Приветствую всех гуру АйТи и просто разбирающихся людей.
В ходе попыток перенести хранение информации на собственные мощности, столкнулся с одной неприятной проблемой.
Имеется небогатый опыт, пригоршня железа и желание покоммуницировать со внешним миром.
В наличии (список по нисходящей от ввода до конечных устройств):
Статический IP; // условно 91.91.91.91
Медиаконвертер SNR-CVT-100B-V2;
Роутер Archer AX1500; // условно 192.168.0.1
Коммутатор TP-Link TL-SL2210WEB;
Межсетовой экран Cisco ASA 5510; //временно не используется, но я так понимаю, что его запуск, в режиме файерволла, никак не повлияет на адресацию
Два Цисковских сервера; // условно 192.168.0.S1 и 192.168.0.S2
Куча всякой мелочевки типа ТВ, компов и прочего. //на них с адресацией вопросов нет, всё нормально работает
Сам вопрос:
На цисковском железе крутится несколько виртуалок, но нормально пробиться на них из внешнего мира получается только в случае, если IP, какой либо из них, внести в DMZ роутера, остальные попытки открыть порты, путем прописывания их в таблицу Port Triggering и "Перенаправление порта", не приводят ни к чему, порты недоступны. UPnP включено. Как правильно реализовать доступ к виртуалкам из интернета?
Хочу развернуть Immich, NextCloud, почтовик и хостинг своего сайта.
Пытаться поднять всё на одной виртуалке - идея очевидная, но плохая.
Вот многое понял и вкурил, а нормально порты настроить не могу ((
Выручайте, или советом, или ссылкой на литературу.
__
Как было подсказано, ASA можно использовать в качестве роутера. Но, т.к. в маршрутизации плаваю и нет опыта в настройке такого оборудования, как-то боязно заворачивать через 5510 весь входящий трафик, хотел оставить и в дальнейшем настроить его в качестве файерволла.
Если настройка 5510 самый рабочий вариант, если не сложно, был бы благодарен за пару примеров того как настраивать это добро, только простым языком.
Если быть совсем честным, так и не могу вкурить как работает вообще доступ через порты. Если я указываю IP устройства, условно 192.168.0.S1, внешний порт 2283 и внутренний порт 2283 и, допустим, TCP.
По идее, стучась на свой внешний условный 91.91.91.91:2283 трафик должен быть перенаправлен на 192.168.0.S1:2283, я же правильно понимаю?
Тапками сильно не кидайтесь, я только с виду тупонький, учусь быстро ))
Спасибо за ответ.
Вероятнее всего у провайдера тоже стоит NAT, но тогда почему нормально работает доступ к портам при внесении IP в DMZ?
Цисковские сервера - это пара Cisco UCS C200 M2 с Proxmox на борту, купленных в попытках экономии, вместо того что бы поставить кошерный Synology и не делать ни себе, ни людям мозг.
Но я же не ищу лёгких путей.
в случае перенаправления HTTP.
А если я решу HTTPS завернуть с самовыпущенным сертификатом, всё станет сложнее?
З.Ы. Еще раз извиняюсь, за глупые вопросы. Последний раз с сетью работал лет 18 назад, потом жизнь увела в сторону металлообработки и промышленной автоматизации. Немного спасает то, что с *NIX дорожки пересекались, за пару месяцев (в конце сентября приобрел серверы) Proxmox и виртуалки, более или менее, освоил.
Очевидно вы сидите не за NAT-ом провайдера, вам выделен отдельный белый IP. И это хорошо. Теперь просто настраиваете порты (по аналогии с 2283) - и всё заработает.
Разумеется порты 80 (HTTP) и 443 (HTTPS) можно будет пробросить только на один сервер/виртуалку. Ну и если в разных виртуалках найдутся одинаковые используемые порты - это будет проблема. Для HTTP(S) есть простой выход - использовать reverse proxy, например повсеместный Nginx: он будет принимать все коннекты на 80/443 порты, и уже сам коннектится к нужному локальному WEB-серверу, обеспечивающему работу конкретного доменного имени (именно по домену нему выбирется сервер, который обязан обработать некий HTTP-запрос).
AUser0, благодарю что откликнулись..
Самое обидное, что как раз таки порты, благо, не пересекаются, по крайней мере до запуска почтового сервера и хостинга. Надеюсь, что с ними тоже не пересекутся.
Даже после прописывания их в раздел "Перенаправление порта"
и "Port Triggering"
порты всё равно остаются недоступными из внешнего мира.
Не исключаю, что добавив их в оба этих раздела, я создал какую-то петлю, но пока порт был прописан только "Port Triggering", он точно не прозванивался ):
Попробуйте оставить только в разделе "Перенаправление порта". Вы же снаружи пытаетесь пробиться. А "Port Triggering" это, возможно, для случая, когда вы из своей сети идете в интернет. Классический NAT. А сервис ведь инициатором запросов не является (он только отвечает на запросы).