10
route für eine IP von rootserver in privates netz (windows 2003)
Hallo, ich habe das folgende Problem mit einem Windows 2003 - Rootserver bei 1und1...
Leider ist dort kein Bridged Networking erlaubt und das erschwert alles. Auf der Windowsmaschine läuft vmware mit einer virtuellen maschine (192.168.214.129 - debian linux) die in einem host-only netzwerk mit der windowsmaschine (192.168.214.1) verbunden ist.
Der windows-rootserver hat 2 feste öffentliche IP-Adressen - eine davon soll direkt auf die VM weitergeleitet werden...
wäre der rootserver eine linux-maschine, da wäre das ganze kein problem, da habe ich es bereits erfolgreich konfiguriert:
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.214.129 -j SNAT --to-source 217.x.y.z
iptables -t nat -A PREROUTING -d 217.x.y.z -j DNAT --to-destination 192.168.214.129
iptables -t nat -A OUTPUT -d 217.x.y.z -j DNAT --to-destination 192.168.214.129
Wie richte ich das aber alles unter windows 2003 ein? Ich versuche mich schon einige Zeit dran, bekomme es aber nicht zum laufen. Entweder ist der Rootserver überhaupt nicht mehr zu erreichen oder es funktioniert einfach nicht. Irgendwie sollte das doch mit Routing and Remote Access funktionieren, oder? Statische Routen? etwas anderes?
Kann mir irgendjemand konrete Hilfe geben?
Vielen Dank im Voraus.
(PS: nein ich möchte nicht NAT von VMware verwenden oder einzelne ports forwarden, die ganze IP soll geforwarded werden (ip masquerading))
Der windows-rootserver hat 2 feste öffentliche IP-Adressen - eine davon soll direkt auf die VM weitergeleitet werden...
wäre der rootserver eine linux-maschine, da wäre das ganze kein problem, da habe ich es bereits erfolgreich konfiguriert:
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.214.129 -j SNAT --to-source 217.x.y.z
iptables -t nat -A PREROUTING -d 217.x.y.z -j DNAT --to-destination 192.168.214.129
iptables -t nat -A OUTPUT -d 217.x.y.z -j DNAT --to-destination 192.168.214.129
Wie richte ich das aber alles unter windows 2003 ein? Ich versuche mich schon einige Zeit dran, bekomme es aber nicht zum laufen. Entweder ist der Rootserver überhaupt nicht mehr zu erreichen oder es funktioniert einfach nicht. Irgendwie sollte das doch mit Routing and Remote Access funktionieren, oder? Statische Routen? etwas anderes?
Kann mir irgendjemand konrete Hilfe geben?
Vielen Dank im Voraus.
(PS: nein ich möchte nicht NAT von VMware verwenden oder einzelne ports forwarden, die ganze IP soll geforwarded werden (ip masquerading))
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 84938
Url: https://administrator.de/contentid/84938
Printed on: April 19, 2024 at 19:04 o'clock
10 Comments
Latest comment
Masquerading ist NAT !!! Nicht das du da was falsch verstehst. Es ist klar das der Hoster dir kein Bridging erlaubt, denn dafür müsstest du eine seiner teuren öffentlichen IPs benutzen für die VM Maschine, die er natürlich nur gegen Geld (wenn überhaupt) rausrückt...logisch ! Eine öffentliche IP Adresse ausdenken kannst du dir ja natürlich nicht...
So oder so musst du also in jedem Falle NAT machen, das siehst du ja auch schon an der Verwendung von RFC 1918 Adressen in deiner VMware die im Internet ja gar nicht geroutet werden. Also auch deshalb ist NAT zwingend erforderlich.
Routen fällt wegen Verwendung dieser 192.168.x.x Adressen bei dir vollkommen flach denn der Hoster würde Packete mit solchen Adressen an seinen Routern gleich in den Datenmülleimer verfrachten nach /dev/null !
Was du in einem Routing Szenario machen musst steht hier:
es ist ja nichts anderes nur das dein 2ter Adapter halt virtuell ist
Wie gesagt das geht aber nicht !! weil du keine 2te öffentliche IP Adresse hast !!!
