我们有一个内部networking服务器https://intranet.example.com ,应该可以从外部访问(只为我们自己的人)在同一个域名下。 这是必要的,所以所有的链接和URL在任何地方都可以工作(发布到内联网的链接,书签链接等)。 一个资源应该只有一个链接,而不是2。
假设Apache https服务器的内部IP是10.1.1.100,并且这也是通过NAT规则打开到外部WAN接口80.81.82.83
要在局域网和外部使用相同的域名,intranet.example.com名称在80.81.82.83的主机上有一个“真实的”DNS条目,但是在Intranet DNS上,我们将其声明为10.1.1.100
这似乎在局域网和广域网的一些testing机器上都能正常工作。 如果外面有一台笔记本电脑的人进入办公室,并从移动访问切换到局域网,他从DHCP获得内部DNS入口,并将intranet.example.comparsing为10.1.1.100
我为10分钟的DNSinputselect了低TTL,我希望这会起作用。
你有更好的解决scheme吗? 什么是最佳做法?
是否有可能使内部IP 80.81.82.83也可以访问? 这doea不正常工作,但我们可以说服我们的网关机器吗?
你提议的工作很好。 是否可以消除拆分DNS并通过其公用地址从局域网访问服务器将取决于Internet和服务器之间的系统。 例如,有些防火墙很乐意这样做,而有些则不允许。
由gtirloni提出的VPN可能需要也可能不需要。 这实际上取决于你如何保护系统和你使用的authentication方法。 有了体面的身份validation,SSL将是相当适合所有,但最偏执狂。 但是,如果您对该分数有任何疑问,那么我同意您应该安全地使用VPN。
要求只有您的员工才能使VPN成为最佳select。 大多数公司都这样做。 使用OpenVPN之类的东西,并为外部连接的人员分配一个特殊范围的内部IP(这样你可以分别过滤它们)。
如果您通过NAT公开内部网站,其他人将能够看到机密信息和/或您将不得不部署复杂的encryption和身份validation机制。 使用VPN不仅可以访问Intranet网站,还可以访问您认为需要的其他资源(根据需要创build防火墙规则)。 它全部encryption。