Página 1 de 1
VIP desde internal
Publicado: 31 Mar 2009, 09:34
por elmarrajo
Buenos Días,
He creado un VIP para acceder de forma externa a un servidor web que tengo en mi red interna.
Si hago
[Debes identificarte para poder ver enlaces.] (la pata wan de mi FW) desde fuera de mi red, el VIP me redirige la petición web perfectamente a la 10.0.0.8 (ip interna del VIP)
Pero si hago
[Debes identificarte para poder ver enlaces.] desde un equipo de la red local, no llego, y necesito acceder asi ....
Alguna idea?
Gracias.
Re: VIP desde internal
Publicado: 31 Mar 2009, 13:48
por gabyrossi
hola, como estas?
Mira si podes acceder desde internet a esa direccion , desde adentro de la lan tambien deberias, si es que hay una politica de navegacion de internal a wan.
Tambien, podrias acceder con la ip interna, ya que estas ahi adentro y seria mejor, que salir a internet y entrar por la ip publica.
saludos
Re: VIP desde internal
Publicado: 04 Jun 2010, 09:48
por FortiR
Hola:
Yo tengo un problema muy parecido al tuyo.
¿Has podido solucionarlo? Para mi, mandar las peticiones a Internet para que vuelvan atrás no es una opción. Y cambiar la IP con la que están publicados los servicios a la IP interna, tampoco.
Muchas gracias,
Re: VIP desde internal
Publicado: 04 Jun 2010, 16:39
por gabyrossi
Pero cual es el problema???? si usas dns internos, siempre es comveniente que las pc usen las ip locales internas.
saludos
Re: VIP desde internal
Publicado: 04 Jun 2010, 21:33
por amtex
Tengo exactamente el mismo problema con un FortiGate 100A
En mi caso necesito usar la IP pública tanto dentro como fuera de la oficina para no tener que cambiar la configuración en los equipos portátiles cuando los usuarios salen y se llevan consigo su equipo.
Lo que estoy redireccionando es el puerto de la base de datos MySQL (3306). Desde afuera funciona perfecto, de hecho así es como están conectadas dos oficinas, pero internamente no puedo usar la IP pública.
Re: VIP desde internal
Publicado: 04 Jun 2010, 22:26
por damagris
Mirad el log de la aplicación web que se publica y comprobar desde que IP le llegan las peticiones cuando lo hacen los de dentro. Con un tcpdump o similar, en el servidor comprobar quien os hace la petición.
Si la máquina que se publica tras una VIP y la que preguntan están en la misma red lo que os puede estar sucediendo es que se os de tráfico asimétrico. Al servidor publicado le llega la petición desde la parte pública pero en la solicitud el ve que la IP que lo hace es de su propia red con lo que devolvería por la LAN sin pasar por el firewall y el cliente no esperará el resultado desde esa IP y dará fallo.
No os pasaría desde fuera porque no se puede dar esa asimetría de tráfico, todo lo que viene por la parte pública se va por la parte pública. No hay ese doble camino.
Se arregla como comentáis, los de dentro preguntando por la IP interna y los de fuera por la IP externa o separando fisicamente en dos segmentos el servidor que publica y el que pregunta y haciendo NAT entre esos segmentos.
Re: VIP desde internal
Publicado: 06 Jun 2010, 11:43
por FortiR
Hola:
El problema consiste en que actualmente todos los clientes internos tienen configurados sus DNS para que los consulten por la IP Pública.
El problema del routing asimétrico no lo tendré, ya que los DNS únicamente son accesibles a través del Firewall.
De hecho ante esta situación, solo se me ocurren dos maneras de solucionar el tema:
- Cambiar la configuración DNS de todos los usuarios internos para que apunten a otra dirección IP, ya sea pública o privada.
- Cambiar la configuración IP de los DNS, de manera que sólo tengan la IP pública y así nos podamos olvidar de los NATs.
Se aceptan propuestas.
Muchas gracias por las respuestas!
Re: VIP desde internal
Publicado: 06 Jun 2010, 20:04
por gabyrossi
Hola, como estas? lo ideal y lo que se hace poir experiencia es:
lo que sdijiste primero:
- Cambiar la configuración DNS de todos los usuarios internos para que apunten a otra dirección IP, ya sea pública o privada.
Si usas dns internos, es lo mas facil de hacer y lo que se hace siempre.-
saludos