Постановка задачи

Во внутренней (локальной) сети предприятия поднят и настроен ECCM-сервер, посредством которого производится мониторинг и управление сетевым оборудованием предприятия. На границе внутренней сети предприятия и внешней сети расположен маршрутизатор с настройками NAT, то есть для Администратора 1 сервер ЕССМ находится «‎за NAT».

...

Решение

Для того чтобы у Администратора 1 и Администратора 2 был равный доступ до сервера ECCM, находящегося во внутренней сети предприятия («‎за NAT»), необходимо, чтобы в адресной строке браузера Администраторы обращались по одному и тому же адресу. Решение поставленной задачи может быть достигнуто при соблюдении условий:

...

Условие 2. Правила NAT должны быть настроены таким образом, чтобы порты, используемые для доступа к web-интерфейсу системы (80, 443, 9090), были проброшены симметрично.

Пример настройки

1. Запустить/перезапустить ECCM-сервер с помощью скрипта ./compose-tools.sh с указанием доменного имени ECCM после ключа --start вместо его IP-адреса:

   панель
   borderColor grey
   sudo ./compose-tools.sh --start <Доменное имя ECCM>

   
   

2. На граничном маршрутизаторе:
   1. настроить DNAT таким образом, чтобы при обращении Администратора 1 на внешний адрес маршрутизатора (92.123.54.17) трафик перенаправлялся на локальный (внутренний) адрес ECCM-сервера (192.168.2.143);
   2. пробросить необходимые для доступа к ECCM порты:
      • 80 — порт для доступа к web-интерфейсу ECCM по http;
      • 443 — порт для доступа к web-интерфейсу ECCM по https (сервер должен запускаться с ключом --https. При этом доступа к серверу по 80 порту не будет);
      • 9090 — порт для работы сервиса identity-provider, отвечающего за авторизацию пользователя в системе ECCM.
        
        
3. На DNS-сервере, расположенном в сети Администратора 1, установить соответствие между доменом ECCM (eccm.company.org) и внешним IP-адресом (92.123.54.17) граничного маршрутизатора
   ИЛИ
   на ПК Администратора 1 в файле /etc/hosts установить соответствие между доменом ECCM (eccm.company.org) и внешним IP-адресом (92.123.54.17) граничного маршрутизатора.
   
   
4. На DNS-сервере, расположенном в сети Администратора 2, установить соответствие между доменом ECCM (eccm.company.org) и внутренним IP-адресом ECCM-сервера (192.168.2.143)
   ИЛИ
   на ПК Администратора 2 в файле /etc/hosts установить соответствие между доменом ECCM (eccm.company.org) и внутренним IP-адресом ECCM-сервера (192.168.2.143).

...

Далее приведены пример настроек DNAT на маршрутизаторе ESR и примеры установления соответствия между доменом ECCM и IP-адресом в файле /etc/hosts для ПК Администратора 1 и ПК Администратора 2. 

Настройка DNAT и проброс портов на сервисном маршрутизаторе ESR

1. Создайте зоны безопасности trusted и untrusted:

...

Name         IP               Port     Description
-----------  ---------------  -------  -------------
eccm_80      192.168.2.143    80       --
eccm_9090    192.168.2.143    9090     --
eccm_443     192.168.2.143    443      --

Name                From                Description
------------------  ------------------  -------------
DNAT_for_ECCM       zone 'untrusted'    --

Prot      Inside source           Inside destination    Outside source          Outside destination      Pkts      Bytes
--------  ----------------------  --------------------  ----------------------  -----------------------  --------  --------
tcp       109.111.66.10:42508     192.168.2.143:443     109.111.66.10:42508     92.123.54.17:443         --        --
tcp       109.111.66.10:42524     192.168.2.143:443     109.111.66.10:42524     92.123.54.17:443         --        --

Настройка файла /etc/hosts

Для ПК Администратора 1

В файле /etc/hosts на ПК Администратора 1 пропишите соответствие между доменом ECCM и внешним IP-адресом граничного маршрутизатора.

...