Webserver op kantoor, alleen extern beschikbaar

vrijdag 19 maart 2021 10:22

Acties:

0Henk 'm!

Voor een klant heb ik een web app ontwikkeld om bepaalde zaken binnen het bedrijf te kunnen controleren.
Tijdens de ontwikkelperiode kon ik deze machine dmv port forwarding van buitenaf benaderen, en intern middels het interne IP.

Aangezien we niet constant een ip willen intikken, hebben we er nu een subdomein aan gehangen, met comodo SSL certificaat.
Nu komt dus het probleem: de server is vanaf nu enkel bereikbaar van buitenaf

Het probleem is eigenlijk simpel: ik wil vanuit het interne netwerk, het externe ip adres kunnen gebruiken om op de juiste machine terecht te komen. We werken op deze locatie met Draytek routers en een zakelijke verbinding, waarbij we 10 ip adressen tot onze beschikking hebben.

Ik kan hierover vrij weinig informatie vinden, maar dat valt waarschijnlijk te wijten aan mijn google kunsten.
Een schop in de juiste richting zou enorm op prijs gesteld worden!

vrijdag 19 maart 2021 10:28

Acties:

+1Henk 'm!

sypie

Waarschijnlijk zit je met een NAT-loopback wat niet ondersteund wordt. Hoe je dit op moet lossen? Geen idee, ben geen netwerkspecialist.

Misschien helpt dit topic je? NAT Loopback opzetten, graag advies

[Voor 25% gewijzigd door sypie op 19-03-2021 10:31]

vrijdag 19 maart 2021 10:36

Acties:

+4Henk 'm!

Enforcer

NAT-loopback inderdaad
Als het om 1 enkele machine gaat kun je de hosts file aanpassen op de (Windows) machine bij de klant zodat het domeinnaam naar het interne ip adres verwijst.
Als het om meerdere machines gaat kun je de (indien in gebruik) DNS server aanpassen zodat het domeinnaam verwijst naar het interne ip adres

vrijdag 19 maart 2021 10:40

Acties:

0Henk 'm!

RobTweaks

Captain Hindsight

Zie oplossing Enforcer. Werkstations zullen als het goed is eerst de interne DNS raadplegen, door intern het subdomain te verwijzen naar de interne server ondervang je het probleem. Je verwijst dan niet naar het externe IP-adres, maar naar het interne IP-adres van de server.

"Rock is overpowered. Paper is fine" -Scissors-

vrijdag 19 maart 2021 11:26

Acties:

0Henk 'm!

Pater91

Topicstarter

Enforcer schreef op vrijdag 19 maart 2021 @ 10:36:
NAT-loopback inderdaad
Als het om 1 enkele machine gaat kun je de hosts file aanpassen op de (Windows) machine bij de klant zodat het domeinnaam naar het interne ip adres verwijst.
Als het om meerdere machines gaat kun je de (indien in gebruik) DNS server aanpassen zodat het domeinnaam verwijst naar het interne ip adres

Dat is opzich wel een oplossing inderdaad, maar het gaat om ~ 20 apparaten, waaronder ook smart tv's om het dashboard op te tonen met de ingebakken browser. Een interne dns server zou dan een oplossing kunnen zijn, maar dat moet ik even met de klant overleggen.

Ik hoopte eigenlijk op een oplossing binnen de router zelf, zodat het 'gewoon werkt' zonder hosts aanpassingen of een extra server. Is dit echt niet mogelijk? We kunnen eventueel ook PFsense uitrollen, zou het daarin misschien wel mogelijk zijn om deze aanvragen af te vangen en door te verwijzen naar het interne ip zonder bemoeienis van de router?
Zelf draai ik mijn servers altijd in het datacenter, dus dit probleem heb ik zelf nog nooit gehad.

vrijdag 19 maart 2021 11:52

Acties:

0Henk 'm!

Enforcer

Pater91 schreef op vrijdag 19 maart 2021 @ 11:26:
Ik hoopte eigenlijk op een oplossing binnen de router zelf, zodat het 'gewoon werkt' zonder hosts aanpassingen of een extra server. Is dit echt niet mogelijk?

Welke router staat er nu en ondersteunt ie NAT-loopback? Zonee, dan router vervangen door één die dat wel kan.

vrijdag 19 maart 2021 11:52

Acties:

0Henk 'm!

Frogmen

Je zal dus in de router de interne dns moeten toevoegen hoe dat moet is afhankelijk van de interne structuur. Is er geen interne IT er die je ermee kan helpen? Router vervangen is niet nodig de DHCP server en de DNS server moet je in het ergste geval beiden aanpassen.
Overigens is dit een principe wat je in de basis als ontwikkelaar ook zou moeten weten.

