7
(öffentlicher) IP-Adresspool soll auf verschiedene Clients geroutet werden
Hallo Welt ;)
Kurzversion (für die Schnelleser):
- Provider stellt Standleitung mit verschiedenen IP-Adressen
- Vor Ort habe ich mehrere Clients denen ich einzelne IP zuweisen möchte
- Clients sollen gegeneinander nicht erreichbar sein
Längere Version (für alle Anderen):
Grüße in die Runde.
Unser Anbieter stellt uns eine Standleitung und zusätzlich einen Pool von öffentlichen IP-Adressen.
Dies möchte ich (jeweils eine oder zwei) auf dedizierte Client-Rechner verteilen.
Diese Verteilung soll möglichst dienstneutral sein, ob auf einem Client nun ein Mailserver auf einem Anderen ein Webserver und auf dem Dritten viellecht nur eine Art "NAS-Lösung" betrieben wird sollte nicht auschlaggebend sein.
Die Wartung der Clients soll über VPN "aus dem Internet" erfolgen.
Installation der Clients (und der entsprechenden Routing-Hardware) soll in einem 19''-Rack stattfinden.
Vereinfacht sieht das Ziel folgendermaßen aus:
Anbindung (mit mehreren offentl. IP) ------> Routinglösung -------> Mehrere konfigurierbare Ports die mehrere der öffentlichen IP zur Verfügung stellen.
Ich hoffe ich habe mich halbwegs verständlich ausgedrückt.
Schonmal vielen Dank für die Hilfe
Kurzversion (für die Schnelleser):
- Provider stellt Standleitung mit verschiedenen IP-Adressen
- Vor Ort habe ich mehrere Clients denen ich einzelne IP zuweisen möchte
- Clients sollen gegeneinander nicht erreichbar sein
Längere Version (für alle Anderen):
Grüße in die Runde.
Unser Anbieter stellt uns eine Standleitung und zusätzlich einen Pool von öffentlichen IP-Adressen.
Dies möchte ich (jeweils eine oder zwei) auf dedizierte Client-Rechner verteilen.
Diese Verteilung soll möglichst dienstneutral sein, ob auf einem Client nun ein Mailserver auf einem Anderen ein Webserver und auf dem Dritten viellecht nur eine Art "NAS-Lösung" betrieben wird sollte nicht auschlaggebend sein.
Die Wartung der Clients soll über VPN "aus dem Internet" erfolgen.
Installation der Clients (und der entsprechenden Routing-Hardware) soll in einem 19''-Rack stattfinden.
Vereinfacht sieht das Ziel folgendermaßen aus:
Anbindung (mit mehreren offentl. IP) ------> Routinglösung -------> Mehrere konfigurierbare Ports die mehrere der öffentlichen IP zur Verfügung stellen.
Ich hoffe ich habe mich halbwegs verständlich ausgedrückt.
Schonmal vielen Dank für die Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 351269
Url: https://administrator.de/contentid/351269
Printed on: April 24, 2024 at 20:04 o'clock
7 Comments
Latest comment
Moin,
(die Diskussion darüber ob das sicherheitstechnisch sinnvoll ist, erspare ich mir/dir an dieser Stelle)
2 Ansätze
1. direkters Routing. Clients hängen direkt mit der öffentlichen IP im Internet, d.h. den Router brauchst du dann nicht.
2. Portforwarding/NAT. Am Router werden dabei die öffentlichen IPs in die privaten IPs übersetzt (und andersherum) und/oder ggfs. einzelne Ports auf einzelne Clients weitergeleitet.
In beiden Fällen ist eine FW vor den Clients empfehlenswert.
lg,
Slainte
(die Diskussion darüber ob das sicherheitstechnisch sinnvoll ist, erspare ich mir/dir an dieser Stelle)
2 Ansätze
1. direkters Routing. Clients hängen direkt mit der öffentlichen IP im Internet, d.h. den Router brauchst du dann nicht.
2. Portforwarding/NAT. Am Router werden dabei die öffentlichen IPs in die privaten IPs übersetzt (und andersherum) und/oder ggfs. einzelne Ports auf einzelne Clients weitergeleitet.
In beiden Fällen ist eine FW vor den Clients empfehlenswert.
lg,
Slainte
Nennt sich 1:1 NAT und kann jeder halbwegs professionelle Router, günstig und alle Möglichkeiten dafür bietet dir z.B. Mikrotik, aber auch alle WRT Router lassen sich so konfigurieren. Cisco &Co. natürlich selbstredend.
