Настройки сетевого интерфейса компьютера :
IP - 192.168.0.111
Mask - 255.255.255.0
Gateway - 192.168.0.1
DNS - 192.168.0.1
Воткнут в порт DMZ маршрутизатора DFL-800

Настройки DFL-800
Маршруты

Интерфейс

Правила

DNS_Relay

lan_to_wan1

lan_to_pppoewan1

DMZ

SAT IP адрес назначения - dmz_ip

Объекты

На сервере развёрнут апач. Ни пингов , ни апач не отвечают. По адресам http://89.209.81.22/ и http://192.168.0.111
Версии программного обеспечения DFL-800: 2.20.02.12-7175
Jun 25 2008
Помогите пожалуйста.

Маршрут dmz all-nets 90 - Это как ?


1. у вас SAT на "all_services", хотя как я понял нужно лишь HTTP.
2. не вижу правил на выход в WAN из DMZ сети.
3. правила SAT должны быть выше всех остальных (сделайте их в корне Ip_rules первыми, или создайте там папку и уже в ней, но папка должна быть выше всех, чтобы вам избежать первоначальных проблем с публикациями(например там же где у вас и DNS_relay)
4. Если хотите прокидывать 80 и 443 порты - вам нужно изменить порты WEB-managment самого DFL на какиенить другие., иначе ничего не заработает.

Каким правилом сделать выход в WAN из DMZ сети ?

allow_standard NAT DMZ DMZnet wan1 all-nets all_tcpudpicmp

так же нужно исправить маршрут Dmz сети с all-net на Dmz-net.

1 allow-http-all SAT any dmznet core 89.209.81.22 all_services
2 standart_dmz NAT dmz dmznet lan all-nets all_services
3 http_dmz NAT dmz dmznet lan all-nets all_services
4 allow-http-all Allow any dmznet core 89.209.81.22 all_services
5 allow_standard NAT dmz dmznet wan1 all-nets all_services

Так ?

если у вас внешний IP 89.209.81.22( на порту WAN) тогда чтобы зайдя по нему в броузере попасть на ваш веб сервер, то надо так:
1. правило публикации:
My_SAT_WEB SAT any all-net core wan_ip(тот который 89.209.81.22) http-in
2. разрешаюшее правило для публикации:
My_SaT_Web_NAT NAT any all-net core wan_ip http-in
В SAT правиле на закладке SAT, укажите IP вашего веб сервера.
должно работать как из интернета так и из вашей лан сети.

а то что написано у вас , какая-то белиберда )))

Так же обращаю внимание что если вы конфигурируете свой DFL через 80(http) и 443(https), вам необходимо или изменить порты конфигурирования дфл или изменить порт для обращения на ваш веб сервер (например 8080).

Спасибо. Работает.
1 web_server_map SAT any all-nets core 89.209.81.22 http-all
2 web_server_map_allow Allow any all-nets core 89.209.81.22 http-all

Как написать это правило чтобы WEB-сервер был доступен только из PPTP-сервера ?

any all-net - заменить на pptp_interface pptp_ip_pool.

Пробовал. Не работает.

постойте. а зачем вам обращаться "через" публикацию внутри PPTP сервера?, пускай они напрямую к вашему веб серверу и ходят(просто на тот IP что вы на закладке SAT указывали, ведь он должен быть доступен из PPTP сессии) для того ведь и нужен VPN, а пуббликация с и-нета нужна когда нет VPn итп.

А не работает у вас потому что когда пользователь подключился к PPTP внещний Ip адрес больше не доступен, (вы часть VPN теперь как бы). Тут или надо переделывать публикацию на IP внутреннеого интерфейса, или добавлять ещё одну публикацию. те:

1 web_server_map SAT pptp_int pptp_pool core lan1_ip http-all
2 web_server_map_allow Allow pptp_int pptp_pool core lan1_ip http-all

Дело вот в чём.
1. Внешний адрес привязан к доменному имени. По этому хочется обращаться к web-серверу по DNS.
2. Через WAN на PPTP сервер заходят пользователи, которые по DNS должны пользоваться web-сервером.
3. Web-сервер не доступен по WAN . Только через PPTP сервер.

Какими правилами это описать ?

у вас есть свой внутренний DNS сервер?

нет

ну тогда ничего не выйдет.
У вас сама задумка, точнее то что вы хотите физически не заработает, ибо:
когда вы подключаетесь по VPN(PPTP), вы становитесь частью Удаленной системы, внутри неё так сказать. - а вы хотите в этом случае опять же "через" и-нет завернутся оптяь в этот тунель с внешнего адреса.

- Выход такой(у меня по крайне мере так и сделано), когда пользователь подключился по VPN, ему соотв. присваивается адрес внутреннго DNS, на котором есть записть что www.xxx.ru это например 10.10.10.10 т.е внутренний IP., когда же он вне VPN он по www.xxx.ru берет уже внешний IP и оптяь спокойно попадает на веб сервер.

Я просто не понимаю смысла во внешней записи в DNS когда сервер доступен только изнутри или максимум по VPN.
Если у вас нету своего DNS или поднимите, или ходите внутри VPN по IP.

Может конечно кто-то предложит что-то дельное ещё...но тут других вариантов нет imho.

p/s можете ещё в windows в HOST прописать руками внутренний ip )))

lan_to_pppoewan1 Вам не нужен, первыми тремя правилами Вы уже разрешили почти все что можно.

Возьмите прошивку 2.20.03. Она избавит Вас от сомнений по поводу физических и виртуальных интерфейсов (wan1 и wan1_phys)

Между dmz и lan не нужен NAT, достаточно allow. Чтобы сервер пинговался и отвечал на запросы из сегмента lan, нужно вписать обратное правило: lan -> dmz all_services

Прежде чем советовать дальше, хотелось бы получить ответ на вопрос:




Вы хотите, чтобы к вашему серверу имели доступ только пользователи удаленной Сети и никто иной? Или они не могут найти сервер по доменному имени, после того, как подключаются по VPN?

_________________
DFL-800 (2.27) [Corbina+Onlime] + Synology DS207+ (DSM 2.3-1157)