11
Mehrere WAN-IPs - ein Router?
Hallo Forum.
Ich will mir evt. in der nächsten Zeit mal eine statische IP bei uns zu Hause anschaffen, bis jetzt läuft es über DynDNS.
Also habe ich mal geschaut ... Eine fixe IP kostet pro Monat um die 6.-, einmalige Aufschaltgebührt: 6.-
5 fixe IPs kosten pro Monat 12.-, einmalige Aufschaltgebühr: 6.-
Mit IPs, Netzwerk, DNS, Routing & CO kenne ich mich schon etwas aus, aber DAS ist mir nicht klar (sonst würde ich nicht fragen:P):
Wir haben im Moment einen normalen Router (Zyxel 650-HW o.ä.). Wenn ich jetzt eine fixe IP bestelle ... klar, der Router bekommt immer die gleiche IP (nicht aus dem dynamischen Bereich!). Aber wie ist das bei 5 IPs? Eine bekommt dann der Router ... aber was läuft mit den anderen IPs? Wie verwende ich die? Mehrere Routers kann ich ja nicht aufstellen, da ich mich ja nur einmal anmelden kann ...?
Beispiel:
1. IP: x.x.x.11
2. IP: x.x.x.12
3. IP: x.x.x.13
4. IP: x.x.x.14
5. IP: x.x.x.15
Jetzt habe ich hinter dem Router (sagen wir mal: 1. IP) einen DNS-Server (Irgendwo eine Domain mit Pointer auf die 1. statische IP ...)
Dann trage ich im DNS-Server einen Host (z.B. mail.meinedomain.bla) ein und zeige damit auf die 2. IP.
Aber wie kommt dann der Datenverkehr von der 2. IP hinter meinen Router (der ja die 1. IP hat)?
Geht das überhaupt so ... ?
Greetz, Lousek
Ich will mir evt. in der nächsten Zeit mal eine statische IP bei uns zu Hause anschaffen, bis jetzt läuft es über DynDNS.
Also habe ich mal geschaut ... Eine fixe IP kostet pro Monat um die 6.-, einmalige Aufschaltgebührt: 6.-
5 fixe IPs kosten pro Monat 12.-, einmalige Aufschaltgebühr: 6.-
Mit IPs, Netzwerk, DNS, Routing & CO kenne ich mich schon etwas aus, aber DAS ist mir nicht klar (sonst würde ich nicht fragen:P):
Wir haben im Moment einen normalen Router (Zyxel 650-HW o.ä.). Wenn ich jetzt eine fixe IP bestelle ... klar, der Router bekommt immer die gleiche IP (nicht aus dem dynamischen Bereich!). Aber wie ist das bei 5 IPs? Eine bekommt dann der Router ... aber was läuft mit den anderen IPs? Wie verwende ich die? Mehrere Routers kann ich ja nicht aufstellen, da ich mich ja nur einmal anmelden kann ...?
Beispiel:
1. IP: x.x.x.11
2. IP: x.x.x.12
3. IP: x.x.x.13
4. IP: x.x.x.14
5. IP: x.x.x.15
Jetzt habe ich hinter dem Router (sagen wir mal: 1. IP) einen DNS-Server (Irgendwo eine Domain mit Pointer auf die 1. statische IP ...)
Dann trage ich im DNS-Server einen Host (z.B. mail.meinedomain.bla) ein und zeige damit auf die 2. IP.
Aber wie kommt dann der Datenverkehr von der 2. IP hinter meinen Router (der ja die 1. IP hat)?
Geht das überhaupt so ... ?
Greetz, Lousek
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 103182
Url: https://administrator.de/contentid/103182
Printed on: April 19, 2024 at 15:04 o'clock
11 Comments
Latest comment
Da müsste dann eine 1:1 Übersetzung her, die dir eine öffentliche auf eine private IP umleitet. Die m0n0wall kann das zum Beispiel und ist kostenlos - bräuchtest nur entsprechende Hardware, zum Beispiel den Alix.2c3. Eignet sich hervorragend! Aber dazu findest du hier schon genug Informationen. Deine Server kommen dann in die DMZ, und dann kannst du in der m0n0wall eine 1:1 Übersetzung einrichten, die dir die eine IP auf den Mail-Server umleitet, die andere auf den Webserver und eine dritte vielleicht auf einen von außen zugänglichen Fileserver (a.k.a. FTP o.ä.).
