Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Connect (бывший Mail Server)

Важная информация

Ответ
 
Опции темы
Старый 01.01.2019, 21:11   #1
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 97
По умолчанию Проблема с входом на морду сервера из локалки

с наступившим всех!


Стояли в конторе контрол и коннект на одном сервере. Все было хорошо и все ходили на почтовик изнутри сети по ссылке [Для просмотра данной ссылки нужно зарегистрироваться].


Понятно что через "внешнюю дверь" сами к себе ходили, но это работало.


А тут перенесли коннект на другой физический сервер. В контроле добавили правило:



Интернет интерфейсы - Брэндмауэр - HTTPS - Разрешить - Port mapping на IP почтовика.
И извне все работает, а вот изнутри сети ссылка [Для просмотра данной ссылки нужно зарегистрироваться] отвалилась, а она прописана в аутлуках.


Почему отпало соединение?
Voyager вне форума   Ответить с цитированием Вверх
Старый 02.01.2019, 04:07   #2
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,242
По умолчанию Re: Проблема с входом на морду сервера из локалки

Цитата
Сообщение от Voyager Посмотреть сообщение
Почему отпало соединение?
потому, что конторский dns администрируешь не ты
иначе вопроса бы не было
Цитата
Сообщение от Voyager Посмотреть сообщение
и все ходили на почтовик изнутри сети по ссылке [Для просмотра данной ссылки нужно зарегистрироваться]mail.firma.ru.перенесли коннект на другой физический сервер
ога, перенесли, а сварганеную вручную запись на конторском dns не поправили
Цитата
Сообщение от Voyager Посмотреть сообщение
с наступившим всех!
ага, и тебя.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 02.01.2019, 12:13   #3
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 97
По умолчанию Re: Проблема с входом на морду сервера из локалки

exchar, и вам не хворать
на конторском DNS нет и не было никакой записи для почтовика.

У них на шлюзе на 2008 винде стояли виндовый контрол и коннект вместе и вебморда коннекта была доступна изнутри сети по [Для просмотра данной ссылки нужно зарегистрироваться]. (еще и прикручен валидный сертификат).



Сейчас перенесенный коннект тоже на винде стоит и винда эта в домене. А вот морда его которую сейчас сделали на контроле портмапингом, стала недоступна изнутри сети.



Я понимаю что надо сделать отдельную запись в DNS для почтовика, типа mail.firma.ru - 192.168.10.10. Правильно? Split NDS это по-моему называется.
Voyager вне форума   Ответить с цитированием Вверх
Старый 02.01.2019, 12:41   #4
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,242
По умолчанию Re: Проблема с входом на морду сервера из локалки

Цитата
Сообщение от Voyager Посмотреть сообщение
Я понимаю что надо сделать отдельную запись в DNS для почтовика, типа mail.firma.ru - 192.168.10.10. Правильно? Split NDS это по-моему называется.
правильно.
только НДС - это чуть не то, но второго января можно
Цитата
Сообщение от Voyager Посмотреть сообщение
на конторском DNS нет и не было никакой записи для почтовика.
чувак, не гони
сделай
nslookup mail.firma.ru

ты увидишь обслуживающий dns-сервер и собственно запись, указывающую на старый ip почтовика
а если ее там не будет, значит особо пряморукие товарищи ее уже потерли
или они сама сдохла если хост был в домене и назывался "mail", а потом переименован.
впрочем, бывают терминальные случаи, когда такой трэш пишется в файл hosts каждого компа в сети и иногда это оправдано.

короче, выясни сначала - как было прописано и сделай как надо.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 02.01.2019, 13:20   #5
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 97
По умолчанию Re: Проблема с входом на морду сервера из локалки

exchar,

"nds" это да, от 2 января )))
нашел старую тему по тому же вопросу [Для просмотра данной ссылки нужно зарегистрироваться]


Там как раз твой пост:
Цитата Source: Any (or Local Network)
Destination: the_external_known_name (i.e., example.com)
Services: HTTP/HTTPS (choose the service you need) - You can create as many rules as the number of internal servers is
IP: Any (or choose the one you need v4 or v6)
Action: Enabled
Translation: choose Destination NAT, fill in the internal IP and define the port (if it is different from the external port used)


это я так понял тот самый hairpin-nat которого в 7 версии контрола нет, ибо это правило не работает нифига


nslookup mail.firma.ru выдает и раньше выдавало только внешний белый IP. Ответ приходит от локального DNS на КД так как он разруливает все DNS запросы сам.