[Voor 38% gewijzigd door Frogmen op 19-03-2021 11:55]

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

vrijdag 19 maart 2021 12:33

Acties:

0Henk 'm!

Pater91

Topicstarter

Frogmen schreef op vrijdag 19 maart 2021 @ 11:52:
Je zal dus in de router de interne dns moeten toevoegen hoe dat moet is afhankelijk van de interne structuur. Is er geen interne IT er die je ermee kan helpen? Router vervangen is niet nodig de DHCP server en de DNS server moet je in het ergste geval beiden aanpassen.
Overigens is dit een principe wat je in de basis als ontwikkelaar ook zou moeten weten.

Ik zou dit inderdaad moeten weten, dat ben ik met je eens

Het is echter zo dat ik me hier doorgaans niet mee hoef te bemoeien, maar bij dit specifieke project is ook de IT afdeling niet op de hoogte van de juiste instellingen hiervoor.

We werken met een draytek Vigor3910, ik heb net even gekeken en er is inderdaad een optie voor NAT loopback. Ik ga dit even doorgeven aan de afdeling IT zodat ze dit door kunnen voeren, het ziet er naar uit dat dit inderdaad de juiste oplossing is!
Bedankt voor de hulp, en ik zal het even terugkoppelen als het allemaal gelukt is.

vrijdag 19 maart 2021 12:43

Acties:

+1Henk 'm!

Fish

How much is the fish

@Pater91 Meest simpele cheap-ass-snelle-methode is om het domein in je hostfile toe te voegen

ben je nu ff niet afhankelijk van de it

[Voor 4% gewijzigd door Fish op 19-03-2021 12:43]

Iperf

vrijdag 19 maart 2021 12:46

Acties:

+1Henk 'm!

xyanide

Fish schreef op vrijdag 19 maart 2021 @ 12:43:
@Pater91 Meest simpele cheap-ass-snelle-methode is om het domein in je hostfile toe te voegen

ben je nu ff niet afhankelijk van de it

Behalve dat dat alleen werkt op de apparaten waar je de hosts file kan bijwerken (tv's, setupboxen e.d. gaat niet lukken).

vrijdag 19 maart 2021 13:35

Acties:

0Henk 'm!

Pater91

Topicstarter

xyanide schreef op vrijdag 19 maart 2021 @ 12:46:
[...]

Behalve dat dat alleen werkt op de apparaten waar je de hosts file kan bijwerken (tv's, setupboxen e.d. gaat niet lukken).

Dit is inderdaad een beetje het dingetje. Op kantoor moet hij op telefoons, smart tvs en werkstations bereikbaar zijn. Daarnaast heeft iedereen een laptop die ook onderweg gebruikt wordt, dus die kunnen zowel binnen als buiten het netwerk zitten.

IT is er nu mee bezig, dus ik hoop dat ze het ergens deze middag geregeld hebben.

vrijdag 19 maart 2021 13:40

Acties:

0Henk 'm!

xyanide

Pater91 schreef op vrijdag 19 maart 2021 @ 13:35:
[...]

Dit is inderdaad een beetje het dingetje. Op kantoor moet hij op telefoons, smart tvs en werkstations bereikbaar zijn. Daarnaast heeft iedereen een laptop die ook onderweg gebruikt wordt, dus die kunnen zowel binnen als buiten het netwerk zitten.

IT is er nu mee bezig, dus ik hoop dat ze het ergens deze middag geregeld hebben.

Je zou ook nog in de interne DNS server kunnen verwijzen naar het interne IP. Externe apparaten (buiten het netwerk) gebruiken dan de externe DNS en daarmee het externe IP adres.

vrijdag 19 maart 2021 13:45

Acties:

0Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

^, dat heet split-horizon DNS, een makkelijke optie. Sommige firewalls/routers ondersteunen ook DNS re-write (zoals cisco asa). Je kan natuurlijk ook besluiten om intern géén https te gebruiken al is dat niet meer van deze tijd.

[Voor 4% gewijzigd door DukeBox op 19-03-2021 13:46]

Duct tape can't fix stupid, but it can muffle the sound.

zaterdag 20 maart 2021 09:08

Acties:

0Henk 'm!

Fish

How much is the fish

DukeBox schreef op vrijdag 19 maart 2021 @ 13:45:
^, dat heet split-horizon DNS, een makkelijke optie. Sommige firewalls/routers ondersteunen ook DNS re-write (zoals cisco asa). Je kan natuurlijk ook besluiten om intern géén https te gebruiken al is dat niet meer van deze tijd.

en ttl wel laag houden als er machines van binnen naar buiten kunnen gaan (voor de zekerheid)

Iperf

zaterdag 20 maart 2021 10:52

Acties: