131941

Mar 10, 2017

4327

Zwei öffentliche feste IP-Adressen, Portforwarding

Hallo zusammen,

ich betreibe 2 Server in einer DMZ, die beide einen Dienst bereitstellen, der auf den Port 443 lauscht.
Es sind zwei Server2012R2.

Es ist zwingend erforderlich, dass die beiden Domains:
domain1.firma.de
domain2.firma.de
auch so bleiben.

Die Ports selbst lassen sich von den beiden Diensten nicht ändern und da die Domains von fremden Personen augerufen werden, hilft es auch nichts, den Port bei der Domain anzugeben.
Eine Domain-Umleitung von:
domain1.firma.de auf domain1u.firma.de:553 ist nicht gewünscht.

Ich habe jetzt schon nach Lösungen gesucht und primär zwei Möglichkeiten gefunden:
- Reverse Proxy
- oder zwei öffentliche feste IP-Adressen

Zwei öffentliche feste IP-Adressen besitzen wir bereits, allerdings weiß ich nicht so recht, wie ich damit umgehen soll.

Als Firewall haben wir eine ZyWALL USG 50. Auf dem WAN Port kommen über die PPPoE Anmeldung beim ISP die beiden öffentlichen IPs an.
Nun weiß ich aber nicht, wie die NAT Regel auszusehen hat.

Ich habe mir das so vorgestellt:
Wenn feste IP 1 dann gehe zu LAN IP Server1
Wenn feste IP 2 dann gehe zu LAN IP Server 2

Ich finde dazu aber keine passende Konfigurationsmöglichkeit in der ZyWall.

So sieht die NAT Konfiguration aus:

Oder, ist hier der Punkt Original IP der richtige?
Hier würde ich dann ja entweder die feste IP 1 oder 2 eintragen.

Oder ist mit original IP, die IP von dem jeweiligen fremden aus dem Internet der auf Dienst zugreifen will gemeint?

Danke und viele Grüße

Please also mark the comments that contributed to the solution of the article

Content-Key: 331777

Url: https://administrator.de/contentid/331777

Printed on: April 24, 2024 at 09:04 o'clock

10 Comments

Latest comment

Das ist typisches 1:1 NAT

Gruß schnappi

Zitat von @132658:

Das ist typisches 1:1 NAT

Gruß schnappi

Und das bedeutet..?

Schau mal auf dein Bildchen oben unter Classification!
Grundlagen sind hier wohl erst mal sinnvoll und angebracht:
https://wiki.untangle.com/index.php/1:1_NAT

Hallo,

Ich habe jetzt schon nach Lösungen gesucht und primär zwei Möglichkeiten gefunden:
- Reverse Proxy

Würde ich als zweites favorisieren wollen!

- oder zwei öffentliche feste IP-Adressen

Das wäre ja am einfachsten zu lösen!

öffentliche IP Adresse 1 >>> Interne private IP Adresse am Port 443 >>> Server 1
öffentliche IP Adresse 2 >>> Interne private IP Adresse am Port 443 >>> Server 2

Gruß
Dobby

Ich finde dazu aber keine passende Konfigurationsmöglichkeit in der ZyWall.

Das ist wirklich kinderleicht. In der Tat ist das 1:1 NAT und sollte in 5 Minuten mit 3 Mausklicks auf der Zywall zum Fliegen kommen.

Auf einer pfSense_Firewall löst man das über "Virtual IPs". Öffentliche IP Adresse eintragen, auf welche es lokal forgewardet wird...fertig ist der Lack.
Das sind dann nichtmal 3 Minuten in dem das zum Fliegen kommt.
Eine Zywall sollte das allemal auch können !

Hallo zusammen,

danke für Eure Antworten.

Entgegen der Aussage des Kunden, gibt es nun doch keine zwei öffentliche IPs., daher steht der Proxy jetzt wieder im Raum.

Vorhanden ist ein Ubuntu Server 16.04.2 LTS auf etwa 3 Jahre alter Hardware.

Ich habe mir den Squid "mal" angeschaut, allerdings kommt mir der etwas überladen vor, um 2 Subdomains entweder an Server1 oder Server2 zu leiten.

Könnt ihr mir einen Proxy empfehlen, der etwas schlanker ist?
Oder spricht doch eher mehr für den Squid, sodass man lieber den benutzen sollte.
Squid Kenntnisse sind nicht vorhanden.

In meinem Fall geht es nur darum:
Extern ruft jemand domain1.domain.de auf -> diese soll an Server1 gehen
Extern ruft jemand domain2.domain.de auf -> diese soll an Server2 gehen.

