none
DNS

    Dotaz

  • Dobrý den,

    mám tento dotaz. Ve firmě máme kamery cca 20 ks. Každá má svoji pevnou IP adresu a jedinečný port. Na DNS serveru u domény jsem přidal jsem A zaznam pro cam.domena.cz která odkazuje na naši pevnou IP adresu a v našem routeru NAT (který má tuto pevnou IP adresu) jsem provedl nastavení který, podle portu přesměruje dotaz na danou IP adresu kamery. Všechno funguje perfektně. Ale pokud se připojím u nás ve firmě do vnitřní sítě tak to nefunguje a musím u každé kamery místo cam.domena.cz přepsat její pevnou IP adresu 192.168.1.XXX , jinak se na kameru nedostanu. Nevím kde nastavit, aby pokud budu v vnitřní síti choval odkaz cam.domena.cz stejně ´jako když budu venku  a budu se připojovat pře internet. Ve firmě používáme Exchange 2007 a na vnitřní sítí mi DHCP přidělí DNS jako náš DNS server a bránu náš zmiňovaný router (Zyxell Zywall USG 200). Mám to nastavit na DNS na Exchangi nebo na routeru. Děkuji

    15. listopadu 2011 16:05

Odpovědi

  • Ja to chapu takto:

    mam internetovou adresu cam.domena.cz, ktera vede na NAT router, ktery 20 portu (100, 200, 300, 400 atp) preklada na vnitrni adresy site 192.168.1.0 a nejaky jiny port. Napr. rekneme cam.domena.cz:100 -> 192.168.1.1:80, cam.domena.cz:200 -> 192.168.1.2:8080 atp. A ted se p.Kupka divi, ze kdyz se posadi do interni LAN s kamerami (tj. ma take ip sit 192.168.1.0), ze nemuze pristupovat na cam.domena.cz:100 , cam.domena.cz:200 atp.

    Obecne to asi mozne je, ale vetsina NAT routeru ho posle do pihele :)  V podstate p.Kupka chce, aby bud jeho NAT router NAToval i ze strany vnitrni site, tj. pokud pristoupi na lokalni (vnitrni adresu) routeru (to zaridi vnitrnim DNS), aby router komunikaci preNAToval opet na vnitrni adresu a jeste k tomu treba udelal preklad portu. Nebo aby komunikace z vnitrni site dorazila na vnejsi rozhrani NAT routeru, tam se na obrtliku otocila, preNATovala a vratila se zpet do vnitrni site.

    Asi to lze na nejakem Linuxu takto nastavit, ale vetsina me znamych FW/routeru to bud neumi, nebo to zmerne blokuje (Cisco ASA) jako security problem.

    Pravdepodobne jen 2 reseni:

    1. VPN. zapomenout na NAT, pouzit VPN. tj. Pouzivat pak opravdove IP adresy kamer odkudkoliv  pripadne jejich vnitrni DNS jmena.

    2. oddelena kamerova sit na jine siti, ktera bude NATovana jak zvenku, tak zevnitr. Osklive reseni, ale kdo chce kam...


    16. listopadu 2011 9:21
  • Predpokladam, ze kamery jsou na vnitrni siti za NATem:

    Na externi DNS mate A zaznam pro kameru a CNAME pro ostatni kamery, pricemz se na kazdou kameru zvenci dostavate pres vstupni port routeru s jednou IP adresou, ale na ruznych portech.

    Na vnitrni DNS muzete dat A zaznamy pro kazdou kameru zvlast, nebo muzete pouzit zaznamu v hosts souboru (coz je nesikovne). 

    Pred kazdou zmenou dejte z prikazove radky ipconfig /flushdns

    15. listopadu 2011 18:07
    Moderátor

Všechny reakce

  • Můžu jen hádat ale pravděpodobně to nefunguje proto, protože nefunguje NAT. S DNS to nebude mít nic společného.

    NAT nefunguje, protože už jste v lokální síti a tak nemá důvod cokoliv překládat do LAN.

     

    zkuste použít příkaz:

    tracert cam.domena.cz

     

     

    Osobně bych to asi řešil nějakou intranetovou stránkou s odkazy na jednotlivé kamery (na IP adresu).

