Deixe a configuração como você fez acima, exceto coloque um novo roteador de firewall na DMZ do roteador 1 e direcione o tráfego de .130 para a DMZ onde você coloca o roteador 3. O roteador 3 encaminha o tráfego de entrada para o 10.0. 0,10 endereço. O kicker aqui é o requisito do One IP Only para o servidor. Você não poderá enviar pacotes de volta através do roteador 3 sem um IP distinto no servidor para esse caminho (tráfego via roteador 3). A tabela de roteamento do servidor terá um único gateway padrão para o único IP atribuído, portanto, não importa de que forma o tráfego chegue (via Roteador 2 ou Roteador 3), as respostas sairão do gateway padrão e serão traduzidas para o IP público desse endereço. roteador. Talvez o UDP funcione (o tráfego vai para 0,130 e volta de 0,129), mas não vejo como o TCP conseguir fazer uma conexão no IP que não seja roteado pelo gateway do servidor. Eu sugiro que você pense muito sobre o requisito do Only One IP, já que permitir 2 IPs tornaria as coisas muito mais simples.
Como posso obter meus roteadores para encaminhar as portas corretamente?
Minha rede atualmente é assim (simplificada):
Notequeoroteador2estáconectadoàinterfaceLANdoroteador1.IssodeveserfamiliarparaqualquerpessoaquetenhavistoumaconfiguraçãopadrãodeIPestáticocomumfirewalladicionalparaumaresidênciaououtroprédiopequeno.Oroteadornº1é,naverdade,meugatewayacabo,mascomoéumroteador/firewalltotalmentefuncional,voumereferiraelecomoumroteador.
Agora,euprecisoabrirváriasportasemambososfirewallsparaacomunicaçãodeentradaparaomeuservidor-aporta80éumbomexemplo.Entãoeuabriaporta80noroteador2,eatéagoratodootráfegodeentradanoIPpúblicoX.X.X.129estásendoroteadocorretamente.
OproblemaéquetambémprecisoquemeuservidorrespondaaotráfegodeentradanoIPpúblicoX.X.X.130nainterfaceWANdoRoteador1.Naturalmente,nãopossosimplesmentedizeraoroteador1paraencaminharaporta80paraoutroIPpúblico.Oencaminhamentodeportaésuportadoapenasquandootráfegoestásendodirecionadoparaasub-rededaLAN.
Estoudispostoareestruturarminhatopologiaderede,senecessário,comasseguintescondições:
Router#1cannothaveitsWANIPreassigned-X.X.X.130ismandatory.Router#1cannotbemovedordisconnectedfromthecloud.TheservercannotbegivenasecondIPaddress.IwouldprefertheservertohaveaprivateIPaddress-e.g.10.0.0.10I'dliketokeepRouter#2,butitcanhaveaprivateIP-e.g.10.0.1.10Apósessasregras,precisoquemeuservidorrecebatráfegodeentradanaporta80deambososendereçosIPpúblicos.AlguémnaSUsabeseissoépossível?Atéagora,minhasúnicasteoriasforamconfigurarumarotaestáticaemqualquerroteadorou,dealgumaforma,combinarminhasduassub-redesemumaúnicasub-rede.
EDIT:
EualtereimeudiagramaparadescreverasoluçãodeFred.Vendoquevouterquemecomprometeremalgumlugar,achoqueomenoremaissimplescompromissoseriaomaiseficiente.E,emboradaraomeuservidordoisendereçosIPcertamenteirácomplicaraconfiguraçãodoservidor,asimplicidaderesultantenatopologiadaredeseriaumtrade-offbastantejusto.
Esta solução permitirá que ambos os endereços IP públicos permaneçam publicamente visíveis, enquanto permite que ambos os roteadores encaminhem as portas diretamente para os endereços IP locais do meu servidor. Além disso, tudo na minha rede que está conectada ao Roteador 2 poderá acessar a sub-rede do Roteador 1, assim o servidor manterá a visibilidade local dos endereços IP locais (nada mais está conectado ao Roteador 1, além do Roteador #). 2 e o servidor).
Minha placa-mãe de servidor tem um dual-NIC gigabit integrado, então meu hardware pode lidar com isso sem problemas. Eu vou tentar configurar meu servidor para responder a ambos os NICs hoje, e vamos ver como ele vai de lá - mas neste momento eu não vejo quaisquer soluções melhores vindo à luz, e quaisquer outros problemas causados por isso o comprometimento pode ser resolvido quando eles chegam. Claro, se houver algum erro no layout de rede acima, por favor me avise.
Obrigado uma tonelada, pessoal!
3 respostas
Ok, supondo que ambos os seus roteadores tenham o NAT ativado, sua configuração atual não funcionará. O problema que você terá é o seu segundo endereço IP (1.129) não é visível publicamente e, portanto, nunca pode ser acessado de fora da sua rede. O único IP que a internet verá é o IP do roteador 1 (1.130).
Se você quiser que ambos os endereços IP sejam publicamente disponíveis, será necessário colocar um switch na frente do roteador nº 1 conectando o roteador nº 1 & roteador # 2 para a internet pública.
Configure o segundo roteador como um switch em vez de um roteador, desativando o servidor DHCP (se estiver em execução) e conectando o cabo do roteador 1 ao roteador 2 em uma das portas LAN do segundo roteador. Provavelmente, você também precisará definir o roteador 2 como um IP estático não utilizado na sub-rede 10.0.1.x e também mover o servidor para a sub-rede 10.0.1.x. Em seguida, desmarque as configurações de encaminhamento de porta do roteador 2 e diga ao roteador 1 para encaminhar para o novo IP 10.0.1.x do servidor, e você deve estar bem.