从子网访问内部网站

网络工程 路由 纳特
2022-03-04 19:19:59

我有以下网络: - Edge Lite 3 路由器在 WAN (eth0) 和 2 个 LAN 上具有公共 IP:1) eth1 192.168.1.11/24 2) eth2 192.168.2.11/24

eth1 是 DHCP,我里面有几台工作笔记本电脑。

eth2 进入 ip 为 192.168.2.1 的 pfSense 防火墙(在其 WAN 接口上)

我有几个我需要的端口的 NAT 规则,从 WAN 到 192.168.2.1。

pfSense的局域网ip IP为192.168.100.1/24

在它后面我有一个 web/dc/sql 服务器 (192.168.100.2)、一个 NAS (192.168.100.3)、另一个 DC (192.168.100.4),我们在分离和扩展角色时继续添加。

pfSense 具有从 WAN 到 Web 服务器 192.168.100.2 的 NAT 规则(我们处于双 NAT 场景中)。

该网站可以正常运行,可以从互联网访问。

Edge 路由器的 2 个 LAN 接口 eth1 和 eth2 应该是独立的,我们不希望能够从 eth1 笔记本电脑直接访问 eth2。

网络图:

在此处输入图像描述

我们需要的是从 eth1 中的机器访问网站。目前我们在浏览器中找不到错误 404。

nslookup 显示地址为 192.168.1.11 的服务器未知,对于非权威地址,显示正确的名称和公共 IP。

网站名称的tracert有一步,公共ip。

我们如何才能让来自 eth1(DHCP 中的工作站)的请求像来自 Internet 的任何其他请求一样被 pfSense 处理?

非常感谢!

2个回答

您将希望完全绕过路由器/防火墙以获取内部服务,无论它们是否是从 WAN 进行 NAT 的目标。

最简单的解决方案是脑裂 DNS - 只需在您的 DNS 服务器上设置记录/区域并将外部名称指向内部 IP 地址。确保您的内部客户端使用该 DNS 服务器(您可以在防火墙上阻止他们访问外部 DNS)。

本质上,您的内部 DNS 将 www.website.com 直接解析为 192.168.100.2,而不是使用公共 DNS 记录 www.website.com => 公共 WAN IP 和目标 NATing 公共 WAN IP 到 192.168.100.2。根本不需要NAT。

将外部名称解析为公共 IP 地址需要在路由器/防火墙上进行“发夹”,包括客户端的目标 NAT 和通常的源 NAT。这可能会导致严重的性能损失(如果可能的话),并且还会将客户端 IP 隐藏在防火墙 IP 后面。使用裂脑 DNS 极大地简化了设置。

唯一有效的解决方案是使用 VPN 从笔记本电脑访问该站点的解决方法。

其它你可能感兴趣的问题
上一篇查找给定主机 IP 的网络地址? 下一篇为什么我需要将 VR 链接到 Vsys?