У нас есть интранет-сервер https://intranet.example.com который должен быть доступен извне (только для наших людей) под тем же доменным именем. Это необходимо, чтобы все ссылки и URL-адреса работали везде одинаково (ссылки, размещенные в интрасети, ссылки в закладках и т. Д.). У одного ресурса должна быть только одна ссылка, а не две.
Скажем, внутренний IP-адрес https-сервера Apache - 10.1.1.100, и он также открывается правилом NAT для внешнего интерфейса WAN 80.81.82.83.
Чтобы иметь одно и то же доменное имя в локальной сети и за ее пределами, имя intranet.example.com имеет «настоящую» запись DNS на хосте 80.81.82.83, но в DNS во внутренней сети мы объявили это 10.1.1.100.
Кажется, теперь это работает на некоторых тестовых машинах как из LAN, так и из WAN. Если кто-то извне с ноутбуком входит в офис и переключается с мобильного доступа на LAN, он получает внутреннюю запись DNS от DHCP и разрешает intranet.example.com на 10.1.1.100.
Я выбрал низкий TTL для записи DNS, равный 10 минутам, и надеюсь, что это сработает.
У вас есть лучшее решение? Какая лучшая практика?
Можно ли сделать внешний IP 80.81.82.83 доступным изнутри? Эта лань не работает нормально, но можем ли мы как-то убедить наш шлюз?
Требование, чтобы это было доступно только вашим сотрудникам, делает VPN лучшим вариантом. Так делают большинство компаний. Используйте что-то вроде OpenVPN и назначьте особый диапазон внутренних IP-адресов людям, подключающимся извне (таким образом вы можете фильтровать их отдельно).
Если вы открываете внутренний веб-сайт через NAT, другие люди смогут видеть конфиденциальную информацию и / или вам придется развернуть сложные механизмы шифрования и аутентификации. Используя VPN, вы не только предоставляете доступ к веб-сайту интрасети, но и к другим ресурсам, которые, по вашему мнению, необходимы (при необходимости создавайте правила брандмауэра). И все это зашифровано.
То, что вы предлагаете, прекрасно работает. Сможете ли вы устранить разделенный DNS и получить доступ к серверу по его общедоступному адресу из локальной сети, будет зависеть от систем, которые у вас есть между Интернетом и сервером. например Некоторые брандмауэры с радостью это делают, а другие не позволяют.
VPN, предложенная gtirloni, может потребоваться, а может и не потребоваться. Это действительно зависит от того, как вы защищаете систему и какие методы аутентификации вы используете. При хорошей аутентификации SSL будет вполне приемлемым для всех, кроме самых параноиков. Однако, если у вас есть какие-либо сомнения по этому поводу, я согласен, что вам следует действовать осторожно и использовать VPN.