Оглавление |
---|
Постановка задачи
Во внутренней (локальной) сети предприятия поднят и настроен ECCM-сервер, посредством которого производится мониторинг и управление сетевым оборудованием предприятия. На границе внутренней сети предприятия и внешней сети расположен маршрутизатор с настройками NAT, то есть для Администратора 1 сервер ЕССМ находится «за NAT».
...
Drawio | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Решение
Для того чтобы у Администратора 1 и Администратора 2 был равный доступ до сервера ECCM, находящегося во внутренней сети предприятия («за NAT»), необходимо, чтобы в адресной строке браузера Администраторы обращались по одному и тому же адресу. Решение поставленной задачи может быть достигнуто при соблюдении условий:
...
Условие 2. Правила NAT должны быть настроены таким образом, чтобы порты, используемые для доступа к web-интерфейсу системы (80, 443, 9090), были проброшены симметрично.
Пример настройки
Запустить/перезапустить ECCM-сервер с помощью скрипта ./compose-tools.sh с указанием доменного имени ECCM после ключа
--start
вместо его IP-адреса:панель borderColor grey sudo ./compose-tools.sh --start <Доменное имя ECCM>
- На граничном маршрутизаторе:
- настроить DNAT таким образом, чтобы при обращении Администратора 1 на внешний адрес маршрутизатора (92.123.54.17) трафик перенаправлялся на локальный (внутренний) адрес ECCM-сервера (192.168.2.143);
- пробросить необходимые для доступа к ECCM порты:
- 80 — порт для доступа к web-интерфейсу ECCM по http;
- 443 — порт для доступа к web-интерфейсу ECCM по https (сервер должен запускаться с ключом
--https
. При этом доступа к серверу по 80 порту не будет); - 9090 — порт для работы сервиса identity-provider, отвечающего за авторизацию пользователя в системе ECCM.
- На DNS-сервере, расположенном в сети Администратора 1, установить соответствие между доменом ECCM (eccm.company.org) и внешним IP-адресом (92.123.54.17) граничного маршрутизатора
ИЛИ
на ПК Администратора 1 в файле /etc/hosts установить соответствие между доменом ECCM (eccm.company.org) и внешним IP-адресом (92.123.54.17) граничного маршрутизатора. - На DNS-сервере, расположенном в сети Администратора 2, установить соответствие между доменом ECCM (eccm.company.org) и внутренним IP-адресом ECCM-сервера (192.168.2.143)
ИЛИ
на ПК Администратора 2 в файле /etc/hosts установить соответствие между доменом ECCM (eccm.company.org) и внутренним IP-адресом ECCM-сервера (192.168.2.143).
...
Далее приведены пример настроек DNAT на маршрутизаторе ESR и примеры установления соответствия между доменом ECCM и IP-адресом в файле /etc/hosts для ПК Администратора 1 и ПК Администратора 2.
Настройка DNAT и проброс портов на сервисном маршрутизаторе ESR
1. Создайте зоны безопасности trusted и untrusted:
...
панель | |||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||
|
Настройка файла /etc/hosts
Для ПК Администратора 1
В файле /etc/hosts на ПК Администратора 1 пропишите соответствие между доменом ECCM и внешним IP-адресом граничного маршрутизатора.
...