Здравствуйте, уважаемые специалисты в сфере IT и все, кто разбирается в данной области. Я столкнулся с проблемой при попытке переноса хранения данных на свои мощности. У меня есть ограниченный опыт, некоторое оборудование и желание взаимодействовать с внешним миром. У меня есть следующий набор оборудования (перечисляю по порядку от подключения до конечных устройств): - Статический IP (например, 91.91.91.91); - Медиаконвертер SNR-CVT-100B-V2; - Роутер Archer AX1500 (примерный IP – 192.168.0.1); - Коммутатор TP-Link TL-SL2210WEB; - Межсетевой экран Cisco ASA 5510 (временно не используется, но предполагаю, что его активация в режиме файервола не повлияет на адресацию); - Два сервера Cisco (например, 192.168.0.S1 и 192.168.0.S2); - Несколько устройств, таких как телевизоры, компьютеры и прочее, с адресацией которых проблем нет. Теперь к сути вопроса: На серверах Cisco работают несколько виртуальных машин, но я могу получить доступ к ним из внешней сети только в том случае, если их IP добавлен в DMZ роутера. Все попытки открыть порты с использованием методов Port Triggering и "Перенаправление порта" не привели к успеху – порты остаются недоступными, даже при включенном UPnP. **Как правильно организовать доступ к виртуальным машинам из интернета?** Я планирую развернуть такие приложения, как Immich, NextCloud, почтовый сервер и хостинг своего сайта. Скажу сразу, что идея разместить все на одной виртуальной машине не идеальна. Я многое изучил, но не могу настроить порты должным образом. Буду признателен за помощь, советы или рекомендации по литературе. Также, как мне подсказали, я могу использовать ASA в качестве роутера, но у меня недостаточно опыта в вопросах маршрутизации.
Для того чтобы организовать доступ к нескольким серверам и виртуальным машинам через один статический IP, вам нужно правильно настроить маршрутизацию и переадресацию портов на роутере. Давайте рассмотрим ключевые шаги для этого.
### Шаг 1: Настройка IP-адресов
1. Убедитесь, что ваши сервера и устройства в сети имеют статические IP-адреса или резервацию DHCP, чтобы избежать их изменения при перезагрузке.
2. Примерные адреса:
- Сервер 1: 192.168.0.10
- Сервер 2: 192.168.0.11
### Шаг 2: Настройка переадресации портов на роутере
1. **Войдите в настройки вашего роутера Archer AX1500**:
- Обычно это можно сделать через ввод IP-адреса роутера (по умолчанию 192.168.0.1) в браузере.
- Введите свои учетные данные (логин и пароль).
2. **Настройте переадресацию портов**:
- Найдите раздел, который называется "Virtual Server", "Port Forwarding" или "NAT".
- Добавьте правила для каждого из приложений, например:
- Для NextCloud: перенаправление порта 80 (HTTP) и 443 (HTTPS) на 192.168.0.10.
- Для почтового сервера: перенаправление портов 25, 587, 993 и т.д. на 192.168.0.11.
- Убедитесь, что вы используете правильные протоколы (TCP/UDP) в зависимости от приложения.
3. **Сохраняйте изменения** и перезагрузите роутер, если необходимо.
### Шаг 3: Проверка доступа
Используйте внешние инструменты, такие как `canyouseeme.org`, чтобы проверить доступность открытых портов.
### Шаг 4: Настройка межсетевого экрана Cisco ASA (по желанию)
Если вы хотите использовать Cisco ASA, вы можете настроить его маршрутизацию и firewall:
1. **Подключите ASA к вашей сети** так, чтобы она находилась на выходе в интернет. Настройте интерфейсы внутри и снаружи.
2. **Настройка NAT**: вам понадобится настроить NAT для вашего статического IP и внутренних IP-адресов.
```bash
object network obj-192.168.0.10
host 192.168.0.10
nat (inside,outside) static 91.91.91.91 service tcp 80 80
```
3. **Настройка доступа (ACL)**: убедитесь, что ваши ACL позволяют доступ к сервисам:
```bash
access-list outside_access_in extended permit tcp any object obj-192.168.0.10 eq www
access-group outside_access_in in interface outside
```
4. **Обязательно протестируйте доступ** к виртуальным машинам.
### Рекомендации
- Обязательно следите за безопасностью. Настройте брандмауэр и используйте шифрование (HTTPS/SSH).
- Регулярно обновляйте все программное обеспечение на серверах и приложениях.
- Ознакомьтесь с документацией по использованию ASA, так как она может стать полезным инструментом для улучшения безопасности.
### Заключение
Следуя вышеуказанным шагам, вы сможете организовать доступ к вашим серверам и приложениям извне. Если возникают проблемы, попробуйте отладить каждую часть настройки отдельно и следите за логами вашего роутера и ASA.
Внешний IP может быть за NAT провайдера. Вся информация, кроме роутера, лишняя. Что такое "цисковский сервер" — неясно.
Проверьте перенаправление портов на обычном компьютере. Описываете перенаправление правильно, в случае перенаправления HTTP.