Как сделать доступ к веб серверу?

Обсуждение ПО и его настройки
Ответить
voice4u
Сообщения: 3
Зарегистрирован: 12 ноя 2012, 09:13

12 ноя 2012, 09:43

Hi All
Возможно ли такое на Mikrotik...
(Модель используется RouterBOARD 2011UAS-2HnD-IN)

Описание ситуации:
Есть сеть, один из серверов в ней выполняет работу WEB/Почтовый/FTP серверов
На нем вертятся несколько сайтов
Доступ из вне имеется, а вот с внутренней сети доступа нет :-(
И из-за этого не возможно:
Зайти на сайты
Получить почту
и еще некоторые мелочи...
Вообщем некоторые сервисы не хотят работать
Подскажите плиз, как создать правило чтоб внутри-сетевые компьютеры имели доступ к этим сайтам?
До этого стоял обычные роутер ASUS WL-500GP с port-forwarding и все работало, но производительности не хватало


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

12 ноя 2012, 09:46

а сервер находится в локальной сети? в одной сети с теми, кто не может воспользоваться сервисами сервера?
покажите схему, с указанием сетей.


voice4u
Сообщения: 3
Зарегистрирован: 12 ноя 2012, 09:13

12 ноя 2012, 09:56

Внутренняя сеть
192.168.0.1(web-server) – тут несколько сайтов + почтовых серверов
192.168.0.2(раб.станция) - не может войти на сайты и получить почту
192.168.0.3(раб.станция) - не может войти на сайты и получить почту
192.168.0.4(раб.станция) - не может войти на сайты и получить почту
|
Mikrotik (на Mikrotik создан port-forwarding)
|
Интернет


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

12 ноя 2012, 10:09

а на рабочих станциях соответственно эти сайты\почтовые сервера dnslookup выдает с внешним адресом?
добавьте на мтик статические записи:

Код: Выделить всё

ip dns static add address=192.168.0.1 name=my.site.ru
ip dns static add address=192.168.0.1 name=my.mail.ru
...

т.е. укажите явно, что сервер в локальной сети и за ним не надо лезть во внешнюю сеть.


voice4u
Сообщения: 3
Зарегистрирован: 12 ноя 2012, 09:13

12 ноя 2012, 10:37

Спасибо, сейчас попробую, если заработает - отпишусь


Аватара пользователя
Dragon_Knight
Сообщения: 1711
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

12 ноя 2012, 11:14

Да, более грамотно это прописать запись в dns, но у меня небыль иного выхода, поэтому нашёл такое решение:
/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=[ЛОКАЛЬНЫЙ ETH] src-address=!192.168.0.1

Минус в том, что все локальные подключения будут идти от IP микротика.
Если в конце не указать HE[адрес сервера], то вообще все подключения будут от IP микротика, даже внешние...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram
  8. Если моя помощь была полезной и Вы хотите меня поблагодарить, то: ЮМани 41001203322337
Ответить