CCIE.pl

site 4 CCIE wannabies
https://ccie.pl/

Access to web server from the same public network

https://ccie.pl/viewtopic.php?f=13&t=22413

Strona 1 z 1

Access to web server from the same public network

: 25 maja 2016, 11:18
autor: Bolo
Witam,
Mam takie oto środowisko:
2 x srx które działają jako bramy a nat-em dla sieci LAN. Każdy z nich jest oddzielnym gatewayem dla dwóch sieci w tej samej serwerowni. Interface do Internetu są z IP odpowiednio:

SRX A: 100.100.100.41/29

SRX B: 100.100.100.81/28

Urządzenia te wychodzą do Internetu przez ten sam router. Następnie z lokalizacji B mam wystawiony na zewnątrz serwer WWW na adresie 100.100.100.87. Wszystko jest ok. Jednak ktoś z lokalizacji A che dostać się ze swojego komputera powiedzmy 10.10.10.30 do tego serwera www. Niestety nie działa. Wydaje mi się, że trzeba w tym momencie zrobić dnat dla tego połączenia. Wymyśliłem coś takiego:

Kod: Zaznacz cały

pool des_usr30_80 {
    address 10.10.10.30/32 port 80;
,

Kod: Zaznacz cały

rule-set usr30-to-srv_pub {
    from zone zone-user30;
    rule dostep_do_publicznego_87 {
        match {
            source-address 10.10.10.30/32;
            destination-address 100.100.100.87/32;
        }
        then {
            destination-nat {
                pool {
                     des_usr30_80;
                }
            }
        }
    }
Brakuje jeszcze polisy z zony zone-internet do zony zone-user30.

Kod: Zaznacz cały

from zone  zone-internet to zone-user30
dest-add 100.100.100.87/32
source-add 10.10.10.30
appli junos-http
then permit
Czy ta konstrukcja ma możliwość zadziałać?
Niestety nie mam gdzie przetestować a produkcja jest nie do ruszenia.
Bardzo proszę o wskazówki
Pozdrawiam

Re: Access to web server from the same public network

: 25 maja 2016, 13:31
autor: michaliwanczuk
jak dla mnie powinno to zadziałać.
Mam pytanie czy nie lepiej zrobić połączenie poza siecią Internet ?

Re: Access to web server from the same public network

: 25 maja 2016, 14:05
autor: Bolo
tak właśnie zrobiłem
i zrobiłem polisę że:

from zone-user30
to zone-servers-polaczeniowka
sourece addr: 10.10.10.30
desct addr: 192.168.34.56/32 - (100.100.100.87)
applic: http
than permit

Re: Access to web server from the same public network

: 25 maja 2016, 15:03
autor: saiqard
przy source nat masz opcję "source-nat off"
Wyłącz natowanie dla adresacji pomiędzy lokalizacjami i zadbaj żeby routingi dla sieci wewnetrznych były widoczne na routerze
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl