【ネットワーク】LAN内設置サーバの外部公開 スタティックNATとDNS

(2016年12月20日)
カテゴリ: インフラ関係
 こんにちは。ネットワーク、サーバ等のインフラ構築を担当してる桑野です。

前回の「【ネットワーク】本社~サテライトオフィス間のVPN構築 トンネルIPって?」で予告してましたが、
LAN内に構築しているHyper-V上で稼働している仮想サーバを、外部からでもアクセスできるよう、公開したときの話です。

GUIって、楽ですね(笑)
Cisco IOS と言えば、CLI(コマンドライン)と思ってました。詳細な設定は、今でもそうですが。

さて、今回もNetScreen との違いを感じたネタです。

弊社はWeb、システム開発、ITインフラ(ネットワーク、サーバ等)構築を行う会社です。
詳しくは、弊社Web(http://www.merges.co.jp)を見てください。

そのため、社員(・・・と言っても私です)が、自前でサーバを構築します。
DNS、Web、プロジェクト管理(redmine)、ソース管理(gitlab)など、
1台のHyper-V仮想環境上で稼働させてます。
一応、サーバ機ですが、もとは5万もしなくて買った記憶があります。メモリを16GBへ増強し、
ディスクはSSD(256GB)に換装して、エース級の仕事をしてくれてます。
そう言えば、販売管理や会計システムも動いてる・・・壊れるとかなりのダメージです。

その中のプロジェクト管理を、実際にプロジェクト管理としても使ってますが、ToDo的な使い方で、業務をスケジュール管理としても使ってます。
そのため、外出先からもアクセスできるように!との上司命令発動・・・というのは冗談ですが、必要なので、公開しました。

GUIって、簡単ですね。そう、今回のルータ設定も、GUIでサクサクできました。
※ゾーンベースのファイアウォールで、OUT→INの許可設定をしてます。

プロジェクト管理サーバ
IP:192.168.99.198(内部IP) 接続ポート:8080
ルータ
IP:10.0.99.1(外部IP) 公開用外部ポート:8080

10.0.99.1:8080 → 192.168.99.198:8080 TCP としました。

dm-841m-staficnat

外部からアクセスしてみました。正常にログイン画面が表示されました。
redmine-login

では、LANから、同じアドレスに・・・?なんか拒否られたよ(- -;)

access-deny

今まではできてたはずなのに・・・とりあえず、内部のアドレスで・・・!!

redmine-login

正常に表示されました。

これって、実は、内部と外部でドメインが違うんです。
外からのアクセスだと、「merges.co.jp」ドメインで、内からだと、「merges.local」としてるんです。
ルータでNAT変換してるので、グローバルとプライベートのDNSがあります。
Netscreen では、これ何も考えずに、外でも内でも、「merges.co.jp」で問題なかったんです。

できることなら、このまま運用したかったので、Ciscoサポートへ問い合わせました。
しかし、残念ながら、希望通りにはいかないもので、できない仕様でした。

ということで、内部のドメインも、「merges.co.jp」に変更しました。
これで、外、内関係なく、同じアドレスでアクセスできるようになりました。

でも、運用上の弊害もあるんですよね。
プライマリ、セカンダリが構成できないので、外のDNSに追加したら、内のDNSにも追加しないと、内部でアドレスがひけない・・・

メーカーが変わることで、運用も変わるのね・・・という教訓でした。