1:1 NAT wäre ja Unsinn wenn er ein öffentliches Subnetz vom Provider bekommt in dem die Endgeräte arbeiten.
Wenn dann stellt dir der Provider ein öffentliches Subnetz zur Verfügung mit einem Adresspool. Die Standleitung ist dann entweder eine PPP Leitung oder arbeitet mit einem /30er Prefix.
Vermutlich meintest du aber genau das ?!
Denn es ist nicht wirklich klar was du erreichen willst.
Dein Vorhaben hört sich erstmal nach einem simplen Allerwelts Standard an.
Oder...man hat nicht richtig verstanden was du wirklich willst ?!
Provider stellt Standleitung mit verschiedenen IP-Adressen
Sowas gibt es gar nicht !Wenn dann stellt dir der Provider ein öffentliches Subnetz zur Verfügung mit einem Adresspool. Die Standleitung ist dann entweder eine PPP Leitung oder arbeitet mit einem /30er Prefix.
Vermutlich meintest du aber genau das ?!
Dies möchte ich (jeweils eine oder zwei) auf dedizierte Client-Rechner verteilen.
Ist ja kein Problem mit einer statischen, manuellen IP Adressvergabe wie es bei Hosts in öffentlichen Subnetzen in der Regel üblich ist !Die Wartung der Clients soll über VPN "aus dem Internet" erfolgen.
Auch kein Thema und simpler, üblicher Standard der für die eigentliche Fragestellung hier irrelevant ist. Verschlüsselte direkte Verbindungen (SSH etc.) sind auch denkbar.Installation der Clients (und der entsprechenden Routing-Hardware) soll in einem 19''-Rack stattfinden.
Ist für die Lösung an sich hier auch völlig irrelevant mit der einzigen Ausnahme das du dafür (natürlich) einen Router oder L3 Device brauchst für die Anbindung. Du kannst die Komponenten auch auf ein IKEA Holzregal "Billy" stellen und frei mit Patchkabeln verbinden. Der Funktion selber tut das keinen Abbruch Ich hoffe ich habe mich halbwegs verständlich ausgedrückt.
Nicht wirklich, sorry Denn es ist nicht wirklich klar was du erreichen willst.Dein Vorhaben hört sich erstmal nach einem simplen Allerwelts Standard an.
- Standleitung mit /30 IP oder PPP auf dein öffentliches Subnetz
- Öffentliches Subnetz bei dem du selber bestimmen kannst wer welche IP bekommt.
- /30er oder PPP IP auf dem WAN Port konfigurieren
- Eine der öff. Subnetz IPs auf dem LAN Port konfigurieren
- Default Gateway auf die PPP oder /30er IP einstellen auf der Providerseite
- IPs aus dem dir vom Provider zugeteilten Subnetz auf die Hosts manuell (statisch) oder per DHCP Nailing verteilen
- Fertisch
Oder...man hat nicht richtig verstanden was du wirklich willst ?!
Zitat von @aqui:
1:1 NAT wäre ja Unsinn wenn er ein öffentliches Subnetz vom Provider bekommt in dem die Endgeräte arbeiten.
Wenn dann stellt dir der Provider ein öffentliches Subnetz zur Verfügung mit einem Adresspool. Die Standleitung ist dann entweder eine PPP Leitung oder arbeitet mit einem /30er Prefix.
1:1 NAT wäre ja Unsinn wenn er ein öffentliches Subnetz vom Provider bekommt in dem die Endgeräte arbeiten.
Provider stellt Standleitung mit verschiedenen IP-Adressen
Sowas gibt es gar nicht !Wenn dann stellt dir der Provider ein öffentliches Subnetz zur Verfügung mit einem Adresspool. Die Standleitung ist dann entweder eine PPP Leitung oder arbeitet mit einem /30er Prefix.
Okay, wollte damit sagen das Beides vom selben Anbieter kommt.
Die Wartung der Clients soll über VPN "aus dem Internet" erfolgen.
Auch kein Thema und simpler, üblicher Standard der für die eigentliche Fragestellung hier irrelevant ist. Verschlüsselte direkte Verbindungen (SSH etc.) sind auch denkbar.Das habe ich so angeführt da es oftmals Probleme beim VPN gibt.
Ein Beispiel: VPN durch eine FritzBox hindurch zu einem Server hinter der FritzBox.