Danke und VG

Ein schlanker nginx als Reverse Proxy reicht völlig.
Nginx Reverse Proxy Exchange () Outlook Verbindung bricht immer ab
NGINX Reverse Proxy mit Exchange 2016 und Outlook 2016
https://www.google.de/search?q=nginx+reverse+proxy

Gruß schnappi

Entgegen der Aussage des Kunden, gibt es nun doch keine zwei öffentliche IPs., daher steht der Proxy jetzt wieder im Raum.

DynDNS oder gar noIP.org eventuell?????

Vorhanden ist ein Ubuntu Server 16.04.2 LTS auf etwa 3 Jahre alter Hardware.

Der ist ja dann hinter einer Firewall oder einem Router oder? Also ich würde lieber zu CentOS tendieren wollen denn
das ist schon von "Haus aus" gehärtet und Squid läuft auch darauf!

Ich habe mir den Squid "mal" angeschaut, allerdings kommt mir der etwas überladen vor, um 2 Subdomains entweder
an Server1 oder Server2 zu leiten.

Man kann auch eine kleine pfSense, Endian, IPFire oder zeroShell Firewall benutzen auf der Squid läuft oder eventuell ClearOS.
Ist eventuell einfacher als Squid zum laufen zu bringen.

> Könnt ihr mir einen Proxy empfehlen, der etwas schlanker ist?
nginx eventuell?

Oder spricht doch eher mehr für den Squid, sodass man lieber den benutzen sollte.
Squid Kenntnisse sind nicht vorhanden.

Es gibt zwei gute Bücher bei Amazon.de zu Squid die recht gut sind und einem auch schnell weiterhelfen.
Link zu beiden beide Büchern

In meinem Fall geht es nur darum:
Extern ruft jemand domain1.domain.de auf -> diese soll an Server1 gehen
Extern ruft jemand domain2.domain.de auf -> diese soll an Server2 gehen.

1 statische öffentliche IP Adresse plus eine DynDNS IP Adresse und alles läuft auch ohne Proxy Server

Gruß
Dobby

DynDNS oder gar noIP.org eventuell?????

Ist nicht gewüscht, da die Firmen Domain zu sehen sein soll
Bisher habe wir die zwei Subdomains die mittels A-Recoder auf die -eine- öffentliche feste IP zeigen.

Der ist ja dann hinter einer Firewall oder einem Router oder? Also ich würde lieber zu CentOS tendieren wollen denn
das ist schon von "Haus aus" gehärtet und Squid läuft auch darauf!

Genau, der steht in der DMZ.

nginx eventuell?

Den gucke ich mir gleich mal an, dazu wird ja sicher schon ein passendes Beispiel bei google zu finden sein.

Es gibt zwei gute Bücher bei Amazon.de zu Squid die recht gut sind und einem auch schnell weiterhelfen.
Link zu beiden beide Büchern

Danke dafür.

Allgemein sei gesagt, ich habe bisher mit Proxys, zumindest auf CLI basis noch nicht gearbeitet.
Muss mir das Ganze hier, zumindest was den reverse Proxy angeht noch zusammen googlen ;)

Gruß
Dobby

Gruß

So, das scheint mit nginx jetzt soweit tatsächlich zu laufen.

test1.firma.de geht auf Server1
test2.firma.de geht auf Server2

Jetzt habe ich noch eine Frage:

Mit HTTP funktioniert das.
Jetzt soll das Ganze noch mit HTTPS realisiert werden.

Also eingehend über HTTP zum nginx, von da aus weiter per HTTPS.

Zum testen nutze ich gerade den Exchange (192.168.140.1).

Wenn ich folgendes einrichte:

proxy_pass https://192.168.140.1;

komme ich beim IIS raus, so wie es auch sein soll.

Allerdings wenn ich folgendes einrichte:

proxy_pass https://192.168.140.1/owa;

funktioniert es nicht.

Liegt das ggf. an der URL?
Beim IIS gibt es ja keinen Zusatz wie bei owa durch /owa

Bin gerade etwas ratlos.
Dienst / Server Neustart natürlich bereits gemacht.

Meine nginx config:

user www-data;
worker_processes auto;
pid /run/nginx.pid;

events {
        worker_connections 768;
        # multi_accept on;
}

http {

server {
    server_name test1.firma.de;

    location / {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass https://192.168.140.1;
    }
}

server {
    server_name test2.firma.de;

    location / {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass https://192.168.140.1;
    }
}

        ##
        # Basic Settings
        ##

        sendfile on;
        tcp_nopush on;

.........

German Question LAN, WAN, Wireless Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments