Hallo,
ich finde viele Beiträge, die Teilaspekte meines Problems behandeln, aber keinen, der mir als Dummy sagt: erst machst du das, dann das etc. und dann geht es. Mit Probieren komme ich jedenfalls nicht weiter. Hier das zu lösende Problem.
Hier läuft ein 1722VOIP mit bisher einer statischen WAN IP Adresse, die er vom Provider automatisch verordnet bekommt. Eine DMZ habe ich bisher noch nicht eingerichtet, aber es steht ein WEB Server im Netz, der über meine WAN IP erreichbar ist. Auf dem Server laufen verschiedene Domains, alle über dieselbe IP (via NAT) zu erreichen. Jetzt zur Aufgabe, die ich lösen will:
Mein Provider hat mir ein /29 Subnetz zur Verfügung gestellt. Den Server möchte ich im LAN auf derselben IP laufen lassen wie bisher (192.168....). Aus dem WAN soll er jetzt mit mehreren IPs angesprochen werden können (eine IP pro Domain, klar).
Ich habe schon alles Mögliche ausprobiert, ich will jetzt nicht alles aufzählen, was schon. Vielleicht kann mir ja jemand in wenigen klaren Schritten sagen, wie es geht.
So, zu den Daten, damit es etwas konkreter werden kann. Die Mail meines Providers sagt folgendes:
--- beginn Zitat
Ihrem Account haben wir das netz [bla].140.72.96/29 also die IP Nummern von ...97 bis ...103 zugeordnet. Die Netzmaske lautet 255.255.255.248. Die Gateway IP [bla].173.146.121 bleibt erhalten (das ist die bieherige WAN IP des Routers).
Um die neuen Nummern nutzen zu können, müssen Sie ebvtl. die bestehende PPP-Session trennen und sich neu anmelden.
--- ende Zitat
Hab ich gemacht. Dann habe ich versucht, dem Router seine neue Aufgabe beizubringen. Den Server in eine DMZ zu stellen sehe ich eigentlich als nicht notwendig an. Ich mchte nur, daß er das neue WAN Subnetz zu einem Rechner im LAN per NAT weiterleitet. Also mehrere WAN IP Adressen auf eine einzelne interne weiterzuleiten.
Achja: LCOS Version ist 6.28.
Sollte das mit einem zweiten Router einfacher zu konfigurieren sein, so hätte ich noch einen DSL/I 1611 Office im Keller rumliegen.
Viele Grüße,
Paul
Routing, Anfängerfragen
Moderator: Lancom-Systems Moderatoren
Routing, Anfängerfragen
Zuletzt geändert von paulinus am 11 Jan 2007, 19:19, insgesamt 1-mal geändert.
Wer Schreibfehler findet darf sie behalten
Hallo Paul,
DMZ sollte jedoch der "gängigste" Weg sein
Wir hatten das hier http://www.lancom-forum.de/htopic,998,.html schonmal in der Art...
DMZ sollte jedoch der "gängigste" Weg sein
Wir hatten das hier http://www.lancom-forum.de/htopic,998,.html schonmal in der Art...
Gruß
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Hi,
naja er müßte dem WAN Interface des Routers wohl die ganzen IPs verpassen und dann eine Maskierung einrichten. Das sollte so ziemlich exakt das sein was er möchte.
Aber eine echte DMZ wäre schon besser. Ein öffentlich erreichbarer Webserver der direkt im LAN steht? - Eine größere Sicherheitslücke dürfte es wohl nicht geben...
Gruß
COMCARGRU
naja er müßte dem WAN Interface des Routers wohl die ganzen IPs verpassen und dann eine Maskierung einrichten. Das sollte so ziemlich exakt das sein was er möchte.
Aber eine echte DMZ wäre schon besser. Ein öffentlich erreichbarer Webserver der direkt im LAN steht? - Eine größere Sicherheitslücke dürfte es wohl nicht geben...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Hallo zusammen,
Also die Sicherheitsthematik wollte ich hier eigentlich nicht diskutieren. Ich habe meine Gründe, warum ich das so will.
So, dem WAN-Interface des Routers die ganzen IPs verpassen hört sich gut an. Ich nehme an, das finde ich unter Kommunikation/Protokolle/IP-Parameter, habe ich recht? Hier habe ich schon mal eine der sieben IPs eingetragen. Als Netzmaske die 255.255.255.248 und als Gateway Adresse die meines Providers. Hier bin ich mir aber nicht sicher, ich habe auch mal die WAN IP eingetragen, die der Router per DHCP von meinem Provider bekommt. Bei Maskierungs IP-Adresse habe ich die interne IP des Servers eingetragen. In beiden Fällen habe ich versucht, einen Ping an diese Adresse abzusetzen, der kommt aber nicht an.
