К внутреннему серверу можно подключиться только из вне. Почему?

Question

[ruggert]

Здравствуйте! Возникла такая проблема - есть сервер размещенный на виртуалке в локальной сети. У него прописан только внешний белый IP, локальные адреса не прописаны. Вход на сервер по доменному имени (domain.company.ru). Какое-то время всё отлично - все отовсюду заходят - и из интернета, и из локали. В какой-то момент из локальной сети перестаёт открываться domain.company.ru, по IP тоже не открывается. НО. Из интернета (любой сети кроме сети предприятия) же всё отлично. Все пинги проходят.

Comments

[Akina]

есть сервер размещенный на виртуалке в локальной сети. У него прописан только внешний белый IP, локальные адреса не прописаны.

То есть белый адрес - непосредственно у виртуалки, и она подключена к сети через мостовое соединение, так?

В какой-то момент из локальной сети перестаёт открываться domain.company.ru, по IP тоже не открывается. ... Все пинги проходят.

Правильно ли выполняется разрешение имени в адрес? Правильно ли идёт трассировка на сервер?

из локальной сети перестаёт открываться domain.company.ru, по IP тоже не открывается.

С каким ответом? А если телнетом - что получаете?

НО. Из интернета (любой сети кроме сети предприятия) же всё отлично.

Смотрите логи - сервера, файрвола, веб-сервера...

[Артём]

Покажите nslookup domain.company.ru
и tracert domain.company.ru с ПК предприятия

[mayton2019]

Проверь что выдает DNS извне и в локали.

[ruggert]

Akina, белый адрес белый только у виртуалки, в серве 2 две сетевые. Одна на локаль вторая на внешку чисто для этой виртуалки.

Правильно ли выполняется разрешение имени в адрес? Правильно ли идёт трассировка на сервер?

У провайдера доменов прописан домен и соответствующий ему IP - это и есть наш белый iP. На самом сервере поднят mailcow - почтарь. При установке задается только доменное имя, данные DNS настройки домена он подтягивает от провайдера домена, если там неправильно настроено, то просто ничего не работает.

С каким ответом? А если телнетом - что получаете?

Телнет не пробовал. Браузер номер ошибки не пишет, просто не удалось подключиться.

[ruggert]

Артём,
tracert
Tracing route to mail.cmzap.ru [92.43.187.153]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms 192.168.3.1
2 1 ms 2 ms 1 ms U1-R12.dynamic.miass.multinex.ru [31.40.124.1]
3 1 ms 2 ms 1 ms 10.0.0.252
4 4 ms 2 ms 1 ms mail.cmzap.ru [92.43.187.153]

nslookup
Non-authoritative answer:
Name: mail.cmzap.ru
Address: 92.43.187.153

Всё из сети предприятия.

[ruggert]

Это пока всё работает. Кстати, лечится перезагрузкой виртуалки, но через какое-то время всё по-новой. Время возникновения проблемы разное.

[Артём]

ruggert, все четыре узла из трассировки ваши устройства?
Тут немного похожая ситуация, наталкивает на мысли с проблемой arp кеша

[Akina]

ruggert, пожалуйста, пишите более подробные ответы. Вы знаете и видите, что у вас собрано, а мы нет. И не используйте слэнг - только строгие технические термины. А то ваши ответы на мои вопросы мне лично вообще ни о чём не сказали, только добавили вопросов.
В каком сервере две сетевые - в хост-машине или в виртуальной машине? Что за гипервизор (или у вас вообще докер)? Как именно выполнена привязка? Что вы имеете в виду под термином "провайдер домена" - вообще-то такого термина не существует. Кто обслуживает и поддерживает зону cmzap.ru?

Телнет не пробовал. Браузер номер ошибки не пишет, просто не удалось подключиться.

То есть браузер говорит - IP я определил, запрос послал, но либо ответ не получил, либо не смог его интерпретировать как корректный ответ на мой запрос.
В этих условиях использование телнета - необходимость. Пробуйте подключиться и смотрите ответы. Не ошибитесь с протоколом и портом.

