, Cisco potrebbe essere stato configurato in questo modo intenzionalmente per risolvere un problema di sicurezza.
Dave M,

Li ho contattati e la loro risposta è stata quella di configurarlo sul mio server DNS, il che per me sembra errato. A condizione che tu stia utilizzando un server DNS di terze parti non funzionerebbe, cosa che non era il caso del router Linksys.
gpresland,

L'ironia, Dave M, è che gli stessi amministratori di rete probabilmente hanno chiesto " Come posso fare un tornante NAT con il kit Cisco ?" domanda da qualche parte come ServerFault, e ho la risposta che è in tutto il WWW: " Non mi conosco. Usa invece il DNS split-horizon " .
JdeBP,

1

La soluzione era utilizzare un nome host anziché l'IP pubblico. Il nome host utilizzato per l'IP pubblico era quello assegnato dall'ISP. Da lì, ho aggiunto una voce nel DNS per inoltrare il traffico al nome host all'IP privato. All'esterno della rete il nome host si risolverà ovviamente in un IP pubblico. Mi è stato detto che la ragione per cui questo non era un problema con il router Linksys era perché Linksys ha una sicurezza più debole e il motore NAT lo ha permesso. Il router Cisco non lo consentirà a causa della sicurezza. Non è possibile connettersi all'IP pubblico del router quando si trova dietro di esso su un IP privato.


0

È così che ho fatto. Il mio problema era che non riuscivo a connettere il mio iPhone al mio server di posta interno sulla connessione Wifi ma si stava connettendo bene senza alcun problema esternamente o su Internet mobile.

In realtà il problema era che il mio firewall (Cisco) non instradava internamente l'IP pubblico del server di posta. L'unica opzione per raggiungere questo obiettivo era quella di risolvere il nostro dominio di posta pubblico, ad esempio mail.myserver.co.uk, a un IP locale (privato) anziché IP pubblico. Non stiamo toccando voci DNS esterne e nemmeno noi possiamo.

Ecco cosa devi fare (su un ambiente Windows):

  1. Sul server DNS, fare clic con il pulsante destro del mouse su Zona di ricerca diretta e selezionare Nuova zona . Con tutte le impostazioni predefinite, inserisci il nome della zona come nome DNS del tuo server escluso l'ultimo dominio, ad es. Per mail.myserver.cominserire myserver.como per sales.myoffice.com, immettere myoffice.com.

  2. All'interno di questa zona creare una voce host AA, ovvero posta e IP dovrebbero essere il tuo IP privato, ad esempio 192.168.1.10ecc.

  3. Questo è. Ora devi assicurarti che il tuo dispositivo / iPhone abbia un nome DNS anziché un IP pubblico, ad esempio mail.myserver.co.ukecc.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.