Ist mein Ansatz falsch, oder könnte das so gehen? am N-N Mapping habe ich auch herumgespielt, bin aber auch nicht wirklich zum Erfolg gekommen.
Grüße,
Paul
Also die Sicherheitsthematik wollte ich hier eigentlich nicht diskutieren. Ich habe meine Gründe, warum ich das so will.
So, dem WAN-Interface des Routers die ganzen IPs verpassen hört sich gut an. Ich nehme an, das finde ich unter Kommunikation/Protokolle/IP-Parameter, habe ich recht? Hier habe ich schon mal eine der sieben IPs eingetragen. Als Netzmaske die 255.255.255.248 und als Gateway Adresse die meines Providers. Hier bin ich mir aber nicht sicher, ich habe auch mal die WAN IP eingetragen, die der Router per DHCP von meinem Provider bekommt. Bei Maskierungs IP-Adresse habe ich die interne IP des Servers eingetragen. In beiden Fällen habe ich versucht, einen Ping an diese Adresse abzusetzen, der kommt aber nicht an.
Ist mein Ansatz falsch, oder könnte das so gehen? am N-N Mapping habe ich auch herumgespielt, bin aber auch nicht wirklich zum Erfolg gekommen.
Grüße,
Paul
Wer Schreibfehler findet darf sie behalten
Hallo nocheinmal, zur Erläuterung:
der Router versorgt hier in einem Mehrfamilienhaus sieben Wohneinheiten, die auch dezentral mit VOIP-Lösungen ausgestattet sind und zwar von Grandstream über Sipura bis hin zur Fritzbox. Die Konfiguration, daß alle diese Geräte auch mit allen SIP Providern über den Router funktionieren ist einigermaßen komplex.
Ein Vorschlag ala, "mach doch einfach den Router platt und lass einen Wizard laufen" ist inakzeptabel. Der Unterschied ist ja nur, daß man, wenn man keinen Wizard benutzt, genau wissen muß, was man tut. Und ich habe gehofft, hier jemanden zu finden, der mehr kann, als einen Wizard zu bedienen, das hätte ich vermutlich selbst noch gekonnt.
Nun noch ein Wort zur Sicherheitsproblematik. Ich habe hier keine Serverfarm und auch nicht das Geld dafür. Mein Web-Server ist allerdings dringender zu schützen als meine Workstations oder die Rechner in den anderen Wohnungen. Mein Sicherheitsbedürfnis ist also dem eines klassischen Firmen-LANs mit zusätzlichem WEB Server gegenüber betrachtet diametral entgegengesetzt. Eine Lösung, die dem gerecht würde, wäre, ein LAN in die DMZ zu stellen und den Server hinter den NAT Router. Ich bitte das einfach mal so zu akzeptieren und in dem Zusammenhang wird mir jeder bestätigen, daß der sicherste Platz für den Server im LAN ist. Dort bekommt der Server auch nur die Ports bedient, die ich für ihn freigeschaltet habe.
Grüße, Paul
der Router versorgt hier in einem Mehrfamilienhaus sieben Wohneinheiten, die auch dezentral mit VOIP-Lösungen ausgestattet sind und zwar von Grandstream über Sipura bis hin zur Fritzbox. Die Konfiguration, daß alle diese Geräte auch mit allen SIP Providern über den Router funktionieren ist einigermaßen komplex.
Ein Vorschlag ala, "mach doch einfach den Router platt und lass einen Wizard laufen" ist inakzeptabel. Der Unterschied ist ja nur, daß man, wenn man keinen Wizard benutzt, genau wissen muß, was man tut. Und ich habe gehofft, hier jemanden zu finden, der mehr kann, als einen Wizard zu bedienen, das hätte ich vermutlich selbst noch gekonnt.
Nun noch ein Wort zur Sicherheitsproblematik. Ich habe hier keine Serverfarm und auch nicht das Geld dafür. Mein Web-Server ist allerdings dringender zu schützen als meine Workstations oder die Rechner in den anderen Wohnungen. Mein Sicherheitsbedürfnis ist also dem eines klassischen Firmen-LANs mit zusätzlichem WEB Server gegenüber betrachtet diametral entgegengesetzt. Eine Lösung, die dem gerecht würde, wäre, ein LAN in die DMZ zu stellen und den Server hinter den NAT Router. Ich bitte das einfach mal so zu akzeptieren und in dem Zusammenhang wird mir jeder bestätigen, daß der sicherste Platz für den Server im LAN ist. Dort bekommt der Server auch nur die Ports bedient, die ich für ihn freigeschaltet habe.
