Hago desarrollo web desde una pequeña oficina y necesito tener varios servidores físicos y virtuales a los que se pueda acceder desde Internet. También tengo varios dispositivos (computadoras, portátiles, tabletas, impresoras, etc.) que también necesitan conexiones. Obtuve una subred de 8 IP de mi ISP y, si bien es adecuada para los servidores web, es demasiado pequeña para todo lo que necesita acceso a la red.
Mi enrutador es un ASUS RT-N16 con DD-WRT. Soy lo suficientemente inteligente sobre este tema de enrutamiento como para ser peligroso, piense en un niño de 2 años con un marcador mágico. Me gustaría mantener mi red interna NAT en la red 192.168.xx y enrutar el tráfico 68.69.xx 255.255.255.248 directamente a los servidores. La red física consta del enrutador DD-WRT de 4 puertos y un conmutador gig no administrado. Tengo una conexión de fibra a la oficina que funciona como puerto Ethernet. En otras palabras, puedo conectar mi computadora portátil directamente y tener acceso a Internet. No hay nombre de usuario ni contraseña y el enrutador está configurado para obtener DHCP del ISP y para proporcionar direcciones DHCP para la red interna.
Lo que he hecho hasta ahora es buscar en Google y probar diferentes configuraciones con poco éxito. Al final decidí que ni siquiera sabía cómo hacer las preguntas necesarias.
Mis preguntas son:
¿Es esta la mejor manera de configurar la red?
¿Cómo lo haces? ¿VLAN? ¿Múltiples enrutadores?
Nunca he tenido que configurar un enrutador usando nada más que la GUI, así que si se trata de una línea de comandos, tenga cuidado.
Respuesta1
En primer lugar, esta pregunta tendría una mejor respuesta en Serverfault.com, ya que está orientada a entornos empresariales y no a preguntas del tipo de mesa de servicio para un solo usuario. Aunque eso debe ser debatido por algunos. Alternativamente, necesitará encontrar un consultor de ingeniería de redes para que lo diseñe por usted o leer mucho sobre navegación IP y enrutamiento VLAN.
Puede hacerlo de diferentes maneras dependiendo de su presupuesto, pero yo buscaría una solución de Cisco, que tenga VLAN enrutables e IP NAT (traducción de direcciones de red). En este escenario, tendría varias VLAN ejecutándose en un conmutador Cisco (puede usar un conmutador de capa 2 y hacer que su enrutador enrute las VLAN o una capa 3 a todo por usted) y un enrutador Cisco que se encarga de NAT para todas sus IP externas. a sus direcciones internas y VLAN. Al configurar la navegación IP en enrutadores CIsco, restringe el acceso configurando acls y enrutará a vlan mediante el etiquetado dot1q.
Aquí está el diseño de muestra que tendría:
1-2 Dirección IP pública asignada a Vlan 2 IP privadas (computadoras portátiles, tabletas, etc.) 1-2 Dirección IP pública asignada a vlan 3 etapa (entorno de prueba de etapa) 2-6 Direcciones IP públicas asignadas a vlan 4 servidores web
Buena suerte..
Respuesta2
Asigne una dirección estática a su puerta de enlace, realice NAT en todo lo demás y ejecute cada servidor web en un puerto diferente. Configure su enrutador para reenviar los puertos apropiados (80) a la dirección IP local de cada servidor.
Respuesta3
Creo que este problema representa un problema a un nivel mucho más alto, tal vez en la capa de aplicación, en lugar de en el enrutamiento. Para tener varios servidores ejecutándose internamente en la misma dirección y puerto externos, es necesario que haya un dispositivo intermedio que comprenda las solicitudes HTTP de nivel superior. Este dispositivo también tendría la capacidad de analizar el dominio desde la estructura de URL y, simultáneamente, consultar a los servidores DNS internos para obtener una resolución adecuada. También conocido comoproxy inverso.
Básicamente, las solicitudes de DNS externas se envían a sus servidores DNS internos en su red. Una vez que esto sucede, los navegadores enviarán solicitudes HTTP a través de la puerta de enlace NAT solo para ser interceptadas por un servidor proxy inverso que luego analiza el dominio a partir de los encabezados, resuelve los nombres asociados internamente y reenvía la solicitud al servidor correcto.
Respuesta4
Dado lo que estoy viendo aquí, hay algunas cosas:
- Reenvíe el puerto 80 de la IP estática a aquellos servidores que estén lo suficientemente desordenados como para garantizarlo.
- Para acceso aleatorio a dispositivos internos, cualquiera de sus IP estáticas se puede utilizar como IP de salida NAT. Es mejor reservar una IP solo para eso por razones de reputación de IP, pero con solo 6 IP utilizables para trabajar, eso puede no ser razonable.
- Para los copos de nieve especiales, puedes ser bastante creativo conHAProxyconfiguraciones. Puede configurar reglas basadas en el nombre del servidor (esto supone que no hay SSL involucrado) que luego se enrutan a servidores back-end configurados según ese nombre. Algo así como vhosts, pero manejado a nivel de Proxy en lugar del servidor web en sí.
Nota al margen: esta es la razón por la que IPv6 esel futuro, este tipo de problema desaparece. Pero eso no le ayuda ahora (a menos, por supuesto, que sus clientes tengan soporte v6).
Su configuración parece bastante normal para una configuración de oficina pequeña.