LINUX.ORG.RU
ФорумAdmin

По внешнему ip из локальной сети.


0

1

Друзья! Всем привет. Подскажите как бы Вы решали вот такую проблему:

Представим офисного сотрудника который до приезда в офис сидел в кафе со своим ноутбуком и любимым Outlook читал корпоративную почту. Посидел, почитал. Закрыл крышку. Приехал в офис. Пришёл в офис, воткнул ethernet кабель (чтобы иметь все локальные ресурсы и большую скорость) - открыл крышку чтобы продолжить читать любимым Outlook почту, а тут хопачки... Обломчик. Так-как с улицы оно было: mail.company.ru 62.26.262.45, а внутри локалки всё же это уже нечто вида: mail.company.ru 192.168.15.12. Эта проблема легко решается перезапуском outlook. - Он при запуске обновит кеш DNS и всё будет в шоколаде. Но вот как бы сделал ты уважаемый ЛОРовец, чтобы не приходилось перезапускать outlook в таком случае?

P.S. речь не только об outlook, есть и другие ресурсы.

Тут есть два варианта видимо:

Вариант 1: сделать чтобы внутренний DNS возвращал внешний ip, и видимо все кто приходили бы из вне, шли на наш шлюз, шлюз бы делал NAT и прокидывал бы обратно во внутрь - но это же очень, очень криво... и медлено. Не вижу смысла так тупо гонять трафик.

Вариант 2: DNS не трогаем, однако всем тем кто пришёл на внешний адрес из локальной сети попрежнему делаем NAT. А через время когда почтовый клиент сам обновит свой кеш DNS, клиент уже придёт на внутренний адрес... - Вроде бы и не плохое решение. Однако не очень понятно как тотже почтовый клиент себя в таком случае поведёт в случае использования SSL? И опять-же в этом случае когда сотрудник уйдёт из офиса обратно в уютную кафешку, ему таки придётся перезапустить outlook, чтобы тот из внешнего DNS снова взял внешний ip адрес.

Может есть что-то более умное и красивое в этом отношении? Уж больно мне не хочется извращаться с NAT внутри своей же локальной сети.

Спасибо!

★★★★★

Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от invokercd

http://wiki.mikrotik.com/wiki/Hairpin_NAT это оно чтоль? Ужас то какой... Фактически весь трафик гонится через шлюз. Жутковато... Шлюз из NAT становится неким прокси уровня L3 всё ли я верно понял? Мне надо гигабайты гонять трафика. :(

DALDON ★★★★★
() автор топика
Ответ на: комментарий от MikeDM

Сейчас столько много дерьма юзеры напокупали (говноайфоны, айпады, ведройды, ноуты), что это малореализуемо... Все хотят мобильность, удобство и простоту. VPN - тут явно не удовлетворяет никаким требованиям.

Мало блин того. На работе имеют комп, и когда приходят - включат комп для вида, а сами тыркаются в эти чудо экраны размером в спичечную коробочку и считают что так модно и молодёжно...

DALDON ★★★★★
() автор топика
Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от DALDON

VPN - тут явно не удовлетворяет никаким требованиям.

Да я тебе говорю - корпоративный VPN для этого и придумали. айфоны и айпады L2TP из коропки умеют. Если руки из нужного места растут - то все реализуемо.

MikeDM ★★★★★
()
Ответ на: комментарий от MikeDM

Меня терзают очень смутные сомнения, что этот L2TP будет работать с островов Тайланда из зассаной гостиницы с диким лайтенси через отваливающийся wi-fi... http - худо-бедно работает.

Но в целом - покопаю тему. :)

DALDON ★★★★★
() автор топика
Ответ на: комментарий от DALDON

А что твоему шлюзу то будет? Траффик не будет же уходить вовне, да и сколько этого траффика там будет такого суммарно? Я такое настроил на древней Cisco ASA 5510, в сети на 300+ юзеров проблем нет.

blind_oracle ★★★★★
()

Твоя проблема - в кэшировании днсовых запросов на клиенте.
И тут мы вспоминаем, что днс-записи имеют такой параметр, как TTL, каковой параметр должен учитываться кэшем.
Понятное дело, что выставлять на А-записи TTL размером в минуту не совсем правильно, думаем мы. (EDIT: а в принципе, почему бы и нет?) И тут же вспоминаем про такую штуку, как CNAME.
Вперед тестировать, мне лень.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)

OpenVPN ? Тогда, в любом случае, коннект к серверу и работа с одного IP. Хотя, L2TP советовали уже. :-)

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)

Вариант 1: сделать чтобы внутренний DNS возвращал внешний ip, и видимо все кто приходили бы из вне, шли на наш шлюз, шлюз бы делал NAT и прокидывал бы обратно во внутрь - но это же очень, очень криво... и медлено. Не вижу смысла так тупо гонять трафик.

этот вариант. остальное - городить костыли ради почты? впн? долбанулись чтоли?

stave ★★★★★
()
Ответ на: комментарий от blind_oracle

У меня не только почта, но и alfresco планируется. :( Вот и думаю... Гонять все документы таким вот образом не очень красиво будет. А точнее прям со всем не красиво. Но в целом уже созрел некий компромиссный вариант. :) Можно wi-fi пользователям отдавать внешний адрес, а проводным - внутренний. Или пойти по второму варианту. Пока в кеше жив внешний адрес, будет ходить через NAT, как только умрёт - будет так ходить...

DALDON ★★★★★
() автор топика
Ответ на: комментарий от stave

Да тут не только дело в почте, будет ещё парочка web сервисов... Но в любом случае, всё будет web или мобильный клиент. Ну тот-же web по сути.

Прям ну я не знаю... Так вот трафик страшным образом гонять. Смущает. Думал, может чего-то уже изобрели поинтереснее.

DALDON ★★★★★
() автор топика
Ответ на: комментарий от thesis

Ты знаешь, я думаю что TTL к кешированию в приложениях не имеет никакого отношения. Мне думается на этот параметр смотрит только DNS.

DALDON ★★★★★
() автор топика
Ответ на: комментарий от DALDON

к кешированию в приложениях

Ага. О кэшировании «в приложениях»:

Служба DNS-клиента (dnscache) кэширует имена DNS (Domain Name System) и регистрирует полное имя данного компьютера. Если служба остановлена, разрешение имен DNS будет продолжаться. Однако результаты очередей имен DNS не будут кэшироваться, и имя компьютера не будет зарегистрировано.

И таки есть мнение, что этот кэширующий клиент умеет чтить ттл. Но проверять, повторюсь, лень. Или ты считаешь, что каждая гадость типа ворда или аутлука таскает за собой свой личный кэш имён?
Вот уж не думаю.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от DALDON

Да всем внутре надо отдавать внутренний адрес и все. Но и сделать hairpin для тех немногих, кто юзает кешированый адрес. Таких будет совсем мало и то недолго, пока кеш не протухнет.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Да, это мой второй вариант. :)

Как считаешь с SSL/https и прочими прелестями не должно возникнуть проблем?

Только конечно с обратным переключением могут возникнуть проблемы. Когда они уйдут из офиса и прицепятся к 3G. Ну опять-же я могу конечно в офисе поставить малый TTL на внутренний адрес.

DALDON ★★★★★
() автор топика
Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от thesis

Спасибо тебе большое! Век живу - век учусь. Теперь бы понять как в samba4 посмотреть SOA TTL... :) Или нафиг прикрутить к ней bind чтоль...

DALDON ★★★★★
() автор топика
Ответ на: комментарий от thesis

Нет, нет у меня почта вида: mail.mycompany.ru, а имя домена хочу сделать: mycompany.ru. Просто совсем не ясно чего выставляет внутренний DNS от самбы.

Гляди, я так понимаю по умолчанию ставит 1час samba (3600 сек):

~# dig +nocmd +multiline +noall +answer any tokk.domain
tokk.domain.		3600 IN	SOA ldapdc.tokk.domain. hostmaster.tokk.domain. (
				6          ; serial
				900        ; refresh (15 minutes)
				600        ; retry (10 minutes)
				86400      ; expire (1 day)
				0          ; minimum (0 seconds)
				)

А тут чудеса смотри какие:

# dig +nocmd +noall +answer alfresco.tokk.domain
alfresco.tokk.domain.	0	IN	A	192.168.2.4

Почему ноль нафиг? :)

Ты умный человек, может за одно подскажешь:

Сейчас у нас стоит FreeBSD 6, с очень старым BIND, на этом очень старом BIND очень много тупых зон вида: mycompany.ru, company.lan, company.local — откровенно говоря весь этот зоопарк мне уже поднадоело поддерживать. Хочется обновить samba. Cейчас полудохлый домен на samba 3 и LDAP на samba 4.0, но так-как мне нужен SSO, я подумал сразу обновитсья до samba 4.1 и пользоваться её DNSом, или прикрутить BIND.

Скажи мне почему везде пишут примерно такое:

If your website is example.com, the domain of your AD should be a subdomain of it, like samdom.example.com (or ad.example.com, corp.example.com). Avoid using example.com internally. 

