nefunguju stranky z apache server v lokalnej sieti

[mraz]

Zdravim, mam siet:
dsl modem (bridge mode) <--> mikrotik router s pppoe (192.168.88.1)

do mikrotiku je pripojeny server kde bezi apache server s ip 192.168.88.2
dalej su tam klientske pc s ip 192.168.88.60 a viac.

Na port 80 mam nastaveny port forwarding na server, web administracia je presunuta na port 81.

Z vonku z internetu funguje pristup na apache normalne zada sa domena, zobrazi sa stranka. Avsak nefunguej to z lokalnej siete v ramci mikrotiku. Chrome hlasi "net::ERR_CONNECTION_REFUSED", "Táto webová stránka nie je k dispozícii". Ked zadam v lokalnej sieti lokalnu ip serveru tj. 192.168.88.2 zobrazi sa default apache stranke avsak ja potrebujem aby mi tam fungovali virtualhosty, je tam viac domen.

Nastavenie port-forwardingu:

2 chain=dstnat action=dst-nat to-addresses=192.168.88.2 to-ports=80 protocol=tcp in-interface=pppoe-out1 dst-port=80

Tusi niekto kde moze byt zrada? Dik

[Mazzalo]

Uz se to tu řešilo několikrát, hledej hairpin nat.
Jenom podotázka: provozuješ několik domén na ADSL-ku?

[travel21]

Zdravim, mam siet:
dsl modem (bridge mode) <--> mikrotik router s pppoe (192.168.88.1)

do mikrotiku je pripojeny server kde bezi apache server s ip 192.168.88.2
dalej su tam klientske pc s ip 192.168.88.60 a viac.

Na port 80 mam nastaveny port forwarding na server, web administracia je presunuta na port 81.

Z vonku z internetu funguje pristup na apache normalne zada sa domena, zobrazi sa stranka. Avsak nefunguej to z lokalnej siete v ramci mikrotiku. Chrome hlasi "net::ERR_CONNECTION_REFUSED", "Táto webová stránka nie je k dispozícii". Ked zadam v lokalnej sieti lokalnu ip serveru tj. 192.168.88.2 zobrazi sa default apache stranke avsak ja potrebujem aby mi tam fungovali virtualhosty, je tam viac domen.

Nastavenie port-forwardingu:

2 chain=dstnat action=dst-nat to-addresses=192.168.88.2 to-ports=80 protocol=tcp in-interface=pppoe-out1 dst-port=80

Tusi niekto kde moze byt zrada? Dik

Né moc košér, ale já to řeším zjednodušeně tak, že si v MK nastavím statické DNS A záznamy, třeba několik pro jednu IP a na klientech v lokále používám DNS toho mikrotiku. To funguje určitě, ale dá se to řešit i přes ten SRC-NAT tuším.

[hapi]

taky jsem používal jiný dns záznamy pro vnitřní síť. To mě rychle přešlo protože až si vemeš nějaký přenosný zařízení jinam tak to bude nedostupný.

[Majklik]

Přesně tak, řešení s multiview DNS (kdy něco jiného vidí klienti uvnitř a něco jiného veřejný internet) je hezké, ale naráží na to, že řada zařízení nedělá korektně flush a pak se člověk diví.
Jinak k řešeníé tohoto, já už to dělám tak, že takovéto servery vždy strkám na vyhrazneý segment, zkrátka DMZ a odevšad je vidět i v DNS i pod stejnou IP adresou. A buď ty veřejná IPčka jsou přímo na tom serveru v tom segmentu nebo router udělá jako dst nat stejně pro přístupy odkudkoliv. A router před tím funguje i jako firewall, takže tne server nepustí nikam jinam, než kam může. Takže i kdyby ten apache hacknuli, tak z něj se nedostnaou nikam dovnitř a ani spamy z něj posílat nepůjdou, protože ten router před tím na hraně dmz ho nikam nepustí.

[hapi]

rozveď prosím nastavení filtru pro DMZ. Chápu správně, že jednoduše uděláš druhej subnet do kterýho dáš server a na routeru dst-nat... prosté a funkční, také to tak dělám.

[Lien]

taky jsem používal jiný dns záznamy pro vnitřní síť. To mě rychle přešlo protože až si vemeš nějaký přenosný zařízení jinam tak to bude nedostupný.

Tohle mě zajímá: mám nastavený v DNS na mikrotiku, že www.blabla.cz je 192.168.1.1 a obchodníci mi běžně pendlují po světě a ještě si (zatím) nikdo nestěžoval... Jaké s tím máš špatné zkušenosti ?

