Назад | Перейти на главную страницу

Доступ к серверам через их WAN IP из внутренней сети - подключить их тоже к LAN?

В настоящее время у нас есть несколько серверов за маршрутизатором / шлюзом, который находится в режиме моста, поэтому серверы напрямую назначили IP-адреса WAN без выполнения NAT. Это работает, как ожидалось.

Однако существует отдельная офисная компьютерная сеть за отдельным шлюзом, который подключен к Интернету через тот же маршрутизатор, что и все серверы.

Вот упрощенная схема:

По сути, это означает, что, поскольку офисный шлюз подключен к тому же коммутатору, что и серверы, они могут подключаться к серверам через свой WAN IP, не проходя через основной интернет-брандмауэр. Это желательно, и это упрощает многие вещи, однако мне интересно, нужно ли мне в любом случае подключать серверы к офисной сети отдельно? Немного «неловко» использовать IP-адреса WAN для «внутренней» связи, но я не могу придумать каких-либо серьезных причин, почему это на самом деле было бы плохо ...

Спасибо

Кажется, что все работает стандартным образом для серверов в этой конфигурации. Похоже, что маршрутизатор правильно настроен для использования разных VLAN (виртуальных локальных сетей) для ваших серверов в DMZ (демилитаризованной зоне).

Даже если серверы в DMZ имеют частные IP-адреса, маршрутизация должна оставаться неизменной. Им потребуется собственный диапазон IP-адресов, отдельный от диапазона, используемого хостами за офисным шлюзом. Использование частных адресов потребует двойной работы по настройке записей DNS и рискует ошибками в конфигурации. Потребуется разделенная конфигурация DNS, и необходимо будет следить за тем, чтобы частные адреса не протекали.

Также возникнет вопрос, разрешите ли вы хостам за офисным шлюзом получать доступ к хостам в DMZ, используя их общедоступные IP-адреса.

Я предлагаю вам просто придерживаться IP-адресов WAN. Если вы захотите попробовать использовать для них IP-адреса LAN, это будет излишне усложнять ситуацию. Единственным реальным преимуществом частных IP-адресов будет более простая конфигурация межсетевого экрана. На мой взгляд, это не стоит дополнительных накладных расходов (это будет означать, что всем вашим серверам нужен другой IP-адрес, плюс вам нужно настроить разделенный DNS).

Если вы не хотите использовать IP-адреса WAN в локальной сети, FW / шлюз не должен быть соединен мостом или, по крайней мере, иметь включенный NAT, в противном случае, если эти общедоступные серверы находятся в DMZ и отделены от немаршрутизируемых IP-адреса (в отдельной подсети) с соответствующей прошивкой на шлюзе вашего офиса, все должно быть в порядке.