ЗЫ. Если можно перенеси тему в control, тут она не в тему совсем
Voyager вне форума   Ответить с цитированием Вверх
Старый 02.01.2019, 13:55   #6
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,242
По умолчанию Re: Проблема с входом на морду сервера из локалки

Цитата
Сообщение от Voyager Посмотреть сообщение
nslookup mail.firma.ru выдает и раньше выдавало только внешний белый IP. Ответ приходит от локального DNS на КД так как он разруливает все DNS запросы сам.
На локальном КД сделай зону для firma.ru и в ней А-запись для mail.firma.ru с указанием на новый локальный ip сервера.
главное не забывать, что
Цитата В зависимости от используемого типа DNS сервера, вы можете столкнуться с тем, что другие ваши хосты, например, веб сервер [Для просмотра данной ссылки нужно зарегистрироваться], станут недоступны из внутренней сети. Это связано с тем, что ваш локальный DNS сервер начнет использовать внутреннюю DNS зону, а не перенаправлять запросы локальных клиентов на внешний DNS сервер. В этом случае необходимо продублировать во внутренней DNS зоне A записи всех хостов, находящихся во внешней DNS зоне.
если имя внутреннего домена отличается от "firma.ru" и народ не бегает с одними и теми же устройствами через периметр локальной сети, можно просто на КД сделать запись A для mail.имя_внутреннего_домена с указанием на локальный ip аналогично. и внутри сети почтовик прописывать как mail.имя_внутреннего_домена.


бывают еще унылые случаи, когда почтовик прописывается иселючительно по ip, т.к. есть внутрилокальный vpn с перенаправлением dns на выделенные сервера... но этого у вас думаю пока нет

Цитата
Сообщение от Voyager Посмотреть сообщение
ибо это правило не работает нифига
ну, это уже изврат который в этом случае не нужен
просто надо днс настроить
Цитата
Сообщение от Voyager Посмотреть сообщение
ЗЫ. Если можно перенеси тему в control, тут она не в тему совсем
вот naliman проспится и сам перенесет

хотя тема скорее для сисадминс.ру конечно
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 02.01.2019, 14:09   #7
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 97
По умолчанию Re: Проблема с входом на морду сервера из локалки

На локальном КД сделай зону для firma.ru и в ней А-запись для mail.firma.ru с указанием на новый локальный ip сервера.
главное не забывать, что
если имя внутреннего домена отличается от "firma.ru" и народ не бегает с одними и теми же устройствами через периметр локальной сети, можно просто на КД сделать запись A для mail.имя_внутреннего_домена с указанием на локальный ip аналогично. и внутри сети почтовик прописывать как mail.имя_внутреннего_домена.


бывают еще унылые случаи, когда почтовик прописывается иселючительно по ip, т.к. есть внутрилокальный vpn с перенаправлением dns на выделенные сервера... но этого у вас думаю пока нет


Это хороший вариант на первый взгляд.

На firma.ru у них лежит вебсайт у хостера, для mail.firma.ru там же есть MX запись, указывающая на белый IP местного керио контрол (ну и почтовика тут же за ним).
Сам домен АД внутри - domain.local и никак с firma.ru не связан.


Проблема еще в том что есть удалёнщики с VPN клиентами. В VPN клиенте прописан сервер mail.firma.ru. А клиент же после подключения ставит DNS сервером себя. И все запросы уходят на DNS КД. Так вот если с этого клиента кто то обратиться к mail.firma.ru ему DNS КД отдаст уже серый IP, он закешируется и при следующем подключении VPN может обломиться.
Voyager вне форума   Ответить с цитированием Вверх
Старый 02.01.2019, 14:24   #8
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,242
По умолчанию Re: Проблема с входом на морду сервера из локалки

Цитата
Сообщение от Voyager Посмотреть сообщение
Проблема еще в том что есть удалёнщики с VPN клиентами. В VPN клиенте прописан сервер mail.firma.ru. А клиент же после подключения ставит DNS сервером себя. И все запросы уходят на DNS КД. Так вот если с этого клиента кто то обратиться к mail.firma.ru ему DNS RL отдаст уже серый IP, он закешируется и при следующем подключении VPN может обломиться.
IRL я в связке с керио это не наблюдал, но можно же сделать тупо другую запись на днс КД вроде mail-local.firma.ru для локального почтовика... ну и перебить на нее все почтовые клиенты ручками.


