Cisco - czy to jest wykonalne?

Witam,
mam wydawaloby sie prosty problem ale nie potrafie znalezc racjonalnego
rozwiazania.

Jest sobie siec na prywatnych adresach IP podpieta do DSLa 1Mbps.
W tej sieci  sa dwa serwery: www i poczty - rowniez na prywatnych numerkach.

Pomiedzy modemem DSL a siecia LAN jest router Cisco, ktory robi NATa i
przekierowanie portow na serwery.

Na serwerze www jest kilka virtuali i tu zaczynaja sie schody poniewaz
pojawila sie potrzeba, zeby serwer www byl dostepny rowniez z sieci
wewnetrznej po adresach domenowych.
Przekierowanie portow na routerze dziala, co zrozumiale, tylko przy
wywolaniach z zewnatrz. Przy probie podlaczenia sie z adresow prywatnych na
adres www serwera PAT nie dziala.

Siedzie i kombinuje jak to obejsc ale zadne rozwiazanie nie przychodzi mi do
glowy.
Niestety odpada mozliwosc postawienia osobnego serwera DNS dla komputerow za
NATem.

Czy ktos zna albo przecwiczyl podobne problemy i udalo mu sie znalezc
rozwiazanie?

to moze wpisy do host'ow na komputerkach w LANie

To jest jakas mala siec z uzytkownikami domowymi.
Znajac zycie administrator musialby co jakis czas zajac sie sprawa.

To jest proteza a mi chodzi o poprawne rozwiazanie problemu, tzn odpowiednia
konfiguracje routera.
Jakos nie chce mi sie wierzyc, ze tego sie nie da zrobic. Wole wierzyc, ze
ja o czyms nie wiem - moze ip nat source static powiazany z odpowiednia
route-mapa?

Nie, bo NAT zadziała dopiero, jak pakiet będzie już na interfejsie
wyjściowym, a to trochę za późno.

Musisz zrobić route-mapę na interfejsie wejściowym, zawracający
ruch pod publiczne IP serwera na ip next-hop tego serwera właśnie,
ale nie lepiej i normalniej zrobić splitDNS?

Albo zrobić static NAT'a na 1 IP i wtedy Cisco powinno automatycznie
podmienić IP publiczne na sieć wewnętrzną.

Tutaj problemem jest to, ze sa dwa rozne serwery - na jednym dziala www, na
drugim poczta.

No tak, ale ten serwer ma IP prywatne wiec nie powinien odpowiedziec.
Trzeba by wlaczyc tlumaczenie destination z adresu prawdziwego na prywatny?
Chyba.... zeby postawic mu na interface drugi adres IP taki, jaki ma Cisco
od strony DSLa?

Mozesz troszke wiecej podpowiedziec?

DNS będzie różnie odpowiadał w zależności od tego kto wyśle zapytanie.
Komputery z LANu dostaną w odpowiedzi adresy prywatne a pozostali
publiczne. W BIND 9 można to ładnie zaimplementować za pomocą view.

...powinien, bo route-mapa 'chwyci' go zanim NAT wykona swoje dzieło.
Innymi słowy, sesja powinna zestawić się na prywatnych adresach, ale
teraz pytanie do Ciebie czy w warstwie aplikacji komuś/czemuś to nie
zaszkodzi.

Split DNS działa AFAIK zarówno w bindzie jak i DNSie Windowsowym.
Po prostu w zależności od źródłowego IP zadającego pytanie, zwracamy
różny wynik - dla adresów LANowych jest to adres prywatny (i Cisco
nie musi robić policy-routingu albo generalnie - nie trzeba robić
sztuczek), a dla adresów z Internetu jest to adres publiczny (co
jest logiczne z uwagi na NAT).

Nie masz czasem wolnego interfejsu eth. w tym routerze? Albo chociaż
switcha z vlanami? Można by wyrzucić te serwery do osobnej podsieci i jako
nat outside ustawić zarówno interfejs do internetu, jak i interfejs do
podsieci z klientami. Wówczas PAT powinien zadziałać... ale nie mam gdzie
tego zweryfikować :(

Pozdrawiam,

Interface sie znajdzie ale bedzie jeden problem - skoro serwery sa na
prywatnych adresach IP musza byc na interface z ip nat inside.
Chyba, zeby przecwiczyc NAT na patyku. Jest to jakis pomysl.

komputerow na adresach prywatnych - nie wazne, ze ma to byc zrobione na
jednym i tym samym fizyznym serwerze.

Problem polega na tym, ze sieca i serwerami administruje gosc, ktory srednio
sie zna na tej calej zabawie.
Mialem mu pomoc z konfiguracja Cisco - glownie chodzi o gwarancje pasma dla
ruchu z serwera www na zewnatrz.

Boje sie, ze on sobie z tym nie poradzi wiec lepszym rozwiazaniem bedzie
proba z route-mapa i source-routingiem.