Wenn du jetzt neugierig geworden bist:
Wikipedia
m0n0wall 1:1-NAT
Ich hoffe, das hilft...
Wenn du jetzt neugierig geworden bist:
Wikipedia
m0n0wall 1:1-NAT
Ich hoffe, das hilft...
Aber wie funktioniert der Datenverkehr zwischen der 2. - 4. IP und dem "Intranet" (hinter dem Router)?
Werden vom Provider einfach alle Daten, welche an diese IP's gehen, auf unseren Anschluss weitergeleitet, und ich kann nachher sagen, er soll auf diesen 5 IP's lauschen (listen), also allen Datenverkehr, der als Zieladresse diese IP hat, verarbeiten? Also wenn das Internet-Netz (WAN) nur aus lauter Hub's aufgebaut wäre, könnte ich eigentlich auf allen IP's lauschen?
Und kann ich bei der m0n0wall dies machen:
Der ganze SNTP-Verkehr resp. alles auf Port 25 (irgendwie so :P), der auf der externen IP x.x.x.11 kommt, soll an die interne IP 192.168.1.99 auf Port 25?
oder anderst:
Folgende DNS-Einträge:
www1 --> x.x.x.11
www2 --> x.x.x.12
www3 --> x.x.x.13
www4 --> x.x.x.14
www5 --> x.x.x.15
mail --> x.x.x.12
mx-record: mail.meindomain.bla
Dann kann ich solche Regeln definieren:
extern x.x.x.11 / port 80 --> intern 192.168.1.250 / port 80
extern x.x.x.12 / port 80 --> intern 192.168.1.122 / port 80
extern x.x.x.12 / port 25 --> intern 192.168.1.115 / port 25
extern x.x.x.13 / port 80 --> intern 192.168.1.100 / port 88
extern x.x.x.14 / port 80 --> intern 192.168.1.101 / port 97
extern x.x.x.15 / port 80 --> intern 192.168.1.200 / port 8222
irgendwie so? wäre gut wenn das rattern würde ;)
Könnte ich für die m0n0wall auch eine PC + ADSL-Karte nehmen, die dann als Router "fungiert"?
Greetz, Lousek
Werden vom Provider einfach alle Daten, welche an diese IP's gehen, auf unseren Anschluss weitergeleitet, und ich kann nachher sagen, er soll auf diesen 5 IP's lauschen (listen), also allen Datenverkehr, der als Zieladresse diese IP hat, verarbeiten? Also wenn das Internet-Netz (WAN) nur aus lauter Hub's aufgebaut wäre, könnte ich eigentlich auf allen IP's lauschen?
Und kann ich bei der m0n0wall dies machen:
Der ganze SNTP-Verkehr resp. alles auf Port 25 (irgendwie so :P), der auf der externen IP x.x.x.11 kommt, soll an die interne IP 192.168.1.99 auf Port 25?
oder anderst:
Folgende DNS-Einträge:
www1 --> x.x.x.11
www2 --> x.x.x.12
www3 --> x.x.x.13
www4 --> x.x.x.14
www5 --> x.x.x.15
mail --> x.x.x.12
mx-record: mail.meindomain.bla
Dann kann ich solche Regeln definieren:
extern x.x.x.11 / port 80 --> intern 192.168.1.250 / port 80
extern x.x.x.12 / port 80 --> intern 192.168.1.122 / port 80
extern x.x.x.12 / port 25 --> intern 192.168.1.115 / port 25
extern x.x.x.13 / port 80 --> intern 192.168.1.100 / port 88
extern x.x.x.14 / port 80 --> intern 192.168.1.101 / port 97
extern x.x.x.15 / port 80 --> intern 192.168.1.200 / port 8222
irgendwie so? wäre gut wenn das rattern würde ;)
Könnte ich für die m0n0wall auch eine PC + ADSL-Karte nehmen, die dann als Router "fungiert"?
Greetz, Lousek
Zuerst: Für die m0n0wall selbst kannst du nahezu jede Art von Hardware (auch irgendeinen alten übrigen) verwenden, daher dürfte es kein Problem darstellen, auch eine interne ADSL-Karte zu benutzen. Ich habe bisher nur externe ADSL-Modems verwendet, aber wie gesagt, ich glaube nicht, dass es ein Problem ist. Am besten googelst du dazu nochmal.