Grüße, Paul
Wer Schreibfehler findet darf sie behalten
Hi paulinus
Und der Schutz des Servers kann niemals wichtiger sein, als der Schutz der Rechner deiner Mitbewohner - das wird dir spätestens dann klar werden, wenn der GAU eingetreten ist und deine Mitbewohner dich auf Schadenersatz verklagen. Der Server ist nunmal aus dem Internet erreichbar und somit der Startpunkt für jeden Angriff auf dein Netz.
Aber abgesehen davon: Wenn du den Server hinter einen NAT-Router stellst - was ist das anderes als eine DMZ...
Das soll nun erstmal die Diskussion um die DMZ beenden.
Nun zu deiner ursprünglichen Frage:
In der DMZ konfigurierst du die vom Provider zugewiesenen Adressen: als DMZ-IP-Adresse trägst du die erste Adresse des Netzes ein, als DMZ-Netzmaske, die vom Provider angegebene Netzmaske (255.255.255.248).
In der Routing-Tabelle stellst du die Maskierungsoption auf "nur Intranet maskieren" um
Dem Server gibst du nun die 5 verbleibenden Adressen (d.h. der Server kann 5 Domains verwalten) und hängst ihn an den DMZ-Port - fertig.
Wenn du den Server unbedingt im Intranet stehen haben willst (wovon dir hier mehrfach aus guten Gründen abgeraten wurde), dann kannst du das über das N:N-NAT lösen und die Adressen des Servers in die DMZ mappen.
Um eine DMZ-Konfiguration kommst du aber auf keinen Fall herum, da du dem Server für jede Domain eine eigene Adresse geben mußt - und nur die DMZ unmaskiert betrieben werden kann.
Gruß
Backslash
du scheinst den Sinn einer DMZ nicht zu verstehen. Eine DMZ ist erstmal nur ein eigener Netzbereich, der vom "Rest" durch eine Firewall abgeschottet ist.Mein Web-Server ist allerdings dringender zu schützen als meine Workstations oder die Rechner in den anderen Wohnungen. Mein Sicherheitsbedürfnis ist also dem eines klassischen Firmen-LANs mit zusätzlichem WEB Server gegenüber betrachtet diametral entgegengesetzt
wozu dieser Aufwand. Konfigurieren einen LAN-Port des 1722 als DMZ-Port und hänge da den Server dran. Zugriffe auf den Server kannst du dann über die Firewall regeln.Eine Lösung, die dem gerecht würde, wäre, ein LAN in die DMZ zu stellen und den Server hinter den NAT Router
ich bitte einfach mal zu akzeptieren, daß diese Anschicht schlichtweg "Schwachsinn" ist. Ein von aussen zugänglicher Server *muß* in einem eigenen Netzbereich stehen, da sonst die Übernahme des Servers durch einen Hacker, diesem Hacker vollen Zugriff auf alle anderen Rechner gestattet.Ich bitte das einfach mal so zu akzeptieren und in dem Zusammenhang wird mir jeder bestätigen, daß der sicherste Platz für den Server im LAN ist
Und der Schutz des Servers kann niemals wichtiger sein, als der Schutz der Rechner deiner Mitbewohner - das wird dir spätestens dann klar werden, wenn der GAU eingetreten ist und deine Mitbewohner dich auf Schadenersatz verklagen. Der Server ist nunmal aus dem Internet erreichbar und somit der Startpunkt für jeden Angriff auf dein Netz.
Aber abgesehen davon: Wenn du den Server hinter einen NAT-Router stellst - was ist das anderes als eine DMZ...
Das soll nun erstmal die Diskussion um die DMZ beenden.
Nun zu deiner ursprünglichen Frage:
so wie du es willst geht es gar nicht. Der Server selbst braucht für jede Domain eine eigene IP-Adresse. Diese Adressen müssen unmaskiert durch das LANCOM geroutet werden - und das geht nur in der DMZ...Hier läuft ein 1722VOIP mit bisher einer statischen WAN IP Adresse, die er vom Provider automatisch verordnet bekommt. Eine DMZ habe ich bisher noch nicht eingerichtet, aber es steht ein WEB Server im Netz, der über meine WAN IP erreichbar ist. Auf dem Server laufen verschiedene Domains, alle über dieselbe IP (via NAT) zu erreichen. Jetzt zur Aufgabe, die ich lösen will:
Mein Provider hat mir ein /29 Subnetz zur Verfügung gestellt. Den Server möchte ich im LAN auf derselben IP laufen lassen wie bisher (192.168....). Aus dem WAN soll er jetzt mit mehreren IPs angesprochen werden können (eine IP pro Domain, klar).
