|
| Routingproblemer i Win2K Fra : Søren Jensen |
Dato : 15-10-02 14:13 |
|
Hej
Vi har et lille firmanetværk koblet på Indernet via TDC ADSL PRO. Vi bruger
ikke TDCs router, men en Win2K som router. Vi har 8 faste IP'er til
udviklingsmaskiner, mailserver m.v. Forbindelserne fra ADSL-boxen igennem
NAT/router er lavet via "static routes".
Hvis vi sidder internt og kalder et domæne (ex. intern.domæne.dk) og denne
er konfigureret til at pege på en af de faste IPer - så går det galt. De
interne maskiner kan ikke finde ud af det. Det går vanvittigt langsomt - men
der er dog forbindelse.
Udefra kører det i raketfart.
Disabling/enabling af firewall har ingen effekt.
Nogle idéer? Kvikke hoveder vil sige at vi skal oprette interne DNS-navne
til vores interne maskiner, men det er af praktiske årsager en gene hvis vi
kører med andre hostnavne end dem der skal se maskinerne udefra.
Mvh
Søren
| |
Asbjorn Hojmark (15-10-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 15-10-02 14:30 |
|
On Tue, 15 Oct 2002 15:13:17 +0200, "Søren Jensen"
<kongen@nospamkongen.dk> wrote:
> Hvis vi sidder internt og kalder et domæne (ex. intern.domæne.dk)
> og denne er konfigureret til at pege på en af de faste IPer - så
> går det galt.
Så konfigurér jeres DNS til ikke at pege på de externe adresse,
og peg i stedet på de interne.
> Kvikke hoveder vil sige at vi skal oprette interne DNS-navne til
> vores interne maskiner, men det er af praktiske årsager en gene
> hvis vi kører med andre hostnavne end dem der skal se maskinerne
> udefra.
Der er sådan set ikke noget i vejen for, at du kan have to
forskellige A-records (fx. www og minSejeServer), der peger på
samme IP-adresse (10.10.10.10), men det mest oplagte er at lave
en A-record for det rigtige navn (minSejeServer) og så at lave en
CNAME-record (www), der peget på det rigtige navn.
-A
| |
Søren Jensen (15-10-2002)
| Kommentar Fra : Søren Jensen |
Dato : 15-10-02 16:10 |
|
>
> Så konfigurér jeres DNS til ikke at pege på de externe adresse,
> og peg i stedet på de interne.
>
> > Kvikke hoveder vil sige at vi skal oprette interne DNS-navne til
> > vores interne maskiner, men det er af praktiske årsager en gene
> > hvis vi kører med andre hostnavne end dem der skal se maskinerne
> > udefra.
>
Ja, den løsning er overvejet (og også benyttet pt. men af praktiske årsager
vil vi gerne have den samme DNS-record til at blive benyttet både internt og
eksternt (altså af interne og eksterne brugere) .
Mvh
Søren
| |
Asbjorn Hojmark (15-10-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 15-10-02 21:53 |
|
On Tue, 15 Oct 2002 17:10:12 +0200, "Søren Jensen"
<kongen@nospamkongen.dk> wrote:
> Ja, den løsning er overvejet (og også benyttet pt. men af praktiske årsager
> vil vi gerne have den samme DNS-record til at blive benyttet både internt og
> eksternt (altså af interne og eksterne brugere) .
Split-DNS (som det kaldes) er altså standardløsningen på dit
problem, og jeg kan ikke se, der er nogen ulemper ved det. Tvært
imod kan jeg se nogle fordele ved, at ens interne DNS ikke kan
nås udefra.
Som alternativ kan nogle firewalls 'fixes' DNS replies, så det en
ekstern ser ikke er det samme som en intern ser.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
Søren Jensen (16-10-2002)
| Kommentar Fra : Søren Jensen |
Dato : 16-10-02 08:46 |
|
>
> Split-DNS (som det kaldes) er altså standardløsningen på dit
> problem, og jeg kan ikke se, der er nogen ulemper ved det. Tvært
> imod kan jeg se nogle fordele ved, at ens interne DNS ikke kan
> nås udefra.
>
Ja, hvis der ikke er nogen løsning på problemet - så må det jo være sådan.
Årsagen til at jeg gjorde rimeligt meget ud af at forklare at det ikke var
praktisk smart, er ganske enkelt at der i mødereferater m.v. er linket til
de omtalte URLs - og både interne og eksterne brugere skal kunne linkes
direkte fra dokumentet til en specifik DNS-adresse.
Men vi må nøjes - eller se om der kan laves noget hokus pokus med en
firewall.
Søren
| |
Asbjorn Hojmark (16-10-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 16-10-02 13:26 |
|
On Wed, 16 Oct 2002 09:45:36 +0200, "Søren Jensen"
<kongen@nospamkongen.dk> wrote:
> Årsagen til at jeg gjorde rimeligt meget ud af at forklare at det ikke var
> praktisk smart, er ganske enkelt at der i mødereferater m.v. er linket til
> de omtalte URLs - og både interne og eksterne brugere skal kunne linkes
> direkte fra dokumentet til en specifik DNS-adresse.
Det er netop pointen med split-DNS, at server.domain.tld ikke
betyder det samme for interne og eksterne brugere. Derfor kan du
netop bruge samme URLs etc.
-A
| |
|
|