Zu der Konfiguration: Für deinen SMTP-Verkehr würde man zum Beispiel die öffentliche IP-Adresse, auf der dein Mailserver zu erreichen sein soll, auf die DMZ-Adresse deines Mailservers umsetzen, und dann in den Firewalleinstellungen (eigentlich ist die m0n0wall ja eine echte Firewall) einstellen, dass nur Verkehr, der auf bestimmten Ports die öffentliche IP erreicht (also zum Beispiel Port 25, 110 und 143, also SMTP,POP3 und IMAP4), den Server wirklich erreicht. Alles andere wird wirklich geblockt. Aber auch dazu kannst du dir nochmal Punkt 13.1.6.1 anschauen in dem 1:1-NAT-Link, den ich oben gepostet habe. Dort siehst du, wie es gemeint ist.
Theoretisch dürfte es, wenn du deinen eigenen DNS-Server betreibst, keine Probleme geben. Die Second-Level-Domain (also z.B. test.de) ist ja dann mit deinem primären Eintrag zu finden, und es ist klar, dass man bei diesem Server nachfragt, wenn man die Adressen von Sub-(also Third-Level-)Domains haben will. Dort musst dann eben deine anderen IP-Adressen entsprechend deinem 1:1-NATting eintragen. Und dann sollte der anfragende Rechner seine Anfragen direkt an die IP-Adresse richten, worauf dann eben wieder die m0n0wall die Übersetzung regelt.
Zu der Konfiguration: Für deinen SMTP-Verkehr würde man zum Beispiel die öffentliche IP-Adresse, auf der dein Mailserver zu erreichen sein soll, auf die DMZ-Adresse deines Mailservers umsetzen, und dann in den Firewalleinstellungen (eigentlich ist die m0n0wall ja eine echte Firewall) einstellen, dass nur Verkehr, der auf bestimmten Ports die öffentliche IP erreicht (also zum Beispiel Port 25, 110 und 143, also SMTP,POP3 und IMAP4), den Server wirklich erreicht. Alles andere wird wirklich geblockt. Aber auch dazu kannst du dir nochmal Punkt 13.1.6.1 anschauen in dem 1:1-NAT-Link, den ich oben gepostet habe. Dort siehst du, wie es gemeint ist.
Theoretisch dürfte es, wenn du deinen eigenen DNS-Server betreibst, keine Probleme geben. Die Second-Level-Domain (also z.B. test.de) ist ja dann mit deinem primären Eintrag zu finden, und es ist klar, dass man bei diesem Server nachfragt, wenn man die Adressen von Sub-(also Third-Level-)Domains haben will. Dort musst dann eben deine anderen IP-Adressen entsprechend deinem 1:1-NATting eintragen. Und dann sollte der anfragende Rechner seine Anfragen direkt an die IP-Adresse richten, worauf dann eben wieder die m0n0wall die Übersetzung regelt.
Hmm ... naja ...
Ich habe gerade versucht, die m0n0wall mal in einer VM laufen zu lassen ...
Wie bringe ich die m0n0wall auf die Festplatte? das .iso ist ja eigentlech die Live-Boot-CD ... aber da sehe ich keinen Punkt zum auf die HD installieren ... und die anderen sind .img-dateien, die ich in VMWare nicht einhängen kann ...
N00B-Frage ... aber ich stell si dennoch :P
Greetz, Lousek
Ich habe gerade versucht, die m0n0wall mal in einer VM laufen zu lassen ...
Wie bringe ich die m0n0wall auf die Festplatte? das .iso ist ja eigentlech die Live-Boot-CD ... aber da sehe ich keinen Punkt zum auf die HD installieren ... und die anderen sind .img-dateien, die ich in VMWare nicht einhängen kann ...
N00B-Frage ... aber ich stell si dennoch :P
Greetz, Lousek
Die Provider geben dir oft ein kleines Subnetz wovon eine IP dein Router ist und eine der Router von denen als def. Gateway.
Anständige Router können dann das DSL Interface auch auf andere LAN Interfaces bridgen so das du die restlichen IPs deines kleinen Subnetzes als kleines öffentliches IP Subnetz oder "quasi" DMZ betreiben kannst obwohl es keine DMZ ist wenn du sie nicht sicherst, da ja alle IPs offen im Internet liegen...