Also muss dein W2k Server NAT (Internet Sharing) bzw. NAT in der VMware machen und du musst ihm ein Port Forwarding beibringen auf seine Hoster IP.
Wenn du weisst wie es bei Linux geht warum nimmst du nicht gleich ein richtiges OS für einen öffentlichen Server ??!!?
So oder so musst du also in jedem Falle NAT machen, das siehst du ja auch schon an der Verwendung von RFC 1918 Adressen in deiner VMware die im Internet ja gar nicht geroutet werden. Also auch deshalb ist NAT zwingend erforderlich.
Routen fällt wegen Verwendung dieser 192.168.x.x Adressen bei dir vollkommen flach denn der Hoster würde Packete mit solchen Adressen an seinen Routern gleich in den Datenmülleimer verfrachten nach /dev/null !
Was du in einem Routing Szenario machen musst steht hier:
es ist ja nichts anderes nur das dein 2ter Adapter halt virtuell ist
Wie gesagt das geht aber nicht !! weil du keine 2te öffentliche IP Adresse hast !!!
Also muss dein W2k Server NAT (Internet Sharing) bzw. NAT in der VMware machen und du musst ihm ein Port Forwarding beibringen auf seine Hoster IP.
Wenn du weisst wie es bei Linux geht warum nimmst du nicht gleich ein richtiges OS für einen öffentlichen Server ??!!?
das Problem ist, dass der Server zwei öffentliche IPs HAT...
diese beiden jedoch an einem einzigen Adapter eingetragen sind...
irgendwie muss es doch gehen .. Routing and RAS, Statische Routen, NAT (UND Windows 2003)...
aber wie?
diese beiden jedoch an einem einzigen Adapter eingetragen sind...
irgendwie muss es doch gehen .. Routing and RAS, Statische Routen, NAT (UND Windows 2003)...
aber wie?
Wenn beide öffentlichen IPs in einem gemeinsamen Netz liegen dann ist es kein Problem. Dann benutzt du Bridging um die VM Maschine anzubinden und diese bekommt dann die 2te Adresse.
Also der Host hat dann die eine öffentliche und die VM die 2te.
Sind beide öffentlichen IPs in unterschiedlichen Netzen, dann hast du ohne Intervention des Hosters keine Chance, denn der muss seinen Layer 3 Geräten ja die Route zu deiner 2ten Adresse mitteilen, das die Packete geroutet werden.
Deine oben angegebenen 192.168.214er Adressen sind keine öffentlichen IPs, das ist dir sicher klar, denn es sind RFC 1918 private IP die nicht geroutet werden im Internet.
Dies Adressen dürfen also nur in der Verbindung Host - Gastsystem verwendet werden was bei dir ja auch der Fall ist ! Zwangsweise musst du dann aber NAT am öffnetlichen Adapter der Windows Maschine machen, da der Debian Host mit der 192.168.214.129 ja genattet werden MUSS !
In einem Host only Netzwerk muss dann also auf der Windows Maschine Routing aktiviert sein (Bei 2k3 ist das einfach RAS aktivieren) und auf dem Windows Adapter mit der öffentlichen IP muss das Internet Connection Sharing aktiviert sein in den Eigenschaften.
Der Debian benötigt dann eine default Route auf die 192.168.214.1. Als DNS Server trägst du in die /etc/resolv.conf den DNS Server des Hosters ein, der auch auf dem Windows Server konfiguriert ist.
Damit sollte das eigentlich problemlos klappen...
Also der Host hat dann die eine öffentliche und die VM die 2te.
Sind beide öffentlichen IPs in unterschiedlichen Netzen, dann hast du ohne Intervention des Hosters keine Chance, denn der muss seinen Layer 3 Geräten ja die Route zu deiner 2ten Adresse mitteilen, das die Packete geroutet werden.
Deine oben angegebenen 192.168.214er Adressen sind keine öffentlichen IPs, das ist dir sicher klar, denn es sind RFC 1918 private IP die nicht geroutet werden im Internet.