Я вот сейчас планирую назвать домен mycompany.ru , сайты у меня вида: mail.mycompany.ru. Чем чревато, что я назову домен как и мой домен второго уровня? Заколебался я поддерживать эти тупые локальные зоны. Ибо потом приходится мудрить вечно... Всякие дублирования делать, CNAME, DOMAINSYFFIX определять и всё прочее. Надоело. :)

DALDON ★★★★★
() автор топика
Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от DALDON

Ну, наверное самба создает А-записи для доменных машин с ТТЛ=0. По идее, такое вообще не должно кэшироваться - так и пусть, это тебе и нужно.
То, что ты называешь «умолчальным» ТТЛ - это не время, выставляемое новым создаваемым записям, а время жизни SOA и ошибок зоны, например. Типа возвращает сервер NXDOMAIN, а клиент понимает, что этот NXDOMAIN действует ровно час, а потом можно и переспросить. Вроде не вру, хотя мои слова стоило бы проверить.
Сейчас глянул у себя на виртуалке, там дебиан, самба 4.1.3 от sernet, машинка с винХР при регистрации завелась с TTL=1200. Фиг знает, почему у тебя ноль. Но у меня днс-бэкендом бинд работает.

the domain of your AD should be a subdomain

Как я понял, только ради того, чтобы не смешивать в кучу клиентские машины и публичные корпоративные сервисы. Типа - всякие http://www.corp.com создаем руками, экспорт зоны corp.com и ее видимость снаружи настраиваем аккуратно и руками, а в зоне domain.corp.com в это время рулит самба и царит адъ. Ну и чтобы юзер, вписав в браузере http://corp.com, не приходил сперва на айпишник самбы, а попадал сразу куда нужно. Такие вот эстетические штуки. Других объяснений я не встречал, тестовый домен с именем второго уровня поднимал и мучал - вроде работает. Да и пробегали тут чуваки, у которых домен с именем второго уровня на самбе крутится в продакшене - вроде жаловались не больше остальных.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Спасибо тебе большое!

Можешь сделать на своей самбе команды аналогичные моим? dig имею ввиду. Давай ради интереса посмотрим. :)

Подскажи пожалуйста: ты поставил samba 4 от sernet - её я тоже и хочу ставить как раз. Ты BIND под неё собирал из исходников? Или BIND который есть в debian заработал? Ты настраивал DDNS? Кто и по каким правилам у тебя обновляет BIND? Моя мечта, чтобы один BIND смогла бы обновлять и samba, и смог бы обновлять dhcpd3. Что-то можешь посоветовать? У нас старая компания, и всё уже старенькое, хочется немного хоть обновиться чтоль... И чтобы поменьше руками потом делать.

DALDON ★★★★★
() автор топика
Ответ на: комментарий от DALDON

Не успел камент дополнить, допишу здесь:
Ты будешь хохотаться, но я глянул линуксовую доменную машину, и таки да, она при втыкании в самбадомен была зарегистрирована с ТТЛ=0. То есть, это прикол линуксячьей клиентской стороны.

Бинд брал из дебьяновых реп, текущий стабильный. Завелся, клиенты регистрируются. Это все было чиста пазырить, как там нынче дела, то есть глубоко я не копал, с динамикой и обменом зонами, боюсь, не помогу.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Так самое интересное, что: alfresco.tokk.domain я создавал руками из оснастки DNS в офтопике. :)

Спасибо! Буду ковыряться.

DALDON ★★★★★
() автор топика
Ответ на: комментарий от thesis
root@ldapdc:~# dig +nocmd +noall +answer ldapdc.tokk.domain
ldapdc.tokk.domain.	900	IN	A	192.168.2.19
root@ldapdc:~# dig +nocmd +noall +answer win-2008.tokk.domain
win-2008.tokk.domain.	1200	IN	A	192.168.2.105

Вот прикол то... ldapdc - создавался сам при установке домена. win-2008 - сам создался при вводе в домен. У всех разные TTL

DALDON ★★★★★
() автор топика
Ответ на: комментарий от DALDON

Незашто.
ldapdc это сам самбаконтроллер? У меня он тоже с 900.
Такое вот, стало быть, у него поведение. Сам 900, а клиенты - кто как захочет при регистрации.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от DALDON

Но в целом - покопаю тему. :)

в качестве серверной части весьма рекомендую softethervpn Оно опенсорсное и много чего из коробки умеет, в том числе одновременно быть и OpenVPN и L2TP сервером.

будут вопросы более серьезные - пиши на почту. есть в профиле.

MikeDM ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.