4
32IPs aus dem WAN ins LAN Routen
Hallo Liebes Forum,
dies ist mein erster Eintrag. Ich begrüsse alle, die an diesem Sonntag im Administrator.de sind.
lg
sunny
Hallo liebes Forum,
ich bin stolzer Besitzer einer Astaro Firewall ASG 120.
Folgendes Szenario soll bei mir eingerichtet werden.
Es werden 2 Server in ein Rechenzentrum gestellt. Davor wir die ASG 120 gestellt.
Ich habe 32 IP Adressen von dem Rechenzentrum gekriegt.(z.B. 123.123.123.123 und 123.123.123.124)
Nun sollen auf 'Port 80' auf beiden Servern Webdienste angesteuert werden.
Ich stecke das Ethernetkabel von dem Rechenzentrum in meine Eth1 Schnittstelle (WAN).
Ich habe Eth0(LAN) und Eth2 (LAN) jeweils für beide Server als Schnittstelle aktiviert (z.B. IP Server 1=192.168.2.1 Server2 = 10.0.0.1).
Jetzt wollte ich eine gekriegte IP-Adresse (z.B. 123.123.123.123) dem 1. Server durchrouten und eine weitere IP-Adresse (z.B. 123.123.123.124 )dem 2. Server.
Wie funktioniert sowas.
Kommt bei dem Rechenzentrum durch das eine Ethernetkabel 32 IP Adressen?
Das heißt ich muss sie in der Firewall zu den entsprechenden Rechner routen, oder?
Vielen Dank für die Hilfe im voraus
Sunny
ich bin stolzer Besitzer einer Astaro Firewall ASG 120.
Folgendes Szenario soll bei mir eingerichtet werden.
Es werden 2 Server in ein Rechenzentrum gestellt. Davor wir die ASG 120 gestellt.
Ich habe 32 IP Adressen von dem Rechenzentrum gekriegt.(z.B. 123.123.123.123 und 123.123.123.124)
Nun sollen auf 'Port 80' auf beiden Servern Webdienste angesteuert werden.
Ich stecke das Ethernetkabel von dem Rechenzentrum in meine Eth1 Schnittstelle (WAN).
Ich habe Eth0(LAN) und Eth2 (LAN) jeweils für beide Server als Schnittstelle aktiviert (z.B. IP Server 1=192.168.2.1 Server2 = 10.0.0.1).
Jetzt wollte ich eine gekriegte IP-Adresse (z.B. 123.123.123.123) dem 1. Server durchrouten und eine weitere IP-Adresse (z.B. 123.123.123.124 )dem 2. Server.
Wie funktioniert sowas.
Kommt bei dem Rechenzentrum durch das eine Ethernetkabel 32 IP Adressen?
Das heißt ich muss sie in der Firewall zu den entsprechenden Rechner routen, oder?
Vielen Dank für die Hilfe im voraus
Sunny
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 151331
Url: https://administrator.de/contentid/151331
Printed on: April 23, 2024 at 17:04 o'clock
4 Comments
Latest comment
Mit 2 IPs hast du eine zu wenig.
Am besten du machst hinter der Astaro ein privates Subnetz und dann zwei SNAT und DNAT-Regeln: Eine für Server 1 und eine für Server 2 und die Astaro.
Am besten du machst hinter der Astaro ein privates Subnetz und dann zwei SNAT und DNAT-Regeln: Eine für Server 1 und eine für Server 2 und die Astaro.
Aus deiner mehr als rumpeligen Beschreibung wo auch noch ein wilder Krieg herrscht wird man nicht schlau, sorry 
Was willst du genau ??
Sortieren wir erstmal die Fakten :
Wie sieht dein Netzdesign aus ? Ggf. so:
Folgende Fragen solltest du noch beantworten:
Was willst du genau ??
Sortieren wir erstmal die Fakten :
- Du hast vom RZ ein Subnetz zugewiesen bekommen mit einer 27 Bit Subnetzmaske (255.255.255.224) also z.B. Netzwerk: 10.0.0.0, Maske: 255.255.255.224, gültige Hostadressen: 30, Bereich: 10.0.0.1 bis 10.0.0.30, Broadcast: 10.0.0.31
- 2 Server sollen angebunden werden.
Wie sieht dein Netzdesign aus ? Ggf. so:
Folgende Fragen solltest du noch beantworten:
- Befinden sich die 2 Server in dem 27 Bit Subnetz (32 Adressen) das du vom RZ bekommen hast ?
- Haben die Server eigene ggf. private RFC 1918 IP Adressen (10er, 172er oder 192.168er Adressen) ?
- Befinden sich beide Server in einem IP Netz (Szenario-1) oder sollen sie in jeweils unterschiedliche IP Netze (Szenario-2) ?
- Musst du NAT (Adress Translation) machen ? Also das du jeweils eine der 30 gültigen Hostadressen aus dem RZ Bereich auf einen Server hinter der Firwall mappen musst, so das dieser Server virtuell unter einer RZ IP auftaucht ??
Danke für die prompte Antwort.
Um in meine rumpelige Beschreibung etwas Licht zu bringen hier das Szenario:
Bevorzugen würde ich Szenario 1, da beide Server miteinander noch verbunden sind.
Die IP-Adressen von RZ kriege ich morgen,also habe ich dort noch keinen Einblick.
Kernproblem ist, das ich nach der Firewall ein Switch stellen muss, damit ich dort ein IP Subnetz wie Szenario 1 konstruieren kann.
Das Switch habe ich leider vergessen.Dann ist alles klar.
Ich hatte beide Server an die Firewall gesteckt mit zwei unterschiedlichen Schnittstellen. Warum so kompliziert, wenn es auch einfach geht.
Das Subnetz hinter der Firewall soll sich dann im 192.168. er Bereich mit Teilnetzmaske 255.255.255.0 bereitstellen.
viele Grüße
sunny
Um in meine rumpelige Beschreibung etwas Licht zu bringen hier das Szenario:
Bevorzugen würde ich Szenario 1, da beide Server miteinander noch verbunden sind.
Die IP-Adressen von RZ kriege ich morgen,also habe ich dort noch keinen Einblick.
Kernproblem ist, das ich nach der Firewall ein Switch stellen muss, damit ich dort ein IP Subnetz wie Szenario 1 konstruieren kann.
Das Switch habe ich leider vergessen.Dann ist alles klar.
Ich hatte beide Server an die Firewall gesteckt mit zwei unterschiedlichen Schnittstellen. Warum so kompliziert, wenn es auch einfach geht.
Das Subnetz hinter der Firewall soll sich dann im 192.168. er Bereich mit Teilnetzmaske 255.255.255.0 bereitstellen.
viele Grüße
sunny
OK, der Switch im Server Segment ist vollkommen uninteressant, denn der arbeitet ja nur auf OSI Layer 2 also auf Basis der Mac Adressen und spielt für deine Konfig keine Rolle. "Vervielfacht" ja letztlich nur die Ports am FW Server Segment für mehrere Server 
Das mit den beiden Servern an separate FW Interfaces ist damit dann natürlich Unsinn, aber das hast du ja mit dem Szenario 1 selber erkannt mittlerweile.
Letztlich gilt dann aber genau das was dog oben schon geschrieben hat. Du setzt deine Server per Switch an ein FW Interface, konfigurierst dort z.B. das IP Netz
192.168.200.0 mit den Servern z.B. als 192.168.200.10 und 192.168.200.20
Dann gibst du der FW eine IP Adresse aus deinem 32er Subnetz. Beispiel wenn das 32er IP Sub Netz die 10.0.0.0 /27 ist, nimmt man für die FW die IP entweder "ganz oben" oder "ganz unten" also z.B. die 10.0.0.30.
In der FW machst du nun ein statische NAT (Adress Translation) mit dein dir zur Verfügung stehenden 30 IP Adressen indem du z.B. der
Host Adresse 10.0.0.10 --> 192.168.200.10 fest zuweist
und der
Host Adresse 10.0.0.20 --> 192.168.200.20 fest zuweist
Fertig ist der Lack !
Immer wenn man nun aus dem RZ Netz z.B. mit http:// 10.0.0.10 Server 1 anspricht setzt die FW fest per NAT diese Pakete auf die Host IP 192.168.200.10 um und leitet sie an das Serversegment weiter. Entsprechend umgekehrt die Antwort des Servers....
So taucht dein Server mit der 192.168.200.10 im RZ Netz unter der 10.0.0.10 auf ! Analog dann für Server 2, 3 usw. entsprechend der IP NAT Zuweisung in der FW.
Eigentlich ganz banal und einfach....!
Das mit den beiden Servern an separate FW Interfaces ist damit dann natürlich Unsinn, aber das hast du ja mit dem Szenario 1 selber erkannt mittlerweile.
Letztlich gilt dann aber genau das was dog oben schon geschrieben hat. Du setzt deine Server per Switch an ein FW Interface, konfigurierst dort z.B. das IP Netz
192.168.200.0 mit den Servern z.B. als 192.168.200.10 und 192.168.200.20
Dann gibst du der FW eine IP Adresse aus deinem 32er Subnetz. Beispiel wenn das 32er IP Sub Netz die 10.0.0.0 /27 ist, nimmt man für die FW die IP entweder "ganz oben" oder "ganz unten" also z.B. die 10.0.0.30.
In der FW machst du nun ein statische NAT (Adress Translation) mit dein dir zur Verfügung stehenden 30 IP Adressen indem du z.B. der
Host Adresse 10.0.0.10 --> 192.168.200.10 fest zuweist
und der
Host Adresse 10.0.0.20 --> 192.168.200.20 fest zuweist
Fertig ist der Lack !
Immer wenn man nun aus dem RZ Netz z.B. mit http:// 10.0.0.10 Server 1 anspricht setzt die FW fest per NAT diese Pakete auf die Host IP 192.168.200.10 um und leitet sie an das Serversegment weiter. Entsprechend umgekehrt die Antwort des Servers....
So taucht dein Server mit der 192.168.200.10 im RZ Netz unter der 10.0.0.10 auf ! Analog dann für Server 2, 3 usw. entsprechend der IP NAT Zuweisung in der FW.
Eigentlich ganz banal und einfach....!