Ob man das aber auf deinem Zyxel Billigrouter konfigurieren kann bzw. der solche Konfigurationsszenarien supportet ist eine ganz andere Frage die mit der IP Adressierung erstmal rein gar nichts zu tun hat....
Bzgl M0nowall:
Die Monowall hat ein fertiges VM Image für dich:
http://m0n0.ch/wall/beta.php
bzw.
http://m0n0.ch/wall/download.php?file=generic-pc-1.3b15-vm.zip
Für die Installation auf Festplatte nimmst du das generic PC image !
http://m0n0.ch/wall/installation_generic.php
Es auf ein Platte zu installieren ist aber dumm und Perlen vor die Säue bei den Plattengössen heutzutage. Es sei denn du kannst noch eine uralte irgendwo recyclen ?! Allerdings hast du dann wieder bewegliche Teil was für den Dauerbetrieb höchst ungünstig ist !
In einem ollen PC (min. 64 MB RAM) bei Dauerbetrieb rennt das besser von einer Flash Karte und einem Flash IDE Adapter, den man einfach und banal als Festplattenersatz in den IDE Sockel des PCs steckt !
https://shop.tronico.net/tronico.php/sid/4ebf1ee031a8eac2c6d58ae5bef2f97 ...
Am technisch allerbesten ist für den Dauerbetrieb dann aber eine dedizierte Appliance mit einem Mini Mainbord zu verwenden:
bzw.
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
Anständige Router können dann das DSL Interface auch auf andere LAN Interfaces bridgen so das du die restlichen IPs deines kleinen Subnetzes als kleines öffentliches IP Subnetz oder "quasi" DMZ betreiben kannst obwohl es keine DMZ ist wenn du sie nicht sicherst, da ja alle IPs offen im Internet liegen...
Ob man das aber auf deinem Zyxel Billigrouter konfigurieren kann bzw. der solche Konfigurationsszenarien supportet ist eine ganz andere Frage die mit der IP Adressierung erstmal rein gar nichts zu tun hat....
Bzgl M0nowall:
Die Monowall hat ein fertiges VM Image für dich:
http://m0n0.ch/wall/beta.php
bzw.
http://m0n0.ch/wall/download.php?file=generic-pc-1.3b15-vm.zip
Für die Installation auf Festplatte nimmst du das generic PC image !
http://m0n0.ch/wall/installation_generic.php
Es auf ein Platte zu installieren ist aber dumm und Perlen vor die Säue bei den Plattengössen heutzutage. Es sei denn du kannst noch eine uralte irgendwo recyclen ?! Allerdings hast du dann wieder bewegliche Teil was für den Dauerbetrieb höchst ungünstig ist !
In einem ollen PC (min. 64 MB RAM) bei Dauerbetrieb rennt das besser von einer Flash Karte und einem Flash IDE Adapter, den man einfach und banal als Festplattenersatz in den IDE Sockel des PCs steckt !
https://shop.tronico.net/tronico.php/sid/4ebf1ee031a8eac2c6d58ae5bef2f97 ...
Am technisch allerbesten ist für den Dauerbetrieb dann aber eine dedizierte Appliance mit einem Mini Mainbord zu verwenden:
bzw.
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
guckst Du hier.
Du brauchst eigentlich nur eine offizielle IP-Adresse. Die DMZ kannst Du auch mit privaten Adressen bestücken (andere als das LAN) der Router leitet dann je nach port weiter.
Gruß, Arch Stanton
Du brauchst eigentlich nur eine offizielle IP-Adresse. Die DMZ kannst Du auch mit privaten Adressen bestücken (andere als das LAN) der Router leitet dann je nach port weiter.
Gruß, Arch Stanton
Naja mal schauen ... habe bisher Endian gebraucht und gerade entdeckt das die das ja auch kann ;)
Greetz, Lousek
Greetz, Lousek
Hallo aqui,
Richtig, in diesem Fall hat der Provider einen eigenen Router vor Ort, welcher per Ethernet mit dem Eigenen verbunden ist. Somit kann das Interface des eigenen Router mehrere IPs haben.
Genau das wird in dem o. g. Szenario nicht verwendet (DSL meint -> PPPoE/A -> Point-to-Point eben, Point-to-Point schließt logischerweise mehrere IPs aus).
Grüße, Steffen
Zitat von @aqui:
Die Provider geben dir oft ein kleines Subnetz wovon eine IP dein
Router ist und eine der Router von denen als def. Gateway.
Die Provider geben dir oft ein kleines Subnetz wovon eine IP dein
Router ist und eine der Router von denen als def. Gateway.
Richtig, in diesem Fall hat der Provider einen eigenen Router vor Ort, welcher per Ethernet mit dem Eigenen verbunden ist. Somit kann das Interface des eigenen Router mehrere IPs haben.
Anständige Router können dann das DSL Interface ...
Genau das wird in dem o. g. Szenario nicht verwendet (DSL meint -> PPPoE/A -> Point-to-Point eben, Point-to-Point schließt logischerweise mehrere IPs aus).
Grüße, Steffen
Hallo Arch,
mit mehreren IPs kann man z.B. mittels Echo die Erreichbarkeit unterschiedlicher Geräte hinter einem Router testen, oder unterschiedliche Web-Server (welche nach außen den gleichen standardisierten Port nutzen) erreichen.
Grüße, Steffen
Zitat von @Arch-Stanton:
Du brauchst eigentlich nur eine offizielle IP-Adresse. Die DMZ kannst
Du auch mit privaten Adressen bestücken (andere als das LAN) der
Router leitet dann je nach port weiter.
Du brauchst eigentlich nur eine offizielle IP-Adresse. Die DMZ kannst
Du auch mit privaten Adressen bestücken (andere als das LAN) der
Router leitet dann je nach port weiter.
mit mehreren IPs kann man z.B. mittels Echo die Erreichbarkeit unterschiedlicher Geräte hinter einem Router testen, oder unterschiedliche Web-Server (welche nach außen den gleichen standardisierten Port nutzen) erreichen.
Grüße, Steffen
Hmm ...
wenn man von den oberen Beispielen mit DNS-Einträgen www1, www2, ... ausgeht ... aber diese alle auf DIESELBE IP richtet ...
Sagen wir, ich habe einen Apache-Webserver. Dieser hat virtuelle Host, mit www1.meinedomain.bla, www2.meinedomain.bla, ... (Name based hosts oder wie die heissen)
dies würde auch funktionieren, oder irre ich mich da?
Gibt es für HTTP / HTTPS (dort wird doch im Header der aufgerufene Name mitgegeben, obwohl nur über die IP gearbeitet wird ... oder nicht?), ein "Namenbasiertes NAT"?
Also das wenn z.B. https://management1.meindomain.bla(:443) aufgerufen wird, leitet er dieses intern auf https://192.168.1.13:8333 weiter ...?
Wenn z.B. https://management2.meindedomain.bla(:443), (also gleicher Port) aufgerufen wird, leitet er dies intern auf https://192.168.1.93:10443 weiter ...
Extern sind die Ports also die gleichen ...
Greetz, Lousek
wenn man von den oberen Beispielen mit DNS-Einträgen www1, www2, ... ausgeht ... aber diese alle auf DIESELBE IP richtet ...
Sagen wir, ich habe einen Apache-Webserver. Dieser hat virtuelle Host, mit www1.meinedomain.bla, www2.meinedomain.bla, ... (Name based hosts oder wie die heissen)
dies würde auch funktionieren, oder irre ich mich da?
Gibt es für HTTP / HTTPS (dort wird doch im Header der aufgerufene Name mitgegeben, obwohl nur über die IP gearbeitet wird ... oder nicht?), ein "Namenbasiertes NAT"?
Also das wenn z.B. https://management1.meindomain.bla(:443) aufgerufen wird, leitet er dieses intern auf https://192.168.1.13:8333 weiter ...?
Wenn z.B. https://management2.meindedomain.bla(:443), (also gleicher Port) aufgerufen wird, leitet er dies intern auf https://192.168.1.93:10443 weiter ...
Extern sind die Ports also die gleichen ...
Greetz, Lousek
Aha, scheint so, als möchtest du den VMware-Server Client anbinden... Ich kenne eigentlich nur die "Virtual Hosts" des Apache, ein namensbasiertes NAT ist mir nicht bekannt. Aber ich lass mich gern über neue Entwicklungen unterrichten.