Ich habe schon alles Mögliche ausprobiert, ich will jetzt nicht alles aufzählen, was schon. Vielleicht kann mir ja jemand in wenigen klaren Schritten sagen, wie es geht.
In der DMZ konfigurierst du die vom Provider zugewiesenen Adressen: als DMZ-IP-Adresse trägst du die erste Adresse des Netzes ein, als DMZ-Netzmaske, die vom Provider angegebene Netzmaske (255.255.255.248).
In der Routing-Tabelle stellst du die Maskierungsoption auf "nur Intranet maskieren" um
Dem Server gibst du nun die 5 verbleibenden Adressen (d.h. der Server kann 5 Domains verwalten) und hängst ihn an den DMZ-Port - fertig.
Wenn du den Server unbedingt im Intranet stehen haben willst (wovon dir hier mehrfach aus guten Gründen abgeraten wurde), dann kannst du das über das N:N-NAT lösen und die Adressen des Servers in die DMZ mappen.
Um eine DMZ-Konfiguration kommst du aber auf keinen Fall herum, da du dem Server für jede Domain eine eigene Adresse geben mußt - und nur die DMZ unmaskiert betrieben werden kann.
Gruß
Backslash
Hallo Backslash,
vielen Dank für diese erste konstruktive Antwort. Die hat mir weitergeholfen und ich werde es noch einmal nach deinen Vorschlägen versuchen.
Eine kleine Anmerkung möchte ich aber doch noch machen da hier meine Zeilen wohl nicht so recht angekommen sind:
Schützen will und muß ich meinen Server und meinen Entwicklungsrechner. Das sind also ganz genau zwei Rechner hinter dem Router. Die restlichen Rechner im Haus können mir reichlich egal sein. Bei meinen beiden zu schützenden Rechnern ist der Entwicklungsrechner einfacher zu ersetzen, ein Ausfall ist nicht so schwerwiegend wie der des Servers. Ich hoffe, ich habe es jetzt präzise genug erklärt, damit auch der letzte Netzwerk-Guru einmal animiert wird über seinen seit Jahren feststehenden Tellerrand zu blicken.
Entschuldige bitte diese klaren Worte, aber meine Ansichten kann ich nicht einfach so als "Schwachsinn" stehen lassen.
Viele Grüße,
Paul
vielen Dank für diese erste konstruktive Antwort. Die hat mir weitergeholfen und ich werde es noch einmal nach deinen Vorschlägen versuchen.
Eine kleine Anmerkung möchte ich aber doch noch machen da hier meine Zeilen wohl nicht so recht angekommen sind:
Ich vermiete hier Netzwerkzugänge unter. An andere Wohnungen in einem Mehrfamilienhaus. Wie die Leute ihre Rechner schützen kann mir eigentlich Sch..egal sein. Oder bietet Dir Dein Provider kostenlos eine Firewall an. Ich mache mir hier auch keine Gedanken darüber, wie die Leute ihre Rechner schützen, das ist einfach nicht meine Aufgabe.ch bitte einfach mal zu akzeptieren, daß diese Anschicht schlichtweg "Schwachsinn" ist. Ein von aussen zugänglicher Server *muß* in einem eigenen Netzbereich stehen, da sonst die Übernahme des Servers durch einen Hacker, diesem Hacker vollen Zugriff auf alle anderen Rechner gestattet.
Und der Schutz des Servers kann niemals wichtiger sein, als der Schutz der Rechner deiner Mitbewohner - das wird dir spätestens dann klar werden, wenn der GAU eingetreten ist und deine Mitbewohner dich auf Schadenersatz verklagen. Der Server ist nunmal aus dem Internet erreichbar und somit der Startpunkt für jeden Angriff auf dein Netz.
Schützen will und muß ich meinen Server und meinen Entwicklungsrechner. Das sind also ganz genau zwei Rechner hinter dem Router. Die restlichen Rechner im Haus können mir reichlich egal sein. Bei meinen beiden zu schützenden Rechnern ist der Entwicklungsrechner einfacher zu ersetzen, ein Ausfall ist nicht so schwerwiegend wie der des Servers. Ich hoffe, ich habe es jetzt präzise genug erklärt, damit auch der letzte Netzwerk-Guru einmal animiert wird über seinen seit Jahren feststehenden Tellerrand zu blicken.
