none
Не удается зайти с внутренней сети через внешнюю сеть на внутренний ресурс RRS feed

  • Общие обсуждения

  • Здравствуйте.

    Имеется Microsoft Forefront TMG, настроено три сетевых адаптера. 1-внутренняя 2-внешняя1 3-внешняя2. Все настроено и работает нормально. Во внутренней сети работает корпоративный портал, ftp-сервер и т.д. И все бы было хорошо но оказалось что я не могу зайти на опубликованный корпоративный портал по внешнему ip. В Имитаторе трафика говорит что все хорошо, трафик разрешен. Самое интересное что на ISA 2006 все прекрасно работало.

    Подскажите пожалуйста где копать.

    • Изменен тип Elina LebedevaModerator 22 июля 2013 г. 7:28 Тема переведена в разряд обсуждений по причине отсутствия активности
    9 июля 2013 г. 12:04

Все ответы

  • смотрите логгирование, имитатор не всегда корректно отображает некоторые сценарии

    а вообще делать такие петли очень неправильно, внутренних пользователей лучше отправлять на внутренний ресурс напрямую

    9 июля 2013 г. 15:21
    Отвечающий
  • Я тоже понимаю что это не очень правильно. У меня есть мысли о том как пускать внутренних пользователей на внутренний ip но хочу услышать ваши мысли. Есть домен и внутренний DNS. Создавать новую зону прямого просмотра?
    10 июля 2013 г. 6:24
  • да, делаете внутри копию внешней зоны, только у нужных хостов указываете внутренние ип. это называется split dns

    10 июля 2013 г. 11:41
    Отвечающий
  • Подскажите пожалуйста как это правильно сделать, копию внешней зоны.
    10 июля 2013 г. 14:17
  • Что имеется ввиду под "правильно"? Ручками сделать, наверное. Если записей несколько десятков и более, можно создать вторичную зону (при наличии доступа к dns с внешней зоной и возможности разрешить трансфер на нужный IP), после получения зонного файла, отредактировать его нужным образом, и пересоздать зону уже основной, подсунув отредактированный файл. Чаще количество внешних записей таково, что проще создать руками (если вы не организация типа Майкрософт, конечно ;)).

    S.A.

    10 июля 2013 г. 15:09
  • Странно, а я думал ножками нужно делать. Вот можно без этого, а?

    Меня конкретно интересует что такое внешняя зона, я такого раздела в консоли не вижу. С какого сервера копировать эту внешнюю зону?

    10 июля 2013 г. 15:21
  • Без этого тяжело :), поскольку возникает вопрос - а как вообще организованы пространства DNS, внешнее и внутреннее? Приведённый выше термин "split dns" означает использование раздельных пространств имён DNS для доступа к ресурсам из интернет и для доступа из локалки. Организация зависит от того, что именно используется в качестве DNS, BIND умеет отдавать разные значения для одной зоны в зависимости от источника запроса, MS DNS не умеет, и в этом случае, DNS для внутренних/внешних запросов должны быть разными.

    Как организовано у вас, нигде не описывалось, естественно предположить самый распространённый случай, когда в локалке используется MS DNS для внутреннего домена, а где-то (у регистратора, хостера, или собственные) DNS c зоной внешнего домена (не одноимённого с внутренним). Отсюда и предложение - создать на внутренних DNS одноимённую с внешним доменом зону, через которую те же имена, изнутри, будут резольвиться во внутренние IP (вместо внешних). Если предположение верно, то знать, где именно сервера с внешней зоной (имя домена которой посетителям форума неизвестно) и откуда её скопировать, можете только Вы :).

    Если предположение не верно, действия зависят от конкретной организации DNS, но суть именно в том, чтобы одни и те же имена по разному резольвились из интернет, и из локалки. В любом случае, полезно: или не пускать на внутренний DNS внешние запросы, или иметь внутренний DNS для запросов внутренних. А в консоли раздела "внешняя" конечно нет, DNS-у без разницы, для каких целей создаётся зона.


    S.A.

    10 июля 2013 г. 18:56
  • Спасибо. Штука в чем получается, на публикуемом сервере есть ссылки для скачивания файлов в которых содержится внешний ip-адрес Forefront-a и это никак не изменить. Я все настроил так как вы говорили но выше упомянутый факт не позволяет работать так. В ходе разных экспериментов выяснилось что есть на клиентской машине включить в браузере прокси-сервер forefront то получается спокойно зайти на опубликованный ресурс через внешнее имя. Но если убрать прокси и разрешить ПК интернет по его ip то ничего не получается. Какие мысли?
    11 июля 2013 г. 12:01
  • пробуйте ставить в листенере правила публикации кроме external еще и localhost
    15 июля 2013 г. 15:11
    Отвечающий
  • Здравствуйте spooner141,

    Вам удалось решить вопрос?


    Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    17 июля 2013 г. 6:49
    Модератор