доброе время суток,
сразу прошу прощения, за ошибки в формулировке,
ситуация такова:
Стоит рутер AT-745, стоит как рутер, firewall и NAT,
за ним идет сеть на W2k3,
AD, DNS, FS, MAIL, SQL, TS PROXY и т.д.
ну и соответственно клиенты.
DNS поднят в сети и прописан на рутере (192.168.2.1)
фаервольными правилами к нему разрешено обращаться,
так же как и к почтовику, терминалу и т.п.
это все для представления.

вопрос:
если из сети обращаться например к терминалу, то можно использовать,
только его локальное имя или IP, например 192.168.2.5 или terminal-spb
если же ввести terminal.domain.ru - то получишь фиг в нос.
из вне естественно все работает.
тоже самое и с почтой и с www и другими сервисами.
Я подозреваю, что проблема в NAT и DNS, подскажите кто сталкивался с подобным и в какую сторону копать.

+ вчера настраивая syslog и отправку логов с рутера на почту, опять же столкнулся с этой проблемой, письма на mail.ru уходят а если отправлять на внутренний MAIL, висят в очереди.

• AT 745 (рутер+firewal+nat),GreatFoolDad, 11:37 , 09-Сен-05
  • AT 745 (рутер+firewal+nat),Remy, 11:45 , 09-Сен-05
• AT 745 (рутер+firewal+nat),toor99, 11:40 , 09-Сен-05
  • AT 745 (рутер+firewal+nat),Remy, 11:51 , 09-Сен-05
    • AT 745 (рутер+firewal+nat),GreatFoolDad, 12:34 , 09-Сен-05
      • AT 745 (рутер+firewal+nat),Remy, 13:24 , 09-Сен-05
    • AT 745 (рутер+firewal+nat),toor99, 13:04 , 09-Сен-05
      • AT 745 (рутер+firewal+nat),Remy, 13:22 , 09-Сен-05
        • AT 745 (рутер+firewal+nat),ruff, 17:27 , 09-Сен-05

Что-то похожее я встречал.
Снаружи я по имени без проблем попадал на свой почтовик, а изнутри  - нет.
ДНС-сервера, правда не было - пользовался внешним.
Пришлось поднять локальный ДНС-сервер, где прописал доступ по локальным адресам к почте (и что там еще было). А за всеми остальными разрешениями имен он отпралял на внешний ДНС-сервер.
Т.е. в твоем случае надо разделить доступ по имени к вебу (например) снаружи и изнутри - они ж будут по разным адресам обращаться.
(если не в тему - приношу пардон)

>Что-то похожее я встречал.
>Снаружи я по имени без проблем попадал на свой почтовик, а изнутри
> - нет.
>ДНС-сервера, правда не было - пользовался внешним.
>Пришлось поднять локальный ДНС-сервер, где прописал доступ по локальным адресам к почте
>(и что там еще было). А за всеми остальными разрешениями имен
>он отпралял на внешний ДНС-сервер.
>Т.е. в твоем случае надо разделить доступ по имени к вебу (например)
>снаружи и изнутри - они ж будут по разным адресам обращаться.
>
>(если не в тему - приношу пардон)

Да, мне предлагали подобную подмену, но хочется разобраться.

Известная проблема. Используйте split DNS, и всё будет хорошо. Если у вас BIND, используйте его фичу "view". Смысл в том, чтобы одно и то же имя резолвилось в различные IP-адреса в зависимости, откуда пришёл запрос.

>Известная проблема. Используйте split DNS, и всё будет хорошо. Если у вас
>BIND, используйте его фичу "view". Смысл в том, чтобы одно и
>то же имя резолвилось в различные IP-адреса в зависимости, откуда пришёл
>запрос.

Когда у меня все стояло на FreeBSD я настраивал ipfw, мне объясняли, что дело в НАТ, я как бы закольцовываю запрос обращаясь к внутренним сервисам по реальным именам.

Тоесть, я обращаюсь к своему серверу по реальному имени, а получаю внутренний IP этого сервера, и роутер естественно блокирует эти пакеты с локальнм адресом из вне! Может я конечно бред несу, но как-то так мне объясняли, и мы даже писали правила, что-то вроде, блокировать пакеты с локальными адресами, так как у них высокий приоритет, а такие запросы посылать в обход НАТ.

При таком раскладе может просто обойтись файлом hosts?

>При таком раскладе может просто обойтись файлом hosts?
на всех машинах?

>>Известная проблема. Используйте split DNS, и всё будет хорошо. Если у вас
>>BIND, используйте его фичу "view". Смысл в том, чтобы одно и
>>то же имя резолвилось в различные IP-адреса в зависимости, откуда пришёл
>>запрос.
>
>
>Когда у меня все стояло на FreeBSD я настраивал ipfw, мне объясняли,
>что дело в НАТ, я как бы закольцовываю запрос обращаясь к
>внутренним сервисам по реальным именам.
>
>Тоесть, я обращаюсь к своему серверу по реальному имени, а получаю внутренний
>IP этого сервера, и роутер естественно блокирует эти пакеты с локальнм
>адресом из вне! Может я конечно бред несу, но как-то так
>мне объясняли, и мы даже писали правила, что-то вроде, блокировать пакеты
>с локальными адресами, так как у них высокий приоритет, а такие
>запросы посылать в обход НАТ.

Да, так делать можно. Но всё-таки более правильный (да и простой) выход - это split DNS.

>>>Известная проблема. Используйте split DNS, и всё будет хорошо. Если у вас
>>>BIND, используйте его фичу "view". Смысл в том, чтобы одно и
>>>то же имя резолвилось в различные IP-адреса в зависимости, откуда пришёл
>>>запрос.
>>
>>
>>Когда у меня все стояло на FreeBSD я настраивал ipfw, мне объясняли,
>>что дело в НАТ, я как бы закольцовываю запрос обращаясь к
>>внутренним сервисам по реальным именам.
>>
>>Тоесть, я обращаюсь к своему серверу по реальному имени, а получаю внутренний
>>IP этого сервера, и роутер естественно блокирует эти пакеты с локальнм
>>адресом из вне! Может я конечно бред несу, но как-то так
>>мне объясняли, и мы даже писали правила, что-то вроде, блокировать пакеты
>>с локальными адресами, так как у них высокий приоритет, а такие
>>запросы посылать в обход НАТ.
>
>Да, так делать можно. Но всё-таки более правильный (да и простой) выход
>- это split DNS.

Тогда можно подробнее чуток.

>>Да, так делать можно. Но всё-таки более правильный (да и простой) выход
>>- это split DNS.
>
>Тогда можно подробнее чуток.

http://cr.yp.to/djbdns.html
поставить это чудо, он лепится к интерфейсам, на внешнем поднять зону, на внутреннем кеш, с форвардом на внешний. В файле данных определит скоп
например
%lo:192.168
%ex

а затем используя этот скоп разрисовать зону, например
=mail.domain.ru:1.2.3.4:::ex
=mail.domain.ru:192.168.2.1:::lo