Dies Adressen dürfen also nur in der Verbindung Host - Gastsystem verwendet werden was bei dir ja auch der Fall ist ! Zwangsweise musst du dann aber NAT am öffnetlichen Adapter der Windows Maschine machen, da der Debian Host mit der 192.168.214.129 ja genattet werden MUSS !
In einem Host only Netzwerk muss dann also auf der Windows Maschine Routing aktiviert sein (Bei 2k3 ist das einfach RAS aktivieren) und auf dem Windows Adapter mit der öffentlichen IP muss das Internet Connection Sharing aktiviert sein in den Eigenschaften.
Der Debian benötigt dann eine default Route auf die 192.168.214.1. Als DNS Server trägst du in die /etc/resolv.conf den DNS Server des Hosters ein, der auch auf dem Windows Server konfiguriert ist.
Damit sollte das eigentlich problemlos klappen...
ich mach es mal ganz konkret:
der Host hat folgende beiden öffentlichen IPs:
212.227.x.y
87.106.a.b.
(für x,y,a und b sind normale werte einzusetzen)...
diese beiden IPs sind auf dem Adapter "Local Area Connection" eingetragen.
Nur die 87.106.a.b soll zur VM weiterleiten. die andere einfach "normal" zum windows-host.
Der host und die debian-vm sind in einem host-only netzwerk miteinander verbunden. Der host hat die IP 192.168.58.1 und debian-vm hat 192.168.58.217.
Außerdem habe ich bereits Routing and RAS aktiviert und eingerichtet, dass die debian-vm "ins internet kann".
jetzt fehlt nur noch der Teil mit dem routing von 87.106.a.b. zu 192.168.58.217 ... (und zurück?)...
wie mache ich das konkret? Ohne dass auch die 212.227.x.y-adresse weiterleitet?
der Host hat folgende beiden öffentlichen IPs:
212.227.x.y
87.106.a.b.
(für x,y,a und b sind normale werte einzusetzen)...
diese beiden IPs sind auf dem Adapter "Local Area Connection" eingetragen.
Nur die 87.106.a.b soll zur VM weiterleiten. die andere einfach "normal" zum windows-host.
Der host und die debian-vm sind in einem host-only netzwerk miteinander verbunden. Der host hat die IP 192.168.58.1 und debian-vm hat 192.168.58.217.
Außerdem habe ich bereits Routing and RAS aktiviert und eingerichtet, dass die debian-vm "ins internet kann".
jetzt fehlt nur noch der Teil mit dem routing von 87.106.a.b. zu 192.168.58.217 ... (und zurück?)...
wie mache ich das konkret? Ohne dass auch die 212.227.x.y-adresse weiterleitet?
Reines Routing auf 192.168.58.217 kann niemals funktionieren, das sollte dir doch klar sein !!! 192.168.58.217 ist keine öffentliche Adresse und verschwindet sofort in den IP Filterlisten des Hosters auf dessen Switches !!! Die Lösung fällt sofort flach...!
Du kannst also niemals ein IP Routing Szenario realisieren in diesem Umfeld !!! Das sollte dir klar sein.
Du musst zwangsweise mit NAT arbeiten auf dem physischen Interface zum Hoster. Was auch verwunderlich ist, ist die Tatsache das dein Hoster 2 IP Netze auf der Ethernet Physik fährt nämlich 212.227.x.x und 87.106.x.x.
Das ist absolut unüblich und es ist mehr als zweifelhaft ob dem wirklich so ist oder du da was falsch verstanden hast... Wenn es denn wirklich so sein sollte ist es völlig egal welche IP du auf dem LAN Adapter zum Hoster benutzt...
Dein Szenario kann also nur so aussehen:
2 öffentliche IP Adressen zu verbraten auf dem LAN Interface ist auch Unsinn. Auch eine trickreiche Bastellösung mit der 2ten öffentlichen IP ist zum Scheitern veruteilt.
Der Grund ist einfach: Ist diese IP auf dem VmWare Host konfiguriert würde dies Netz nur routebar über deinen Server erreichbar sein. Zwngsweise müsste der Hoster also eine Route eintragen über dein Server, was er niemals machen wird....
Dein Weg zum Ziel fürt also einzig und allein über NAT in so einem Szenario oder mit einem 2ten physisch separaten Rechner und der 87.106.x.x. auf dem Interface. Eine Vm Lösung ist so nicht möglich wenn Bridging nicht erlaubt ist und du die 87.106.x.x. Adresse nicht für die VM benutzen kannst
Du kannst also niemals ein IP Routing Szenario realisieren in diesem Umfeld !!! Das sollte dir klar sein.
Du musst zwangsweise mit NAT arbeiten auf dem physischen Interface zum Hoster. Was auch verwunderlich ist, ist die Tatsache das dein Hoster 2 IP Netze auf der Ethernet Physik fährt nämlich 212.227.x.x und 87.106.x.x.
Das ist absolut unüblich und es ist mehr als zweifelhaft ob dem wirklich so ist oder du da was falsch verstanden hast... Wenn es denn wirklich so sein sollte ist es völlig egal welche IP du auf dem LAN Adapter zum Hoster benutzt...
Dein Szenario kann also nur so aussehen:
2 öffentliche IP Adressen zu verbraten auf dem LAN Interface ist auch Unsinn. Auch eine trickreiche Bastellösung mit der 2ten öffentlichen IP ist zum Scheitern veruteilt.
Der Grund ist einfach: Ist diese IP auf dem VmWare Host konfiguriert würde dies Netz nur routebar über deinen Server erreichbar sein. Zwngsweise müsste der Hoster also eine Route eintragen über dein Server, was er niemals machen wird....
Dein Weg zum Ziel fürt also einzig und allein über NAT in so einem Szenario oder mit einem 2ten physisch separaten Rechner und der 87.106.x.x. auf dem Interface. Eine Vm Lösung ist so nicht möglich wenn Bridging nicht erlaubt ist und du die 87.106.x.x. Adresse nicht für die VM benutzen kannst
Danke für die sehr ausführliche Antwort.
Ja der hoster hat wirklich diese beiden Adressen auf meinen Adapter geschalten - 2 verschiedene IP netze... und es sind beide erreichbar.
Vielleicht habe ich mich etwas falsch ausgedrückt - ich meinte, wie kann ich diese NAT-Lösung realisieren? Routing und NAT habe ich in einem Gedanken verbunden
...
unter Linux habe ich die NAT lösung ja bereits erfolgreich einrichten könen ... jedoch mit Windows als Hostsystem weiß ich nicht wie. Egal was ich bisher versucht habe (mit Routing und Remote Access), hat nicht funktioniert... oder beide öffentliche IPs leiten an die VM weiter.
Vielleicht hast du (oder jemand anderes) eine konkrete Antwort parat, wie das mit Windows funktioniert?
Ja der hoster hat wirklich diese beiden Adressen auf meinen Adapter geschalten - 2 verschiedene IP netze... und es sind beide erreichbar.
Vielleicht habe ich mich etwas falsch ausgedrückt - ich meinte, wie kann ich diese NAT-Lösung realisieren? Routing und NAT habe ich in einem Gedanken verbunden
...unter Linux habe ich die NAT lösung ja bereits erfolgreich einrichten könen ... jedoch mit Windows als Hostsystem weiß ich nicht wie. Egal was ich bisher versucht habe (mit Routing und Remote Access), hat nicht funktioniert... oder beide öffentliche IPs leiten an die VM weiter.
Vielleicht hast du (oder jemand anderes) eine konkrete Antwort parat, wie das mit Windows funktioniert?
NAT und Routing sind natürlich 2 Paar Schuhe...das ist klar !
Normalerweise kann man auf den erweiterten Eigenschaften des LAN Adapters (zum Hoster) die Internet Verbindungsfreigabe aktivieren. Das ist das Windows Wort für NAT und dann NATtet Windows alles was von Netzen dahinter kommt. Es mag sein das das bei 2k3 jetzt Internet Connection Sharing oder wie auch immer heisst...
Dafür muss vermutlich nichtmal RAS aktiviert sein. Der Windows Rechner NATet dann alles von Netzen an ihm auf diesen Adapter. Das gilt auch für virtuelle und deinen Linux Host.
Also vom Linux Host Richtung Internet (Hoster) wird es damit immer problemlos klappen.
Das große Problem ist aber dann aber der rückwärtige Weg. D.h. wie erreichst du den Linux Host aus dem Internet über den NAT Prozess des Windows Servers ???
Genau das Szenario bei einer Port Weiterleitungsliste bei einem DSL NAT Router !
Bei Linux kein Problem aber ob der Windows Server das kann ist vermutlich dann eine Frage für die Rubrik Betriebssysteme / Windows / Netzwerke hier im Forum.
Es gibt aber auf der MS Knowledgebase auch einen Artikel dazu aber ob der so richtig hilft... ??
http://technet2.microsoft.com/WindowsServer/de/Library/6dd18466-d9dc-43 ...
Normalerweise kann man auf den erweiterten Eigenschaften des LAN Adapters (zum Hoster) die Internet Verbindungsfreigabe aktivieren. Das ist das Windows Wort für NAT und dann NATtet Windows alles was von Netzen dahinter kommt. Es mag sein das das bei 2k3 jetzt Internet Connection Sharing oder wie auch immer heisst...
Dafür muss vermutlich nichtmal RAS aktiviert sein. Der Windows Rechner NATet dann alles von Netzen an ihm auf diesen Adapter. Das gilt auch für virtuelle und deinen Linux Host.
Also vom Linux Host Richtung Internet (Hoster) wird es damit immer problemlos klappen.
Das große Problem ist aber dann aber der rückwärtige Weg. D.h. wie erreichst du den Linux Host aus dem Internet über den NAT Prozess des Windows Servers ???
Genau das Szenario bei einer Port Weiterleitungsliste bei einem DSL NAT Router !
Bei Linux kein Problem aber ob der Windows Server das kann ist vermutlich dann eine Frage für die Rubrik Betriebssysteme / Windows / Netzwerke hier im Forum.
Es gibt aber auf der MS Knowledgebase auch einen Artikel dazu aber ob der so richtig hilft... ??
http://technet2.microsoft.com/WindowsServer/de/Library/6dd18466-d9dc-43 ...
danke für den Link und die nützlichen Infos...
Der Rückweg funktioniert auch bei Windows... kein Problem...
Das Problem ist, dass 2 IPs auf dem selben Adapter sind... und dass muss irgendwie mit den Adresspool-Einträgen machbar sein... aber wenn ich dort etwas eintrage, ist der Server überhaupt nicht mehr erreichbar.
Ich werde deinen Rat befolgen und in der Rubrik Betriebssysteme / Windows / Netzwerke weiter nachfragen. Danke für deine Hilfe.
Der Rückweg funktioniert auch bei Windows... kein Problem...
Das Problem ist, dass 2 IPs auf dem selben Adapter sind... und dass muss irgendwie mit den Adresspool-Einträgen machbar sein... aber wenn ich dort etwas eintrage, ist der Server überhaupt nicht mehr erreichbar.
Ich werde deinen Rat befolgen und in der Rubrik Betriebssysteme / Windows / Netzwerke weiter nachfragen. Danke für deine Hilfe.
Du kannst auch ganz einfach diesen Thread dahinmoven ! Wenn nicht, dann bitte
How can I mark a post as solved?
nicht vergessen !
How can I mark a post as solved?
nicht vergessen !
Hallo Allexander,
ich kämpfe mit dem gleichen Problem.
Siehe auch Windows Server 4XL64 und VMWare Server 2.0
Bist Du mit der Thematik inzwischen weitergekommen?
Für eine Rückmeldung währe ich Dir dankbar.
Viele Grüße
ich kämpfe mit dem gleichen Problem.
Siehe auch Windows Server 4XL64 und VMWare Server 2.0
Bist Du mit der Thematik inzwischen weitergekommen?
Für eine Rückmeldung währe ich Dir dankbar.
Viele Grüße