    Zvenku bych to také řešil spíše VPNkou než NATováním.


    JCH

    15. listopadu 2011 16:22
  • dobrý den,

    po příkazu tracert cam.domena.cz dostavam toto

    1 1ms 1 ms 1 ms mail.domena.cz (naše pevna IP adresa na kterou mám A záznam pro cam.domena.cz stejný jako pro mail.domena.cz)

    v Natu jsem to potování nastavil jen jako "wan1 to lan1", ale ne "lan1 to lan1" mohla by bý zde chyba?

    15. listopadu 2011 16:42
  • Mohu nějak portovat ve vnitřní síti? Pak mne napadlo udělat A zanam pro cam1.domena.cz, cam2.domena.cz, cam3.domena.cz na nasi pevnou IP adresu. Tyto jedinečné adresy nastavit v programu a u nas na DNS nějak namapovat cam1.domena.cz na danou IP adresu kamery (192.168.1.51), cam2.domena.cz na 192.168.1.52, cam3.domena.cz na 192.168.1.53. šlo by to?

    15. listopadu 2011 17:02
  • Predpokladam, ze kamery jsou na vnitrni siti za NATem:

    Na externi DNS mate A zaznam pro kameru a CNAME pro ostatni kamery, pricemz se na kazdou kameru zvenci dostavate pres vstupni port routeru s jednou IP adresou, ale na ruznych portech.

    Na vnitrni DNS muzete dat A zaznamy pro kazdou kameru zvlast, nebo muzete pouzit zaznamu v hosts souboru (coz je nesikovne). 

    Pred kazdou zmenou dejte z prikazove radky ipconfig /flushdns

    15. listopadu 2011 18:07
    Moderátor
  • Nějak nerozumím tomu co chcete dělat.

    Pokud v DNS nastavíte záznaky pro každou kameru, tak se můžete na kamery obrazet přes dns jméno (nemusíte přes IP adresu).

    Pokud je to to co chcete řešit, tak ano bude to fungovat.

    Ale neuděláte z toho jediné dns jméno s různými porty.

     

    Znovu se prám co vlastně má být cílem.

    Zkuste se soustředit na cíl ne na prostředek.


    JCH
    15. listopadu 2011 18:50
  • Ja to chapu takto:

    mam internetovou adresu cam.domena.cz, ktera vede na NAT router, ktery 20 portu (100, 200, 300, 400 atp) preklada na vnitrni adresy site 192.168.1.0 a nejaky jiny port. Napr. rekneme cam.domena.cz:100 -> 192.168.1.1:80, cam.domena.cz:200 -> 192.168.1.2:8080 atp. A ted se p.Kupka divi, ze kdyz se posadi do interni LAN s kamerami (tj. ma take ip sit 192.168.1.0), ze nemuze pristupovat na cam.domena.cz:100 , cam.domena.cz:200 atp.

    Obecne to asi mozne je, ale vetsina NAT routeru ho posle do pihele :)  V podstate p.Kupka chce, aby bud jeho NAT router NAToval i ze strany vnitrni site, tj. pokud pristoupi na lokalni (vnitrni adresu) routeru (to zaridi vnitrnim DNS), aby router komunikaci preNAToval opet na vnitrni adresu a jeste k tomu treba udelal preklad portu. Nebo aby komunikace z vnitrni site dorazila na vnejsi rozhrani NAT routeru, tam se na obrtliku otocila, preNATovala a vratila se zpet do vnitrni site.

    Asi to lze na nejakem Linuxu takto nastavit, ale vetsina me znamych FW/routeru to bud neumi, nebo to zmerne blokuje (Cisco ASA) jako security problem.

    Pravdepodobne jen 2 reseni:

    1. VPN. zapomenout na NAT, pouzit VPN. tj. Pouzivat pak opravdove IP adresy kamer odkudkoliv  pripadne jejich vnitrni DNS jmena.

    2. oddelena kamerova sit na jine siti, ktera bude NATovana jak zvenku, tak zevnitr. Osklive reseni, ale kdo chce kam...


    16. listopadu 2011 9:21