[Majklik]

Záleží, co v tom DMZ máš. Pokud takovýto, kde je jen Apache, který nemá normálně potřebu nikam spojení, tak zkrátka z DMZ nemá povoleno navaovat spojení ven, jenom na dvě povolené adresy NTP serverů NTP protokolem tempem max 1 paket/min, právo spojit se na jednu SMTP adresu pro předávání logů mailem a tečka. Ani veřejné DNS nevidí. Zkrátka mám defaultně forward odevšad vyslověně zakázán a povoluje se jen co potřeba.

[Majklik]

Tohle mě zajímá: mám nastavený v DNS na mikrotiku, že http://www.blabla.cz je 192.168.1.1 a obchodníci mi běžně pendlují po světě a ještě si (zatím) nikdo nestěžoval... Jaké s tím máš špatné zkušenosti ?

Přesně v této konfiguraci mi pak volali, že se nemůže spojit na server. Kde jsi? Doma. Dej ping www.blabla.cz, co ti to píše? Píše mi, že spojení k 192.168.1.1 je nedostupné. Napiš "ipconfig /flushdns". Co ti teď píše tne ping? Jo, už to odpovídá z 2.3.4.5. Zkrátka někdy se stane to, že jak se změní konektivita, tak by měl systém věš v DNS cache zahodit a znova načíst, ale občas se tak nestane. Obzvláště pokud je v práci, notebook zaklapl-uspal, doma probudil a bylo. Tohle dělaly XPčka. Pro novější wokna je ještě vylepšení, že občas při takovémto přestěhování nezmění ani adresy DNS serverů z těch firemních na lokální (asi chce Microsoft donutit všechny k tomu jejich trvalému direct connect ).

[Lien]

Aha, tak to je dobré vědět
Tak až to nastane, tak to pořeším... díky za info.

[Majklik]

Jinak někdy ani to ipconfig flushdns neřeší vše. Ale to je pak problém konkrétních aplikací, které fungují tak, že user je ve firmě, pustí program, ten si nažere že to http://www.blabla.cz je 192.168.1.1 a spojuje se. KDyž kompl uspím, odnesu domů, připojím k síti, tak i když se korektně obnoví samo DNS, tak stále běžící probuzený program dělá reconnet stále na tu 192.168.1.1 a spojení se nekoná... Zkrátka daná aplikace je blbě napsaná a nedělá po přerušení spojení to, aby udělal celé incicializační kolečno i s dns dotazem , ale jede jen kolečko přes IP naučené při svém startu a jen tom úvodním DNS resolvingu.... Uživatelé se časem sami naučí dělat aspoň poctivý shutdown/start noťasu nebo vypnout/zapnout mobil při přemístění a až jim jich začne být člověku líto (nebo prskat pan generální ředitel), tak to sjednotí na veřejné IP.

[travel21]

taky jsem používal jiný dns záznamy pro vnitřní síť. To mě rychle přešlo protože až si vemeš nějaký přenosný zařízení jinam tak to bude nedostupný.

To nemohu souhlasit, používáme to ve firmě už dobrých 5 let, na lokále mám emailový server ZIMBRU schovaný za natem, který je přístupný pro obchoďáky i ostatní z venčí plus JIRA ta je taky na serveru v lokální síti. Z lokálu to překládám na 10.10.x.x a z venčí je to dostupné přes věřejnou, kde to forwarduju na lokál. Můžu tě ujistit že obchoďáci jezdí s notebookama do světa a pak jsou zase ve firmě. Pak tam máme asi 30 androidů telefonů, které jedou přes IMAP na zimbru z 3G sítě když jsou venku a zároveň zevnitř když jsou v práci. Nikdy nebyl jedinný problém. Ale samozřejmě vím, že to není čisté řešení, kdyby mi to ale nefungovalo ohlížel bych se již dávno po jiném a vím že existuje. Co jsem musel akorát vyřešit aby šli odesílat emaily z mobilu i když jsi připojen na wifi v lokální siti. Telefony mají nastaven SMTP na smtp.t-email.cz, z jiné sítě tě však T-Mobile do svého SMTP nepustí což je logické. Proto DST-NATem pro IP rozsah mobilních telefonů a notebooků měním hlavičku paketu a posílám to na přes náš emailový server. Pokud se přepnou na 3G tak vše funguje standardně.

Pozn. Na lokále používám vlany a DHCP, které vnutí PC pouze jedno DNS a to mého mikrotiku.