можно даже у хостера сделать эту mail-local.firma.ru, прописать туда локальный ip почтовика и не трогать свой днс вообще, но это, конечно, неправильно =) и ips на керио может ругнуться, если он есть в твоем релизе.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 02.01.2019, 16:38   #9
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 97
По умолчанию Re: Проблема с входом на морду сервера из локалки

в общем, стоило порыться немного.

Вот здесь [Для просмотра данной ссылки нужно зарегистрироваться]


пишут:
"Так вот, это азбука, которую пора написать красными буквами:
из-за НАТ подцепиться на внешний айпи, проброшенный через этот же НАТ, нельзя!
Смени в настройках программы имя своего почтовика на его внутренний айпи, и тогда все получится."


Либо юзаем hairpin-nat аля nat-loopback которого в 7 нету и вообще он нежелателен.

Либо делаем как написал enman здесь:


[Для просмотра данной ссылки нужно зарегистрироваться]

Все очень просто. Предположим, что имя твоего корпоративного портала corp.domain.com. Задача - всем внутренним клиентам отдать внутренний IP адрес этого имени.
Для локальных клиентов (внутренний NS сервер)
1. Открываем оснастку DNS, правый тап на зонах прямого просмотра - создать новую зону.
2. В мастере добавления зоны выбираешь тип зоны - основная зона, хранить в AD для всех DNS серверов в лесу. Имя зоны - corp.domain.com
3. Встаешь на вновь созданную зону, правый тап - добавить A запись, указываешь IP адрес своего локального сервера с корпоративным порталом. Имя не указываешь.

Теперь все внутренний клиенты, обратившись к внутреннему DNS серверу получат внутренний IP для этого имени. Все остальные поддомены домена domain.com будут резолвиться согласно правилам пересылки внешними NS. Это все.
Для внешних клиентов (внешний NS сервер)
Для внешних клиентов - идешь к администратору зоны domain.com и просишь его создать A запись для имени corp.domain.com, указывающую на внешнйй IP фаервола с Kerio Control



Сделал как написал ENMAN. Все работает что хотел, но у удаленщиков у которых в клиентах VPN прописано mail.firma.ru вместо белого IP, перестают после такой настройки открываться сетевые ресурсы через VPN аля \\server\share.
Рвем соединение в VPN клиенте, прописываем белый IP вместо mail.firma.ru и все начинает работать как надо.
В общем костыль некий получился.

Непонятно почему перестают работать шары. Кстати после прописывания зоны на DNS КД, надо перезапустить DNS сервер, переподключить VPN клиент и только после этого перестают открываться шары. Если не перезагружать DNS то все и так работает )) А ребутнули КД и приехали ....


Как некое решение попросил всех удаленщиков (благо их меньше чем подключенных к почтовику в локалке) сменить mail.firma.ru на белый IP
Voyager вне форума   Ответить с цитированием Вверх
Старый 09.01.2019, 11:15   #10
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,275
По умолчанию Re: Проблема с входом на морду сервера из локалки

Цитата
Сообщение от Voyager Посмотреть сообщение
Сделал как написал ENMAN. Все работает что хотел
надо же
оказывается ДНС нужная штука



Цитата
Сообщение от Voyager Посмотреть сообщение
но у удаленщиков у которых в клиентах VPN прописано mail.firma.ru вместо белого IP, перестают после такой настройки открываться сетевые ресурсы через VPN аля \\server\share.
ВПН-щики при подключении используют какой-то ДНС, этот ДНС тоже надо подкрутить, либо добавить запись, либо для этого домена сделать перенаправление туда где такая запись уже есть (туда где ты сделал как советовал Енман)



Цитата
Сообщение от Voyager Посмотреть сообщение
В общем костыль некий получился.
это не костыль, это отсутствие понимания что делается и как оно работает
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 05:10. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях