[問答] 當內部電腦連線到對外IP時發生失敗

作者SmallBeeWayn (喵喵叫的蜜蜂貓)

看板Network

標題[問答] 當內部電腦連線到對外IP時發生失敗

時間Wed Nov 10 21:37:46 2010

實體架構是所有電腦、伺服器、中華電信主機都連到同一台Switch 平常的話是電腦用NAT連到伺服器，再從伺服器用公用IP通外界伺服器有架網站伺服器，平時寫網站有時候需要連到網頁做測試因為有使用VirtualHost，所以必須連到網址而不是IP位置因為連的是網址，DNS給的當然是伺服器的外部IP 這樣的話連上網頁伺服器的路徑變成電腦====>伺服器====>網路路由器====>伺服器等於是出外繞一圈.... 而且有的時候會連不上，或是部分文件沒收到(錯誤101) 目前的想到的解決方法有三 1.修改電腦的hosts，將網址指向伺服器內部IP 2.在伺服器的Private DNS Server上把網址指向內部IP 3.電腦自己PPPoE撥號但是我最希望的是第四解 4.修改伺服器的路由將由內部IP通往外部IP的信息收下來理論上第三解應該是自動的(伺服器知道自己的所有IP，我沒有用DMZ) 但是根據tracert的結果，我確信自己經過了兩次路由(伺服器+外部路由)才回到伺服器提供NAT及負責撥號的都是Windows 2008 路由及遠端存取服務網路是中華電信光世代固1+浮7的形式解決方法應該是在靜態路由或是服務設定之類的地方想問知道的人該怎麼處理? -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.116.180.163

推 wst2080:這樣講好了~ 你都透過FQDN來進行存取,而名稱解析就是靠著 11/10 22:36

推 wst2080:Hosts 或者 DNS 來幫你進行解析~ 而你不在內部做解析的話 11/10 22:37

推 wst2080:當然就會透過外部的DNS來幫你解析,解析出來的結果就是外部 11/10 22:37

推 wst2080:的IP~ 當然很多NAT的機制都是拒絕Private IP從WAN導入進來 11/10 22:38

推 wst2080:據我所知的部分,靜態路由是無法達到你的需求~ 路由=L3 11/10 22:38

推 wst2080:名稱的解析已經超乎L3的能力範圍之外了... 11/10 22:39

我希望NAT在收到由內部發到自己外部IP的通訊直接收下來不轉送出去這應該不算名稱解析吧?只判斷來源IP(是不是區網IP)跟目標IP(是不是自己的對外IP)

推 wst2080:至於服務設定,最快的還是從內部DNS下手會比較快... 11/10 22:39

→ wst2080:忘記說了~ 就算NAT允許Private IP連進來,那也會耗損與浪費 11/10 22:40

推 wst2080:所謂的頻寬以及反應時間等等~ (就是要外頭DNS詢問,然後傳 11/10 22:40

→ wst2080:回反映給內部網路的用戶端) 避免這樣的狀況就是在內部設 11/10 22:41

→ wst2080:hosts 或者內部建置專門解析內部的DNS 會比較妥當 11/10 22:41

→ wst2080:你的需求是要內部用戶連線到伺服器所連接的內部介面 11/10 22:42

→ wst2080:我猜想~ 你應該有讓Windows 2008擔任DNS的工作.... 11/10 22:43

→ wst2080:所以才會發生你不想要用內部DNS伺服器進行來解析內部的 11/10 22:43

→ wst2080:動機也說不定 (個人我是偏好用Bind來處理這樣的問題) 11/10 22:44

→ wst2080:以上是我的見解~~ 或許有先進可以提供更好的solution~~ 11/10 22:47

Windows 2008是有開DNS，但主要是AD運作要用的如果要把DNS給內部用，一是等於必須多維護一個DNS 二是當伺服器掛掉時下面電腦得改DNS選項不然不能自己撥出去三是AD會自己亂加項目很討厭(關掉安全更新又會一直送錯誤...) 雖然都不是很大的問題，但奇模子不是很好就是了而且之後我打算要重灌，把AD & DNS之類的都拿掉

推 nknudragon:windows 2008有幾張網卡 ? 11/11 00:59

→ SmallBeeWayn:只有一張 11/11 01:00

※ 編輯: SmallBeeWayn 來自: 122.116.180.163 (11/11 03:01)

→ infosec:我不懂為什麼要拿server當nat，你的需求加個asa之類的全解 11/11 09:02

→ wst2080:更懶惰的~ 就是在原先的Server建置一台VM,在VM上頭跑個 11/11 09:38

→ wst2080:Linux 當作cache-only dns (Forwarder) 使用 11/11 09:39

→ wst2080:然後外部要解析你這部分看是要委由外部DNS 還是這台VM建 11/11 09:39

→ wst2080:的DNS來解析而你的AD所搭上的DNS 只要負責解析內部即可 11/11 09:39

→ wst2080:重灌不是個好辦法~ 畢竟Server的系統不可能天天重灌的!!! 11/11 09:40

→ wst2080:這我也是一直強調專機專職分工合作各司其職的道理... 11/11 09:40

→ wst2080:之前我在公司的解決方案也是這樣 AD歸內部解析使用 11/11 09:41

→ wst2080:外部建置個Linux DNS來幫助外部解析進來 11/11 09:41

→ wst2080:喔我修正剛剛說的 cache-only dns 這塊... 那是另外一個 11/11 09:42

→ wst2080:解決方案~ 而剛說的是外部Linux的DNS,內部用AD的DNS來解析 11/11 09:42

→ wst2080:只有一張網卡就搞NAT 而且還用微軟的OS...猛喔!! XDDD 11/11 09:43

→ wst2080:跟我以前幫一間小公司弄的方法類似不過我是用Linux達成的 11/11 09:43

→ wst2080:只不過bind彈性化蠻大的~ 可以設置外部與內部的用戶端查詢 11/11 09:44

→ wst2080:僅允許內部用戶端Query一個Zone,而外部其他的則是透過另 11/11 09:44

→ wst2080:一個Zone來進行解析~ 這樣就達到解析分區的效果了... 11/11 09:45

→ wst2080:然後再設置cache-only的DNS,將內部其他用戶需要解析其他 11/11 09:45

→ wst2080:外部的FQDN轉發到ISP的DNS上頭,這樣就很完美了..... 11/11 09:46

→ wst2080:說個離題的~~~ 為什麼原po說的透過路由指向的方式... 11/11 09:49

→ wst2080:會讓我想到 Route-Map 啊??? 11/11 09:49

→ wst2080:access-list 101 permit ip 192.168.1.0 0.0.0.255 11/11 09:52

→ wst2080: 1.2.3.4 0.0.0.0 11/11 09:53

→ wst2080:route-map C2S permit 11/11 09:53

→ wst2080:match ip address 101 11/11 09:54

→ wst2080:set ip next-hop 192.168.1.100 11/11 09:55

→ wst2080:只不過這種方法是用在路由協議當中... 我只是突發奇想而已 11/11 09:59

→ wst2080:或者在介面上用 ip policy route-map C2S 11/11 10:02

→ wst2080:所謂的 Policy-Based Routing 這個概念~~~ 11/11 10:02

→ infosec:用台ASA 設定DNS DOCTORING就解決了 11/11 11:07

推 nknudragon:2008只有一張網卡納妳的router在哪裡 ? 11/11 11:24

→ wst2080:會不會弄了半天~只有一台一張網卡的Windows Server 2008啊 11/11 12:55

推 nknudragon:問題好像出在NAT Lookback 但是那是針對ROuter本身 11/11 13:17

推 nknudragon:http://www.pczone.com.tw/vbb3/thread/47/144800/ 11/11 13:20

推 nknudragon:http://0rz.tw/wPGtY 這是改hosts方式但都不是正解阿 11/11 13:22

推 nknudragon:原PO希望以後2008只提供web service 需要多台ROUTER 11/11 13:36

推 nknudragon:2008 裝雙網卡提供NAT，設定DNS internal 與external 11/11 13:41

→ nknudragon:正解 : 加台Router or 2008 裝雙網卡 11/11 13:43

→ wst2080:這要看原po的用途以及規劃~ 若是我~ 還是有能力用一台 11/11 14:07

→ wst2080:使用Linux的方式達到我之前推文所提到的架構 11/11 14:08

→ wst2080:而且還是透過一張網卡搞NAT... XDDD 11/11 14:08

推 nknudragon:http://plog.longwin.com.tw/post/1/203 11/11 14:10

→ wst2080:N大你說的方法就是我之前用的方法啊 XDDD 11/11 14:11

推 nknudragon:其實2008都架設AD與DNS了就應該去是使用才對而不是 11/11 14:24

推 nknudragon:另外去設置一台作業系統造成自己的負擔 11/11 14:28

推 nknudragon:以此提為例 2008應該是指處理內部DNS才對外部請用轉寄 11/11 14:33

→ nknudragon:http://0rz.tw/vJe4Z 將外部DNS轉寄出去 11/11 14:35

→ wst2080:哈對我而言我是沒差啦畢竟當初他們的經費有限 11/11 14:39

→ wst2080:我只能用最省錢最省力的方法解決他們小公司的問題 11/11 14:39

→ wst2080:只不過至於原po的方法也不難找個DNS代管幫忙處理外部的 11/11 14:40

→ wst2080:解析,而Windows Server 2008 只要負責內部DNS解析就好 11/11 14:40

→ wst2080:我之前弄小公司的case是因為他們有多個Public IP,而他們 11/11 14:41

→ wst2080:希望自己的Domain歸自己管轄~ 而不想找代管處理... 11/11 14:41

→ wst2080:而內部的DNS只是負責解決因為NAT導致解析上的問題而已 11/11 14:42

→ wst2080:我自己房間裡Run的軟路由也兼任內部DNS解析 11/11 14:43

→ wst2080:其中一套軟路由是pfsense 然後使用他其中的 dns forwarder 11/11 14:44

→ wst2080:輕輕鬆鬆的UI介面來解決類似原po的問題... 11/11 14:44

→ wst2080:不過大家建議了半天還是不清楚原po到底要甚麼 11/11 14:46

→ wst2080:畢竟在板上也沒看到原po回答N大提出的問題... 11/11 14:46

→ wst2080:我也就只能狂瞎猜吧 XDDD 11/11 14:47

推 nknudragon:如果2008拆掉AD&DNS只提供網頁伺服器，那的確有架設 11/11 14:57

→ nknudragon:軟路由的必要，用硬路由反而會顯得更麻煩就是 11/11 14:58

→ nknudragon:W大，有辦法用硬路由去解決NAT+內部DNS姐希的問題麼 11/11 15:00

推 wst2080:有啊 Infosec大提供的ASA 還有我剛說的PBR 方案 11/11 15:30

推 wst2080: ASA^DNS Doctoring 11/11 15:33

→ wst2080:http://0rz.tw/BSST0 ← Cisco ASA DNS Doctoring 11/11 15:33