Installation der Clients (und der entsprechenden Routing-Hardware) soll in einem 19''-Rack stattfinden.
Ist für die Lösung an sich hier auch völlig irrelevant mit der einzigen Ausnahme das du dafür (natürlich) einen Router oder L3 Device brauchst für die Anbindung. Du kannst die Komponenten auch auf ein IKEA Holzregal "Billy" stellen und frei mit Patchkabeln verbinden. Der Funktion selber tut das keinen Abbruch Das war für den Fall das es konkrete Hardwarevorschläge auf diese Frage gibt, die Routingfunktion bleibt von der Bauform natürlich unberührt.
1:1 NAT wäre ja Unsinn wenn er ein öffentliches Subnetz vom Provider bekommt in dem die Endgeräte arbeiten.
Ja wenn er ein Subnetz bekommt, das ist aber bei einigen nicht der Fall.
Deshalb ja auch die Nachfrage weil es aus dem Thread des TO leider nicht klar erkenntbar ist
Eine kleine Topo Skizze wäre hier hilfreich...
Vollkommen unklar ist auch warum der TO hier von VPN Problemen spricht. Gerade bei FBs gibt es sowas recht selten bis gar nicht wenn man alles richtig macht. Gilt auch für die allermeiste VPN Hardware. Fehler liegen da meist immer auf Anwender Ebene und dem fehlenden bis schlechten VPN KnowHow.
Diese Foren Tutorials haben grundlegende Tipps dazu sofern es um IPsec als zu verwendendes VPN Protokoll handelt (es gibt ja auch noch ein paar andere...):
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Das ist aber erstmal ne ganz andere Baustelle die mit der eigentlichen, obigen Fragerstellung erstmal nichts zu tun hat.
Eine kleine Topo Skizze wäre hier hilfreich...
Vollkommen unklar ist auch warum der TO hier von VPN Problemen spricht. Gerade bei FBs gibt es sowas recht selten bis gar nicht wenn man alles richtig macht. Gilt auch für die allermeiste VPN Hardware. Fehler liegen da meist immer auf Anwender Ebene und dem fehlenden bis schlechten VPN KnowHow.
Diese Foren Tutorials haben grundlegende Tipps dazu sofern es um IPsec als zu verwendendes VPN Protokoll handelt (es gibt ja auch noch ein paar andere...):
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Das ist aber erstmal ne ganz andere Baustelle die mit der eigentlichen, obigen Fragerstellung erstmal nichts zu tun hat.
das es konkrete Hardwarevorschläge auf diese Frage gibt
Die wie immer üblic hen Verdächtigen...- Cisco: Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
- pfSense: Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
- Lancom, Bintec usw.
Hallo,
- Was sind das für Clienten? Server?
- Warum sollte jemand eine öffentliche Adresse direkt auf seinem Geräte haben?
- Ist das nciht auch mittels eines Routers oder einer Firewall zu lösen, die vorne am Geräte selber die öffentliche IP Adresse
eingetragen bekommen und dann mittels Port Forwarding die Ports und Protokolle zu den Clienten umgesetzt bekommen?
bzw. Routen auf die Clienten und deren IP Adresse umsetzen.
Proxy-Servers dazwischen umzusetzen.
Gruß
Dobby
Kurzversion (für die Schnelleser):
und kurz gefragt;- Was sind das für Clienten? Server?
- Warum sollte jemand eine öffentliche Adresse direkt auf seinem Geräte haben?
- Ist das nciht auch mittels eines Routers oder einer Firewall zu lösen, die vorne am Geräte selber die öffentliche IP Adresse
eingetragen bekommen und dann mittels Port Forwarding die Ports und Protokolle zu den Clienten umgesetzt bekommen?
- Provider stellt Standleitung mit verschiedenen IP-Adressen
IP Adressen direkt am Router oder der Firewall eintragen und dann mittels Port Fowarding und Protokollweiterleitungbzw. Routen auf die Clienten und deren IP Adresse umsetzen.
- Vor Ort habe ich mehrere Clients denen ich einzelne IP zuweisen möchte
und warum dann die öffentliche IP Adresse direkt am Clienten gesetzt werden.- Clients sollen gegeneinander nicht erreichbar sein
Dann VLANs oder aber wenn in einer DMZ mittels Firewall Regeln und/oder Switch ACLs. Auch und sicherlich mittels einesProxy-Servers dazwischen umzusetzen.
Gruß
Dobby
