Access to web server from the same public network

JunOS / Juniper / Netscreen
Wiadomość
Autor
Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

Access to web server from the same public network

#1

#1 Post autor: Bolo »

Witam,
Mam takie oto środowisko:
2 x srx które działają jako bramy a nat-em dla sieci LAN. Każdy z nich jest oddzielnym gatewayem dla dwóch sieci w tej samej serwerowni. Interface do Internetu są z IP odpowiednio:

SRX A: 100.100.100.41/29

SRX B: 100.100.100.81/28

Urządzenia te wychodzą do Internetu przez ten sam router. Następnie z lokalizacji B mam wystawiony na zewnątrz serwer WWW na adresie 100.100.100.87. Wszystko jest ok. Jednak ktoś z lokalizacji A che dostać się ze swojego komputera powiedzmy 10.10.10.30 do tego serwera www. Niestety nie działa. Wydaje mi się, że trzeba w tym momencie zrobić dnat dla tego połączenia. Wymyśliłem coś takiego:

Kod: Zaznacz cały

pool des_usr30_80 {
    address 10.10.10.30/32 port 80;
,

Kod: Zaznacz cały

rule-set usr30-to-srv_pub {
    from zone zone-user30;
    rule dostep_do_publicznego_87 {
        match {
            source-address 10.10.10.30/32;
            destination-address 100.100.100.87/32;
        }
        then {
            destination-nat {
                pool {
                     des_usr30_80;
                }
            }
        }
    }
Brakuje jeszcze polisy z zony zone-internet do zony zone-user30.

Kod: Zaznacz cały

from zone  zone-internet to zone-user30
dest-add 100.100.100.87/32
source-add 10.10.10.30
appli junos-http
then permit
Czy ta konstrukcja ma możliwość zadziałać?
Niestety nie mam gdzie przetestować a produkcja jest nie do ruszenia.
Bardzo proszę o wskazówki
Pozdrawiam

michaliwanczuk
wannabe
wannabe
Posty: 187
Rejestracja: 17 kwie 2010, 21:48
Kontakt:

Re: Access to web server from the same public network

#2

#2 Post autor: michaliwanczuk »

jak dla mnie powinno to zadziałać.
Mam pytanie czy nie lepiej zrobić połączenie poza siecią Internet ?
Michał

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

Re: Access to web server from the same public network

#3

#3 Post autor: Bolo »

tak właśnie zrobiłem
i zrobiłem polisę że:

from zone-user30
to zone-servers-polaczeniowka
sourece addr: 10.10.10.30
desct addr: 192.168.34.56/32 - (100.100.100.87)
applic: http
than permit

saiqard
wannabe
wannabe
Posty: 385
Rejestracja: 09 lip 2012, 22:10
Lokalizacja: Wałbrzych/Wrocław

Re: Access to web server from the same public network

#4

#4 Post autor: saiqard »

przy source nat masz opcję "source-nat off"
Wyłącz natowanie dla adresacji pomiędzy lokalizacjami i zadbaj żeby routingi dla sieci wewnetrznych były widoczne na routerze
PCNSA PCNSE JNCIP-DC JNCDA JNCIA-SEC JNCIA-JUNOS JNCIA-CLOUD CCNA-RS

ODPOWIEDZ