На самом сервере поднят mailcow - почтарь.

Если это почтовый сервер - каким тут вообще боком браузер?

[shurshur]

Akina, mailcow это комбайн, который включает в себя и веб-интерфейс к почте. Так что тут как раз всё понятно.

[Артём]

ruggert, а ещё можно выполнить обратную трассировку (с проблемной виртуалки до ПК предприятия) и сравнить маршруты; а также на время по отключать все фаерволы на пути

Answer 1

[Hardoman]

У него прописан только внешний белый IP, локальные адреса не прописаны

Скорее всего это утверждение неверно. Если хост находится в локальной сети, то у него 100% есть IP адрес из этой сети. белый внешний IP скорее всего настроен не на самом хосте, а на шлюзе/роутере. В на конкретно данном хосте вряд ли сетевой интерфейс прям с белым IP - если это так - немедленно исправьте, это огромная дыра в безопасности.
1. Проверьте, резолвится ли домен из вашей сети (nslookup) и в какой IP
2. Выполните трейсы до домена (tracert, traceroute)
3. Проверьте все интерфейсы на сервере, если там есть внутренний, то ходите по его IP

Также непонятно, какие функции выполняет ваш сервер, но если там сайт или веб приложение, то да, возможно, там на веб сервере привязка только к конкретному сетевому интерфейсу, это можно исправить.

Если же у вас действительно резолвинг по внешний IP, то, вероятно, дело в настройках файрвола и маршрутизации в вашей сети. Обычно на сетевых устройствах, подключение с локального адреса на внешний интерйес запрещено, между ними только NAT и в обратную сторону эту не работает, т.к. это тепля.

Comments

[Akina]

Если хост находится в локальной сети, то у него 100% есть IP адрес из этой сети.

Вы можете понимать термин "находится в локальной сети" не так, как это делает автор. Он может говорить о физическом местоположении. А коммутаторам глубоко пофиг, от имени какого IP (если он не блокируется по каким-либо правилам) передавать пакеты.

[ruggert]

/etc/network/interfaces - прописан только внешний ip и DNS
На сервере с HyperV два сетевых подключения

mts - это как раз канал для этой виртуалки в свойствах которого прописан белый IP, в HyperV, в настройках этой машины стоит внешний адрес

выходя из серва, кабель идет в микрот, далее в медиаконвертер и в мтс. Микрот, же в свою очередь, кроме медиаконвектора соединён еще и с локальной сетью. Сделать отдельную линию на IP серва не получится, потому что МТС тупой и все белые IP висят на одной оптоволоконной линии. По портам они распределять не умеют.

Проверьте, резолвится ли домен из вашей сети (nslookup) и в какой IP

nslookup выдаёт всё ту же внешку МТС

Проверьте все интерфейсы на сервере, если там есть внутренний, то ходите по его IP

Зачем нам ходить по локальному IP, даже если бы он был? Я специально делал так что бы его не было. Это mail-сервер и не для внутренней переписки, а как замены платным mail.ru и yandex почта

[Hardoman]

"Люда, нам пи**а"
Это ж надо было догадаться, внешник на hyper-v напрямую повесить... Недолго вам с такой дырой осталось....
Вместо того, чтобы повесить его на wan микрота и сделать в нем vlan'ы для сети и для сервера вашего. и прокидывать трафик из локали между ними.
Почти уверен, что трафик из локали не попадает на wan hyper-v вашего, потому что роутинг так не работает, потому что NAT...

Впрочем, трассируйте, смотрите на каком хопе отваливается.

Answer 2

[Pb_hard]

Ну из внутренней сети он и не должен работать по белому адресу.
Чтобы работал есть два варианта -
1) Обеспечить резольвинг доменного имени в локальный IP адрес в локальной сети.
2) Настроить на роутере HairpinNat.

Причина проблемы в том что вы пытаетесь подключиться к локальному ресурсу через белый IP адрес который у вас на роутере.
В итоге ответ на запрос подключения вам приходит с другого IP адреса, и тупо уничтожается вашим компьютером.