Entschuldige bitte diese klaren Worte, aber meine Ansichten kann ich nicht einfach so als "Schwachsinn" stehen lassen.
Viele Grüße,
Paul
Wer Schreibfehler findet darf sie behalten
Hast Du das auch mal fuer Deine Ansicht in Betracht gezogen?damit auch der letzte Netzwerk-Guru einmal animiert wird über seinen seit Jahren feststehenden Tellerrand zu blicken.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Louis,
klar, ich kenne sehr wohl die Bedürfnisse eines Firmennetzwerks mit DMZ und ca. 250 lokalen Rechnern. Sowas habe ich Betriebssystem-mäßig jahrelang administriert.
Nun, die Firma hatte einen eigenen Administrator für die Cisco-Router und hat etliche Tausender pro Jahr für Serviceverträge an Cisco bezahlt.
Mein eigener Betrieb ist dafür viel zu klein, und die Arroganz von Cisco tu ich mir schon gar nicht an.
also, was wolltest Du mir sagen?
Paul
klar, ich kenne sehr wohl die Bedürfnisse eines Firmennetzwerks mit DMZ und ca. 250 lokalen Rechnern. Sowas habe ich Betriebssystem-mäßig jahrelang administriert.
Nun, die Firma hatte einen eigenen Administrator für die Cisco-Router und hat etliche Tausender pro Jahr für Serviceverträge an Cisco bezahlt.
Mein eigener Betrieb ist dafür viel zu klein, und die Arroganz von Cisco tu ich mir schon gar nicht an.
also, was wolltest Du mir sagen?
Paul
Wer Schreibfehler findet darf sie behalten
Wie geil!
a) anhand deines ersten Postings kann deine*grude* Konfig kein Schwein erahnen und bis dahin waren es gut gemeinte Tips von allern Postern hier.
b) der Tellerrand muß hier von keinem Netzwerkguru überblickt werden, da dieser Tellerrand aus verdammt guten Gründen dort ist wo er ist. Daher empfehle ich mal
c) deine Aufmerksamtkeit auf Netzwerktechnik und Sicherheit zu richten, bevor du deine arglosen Kunden ins offene Messer rennen läßt! Denn
d) ein Provider achtet nämlich mal zumindest auf seine eigene Sicherheit, was aber genau du hier vermissen läßt. Und welcher Anwender will schon bei einem Provider Kunde sein, der seinen eigenen Laden nicht im Griff hat und deswegen womöglich sogar die Kunden gefährdet?
Danke
COMCARGRU
a) anhand deines ersten Postings kann deine*grude* Konfig kein Schwein erahnen und bis dahin waren es gut gemeinte Tips von allern Postern hier.
b) der Tellerrand muß hier von keinem Netzwerkguru überblickt werden, da dieser Tellerrand aus verdammt guten Gründen dort ist wo er ist. Daher empfehle ich mal
c) deine Aufmerksamtkeit auf Netzwerktechnik und Sicherheit zu richten, bevor du deine arglosen Kunden ins offene Messer rennen läßt! Denn
d) ein Provider achtet nämlich mal zumindest auf seine eigene Sicherheit, was aber genau du hier vermissen läßt. Und welcher Anwender will schon bei einem Provider Kunde sein, der seinen eigenen Laden nicht im Griff hat und deswegen womöglich sogar die Kunden gefährdet?
Danke
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Wen meinen?
[x]Du hast Punkt d gelesen?
[] Du hast Punkt d verstanden?
Es zeigt sich ja nun immer mehr, daß du selbst nicht weist was du tust. Insofern von mir keine weiteren Antworten mehr. Denke sich jeder selbst seinen Teil über deine Netzwerkkonfiguration und deine Einstellung zu Sicherheit.
Danke
COMCARGRU
[x]Du hast Punkt d gelesen?
[] Du hast Punkt d verstanden?
Es zeigt sich ja nun immer mehr, daß du selbst nicht weist was du tust. Insofern von mir keine weiteren Antworten mehr. Denke sich jeder selbst seinen Teil über deine Netzwerkkonfiguration und deine Einstellung zu Sicherheit.
Danke
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
*** 14.01. 21:00 Uhr... stark editiert, bitte erneut lesen ***
hallo COMCARGRU,
das begrüße ich, dann können wir uns ja wieder etwas sachlicher und emotionsloser der Lösung technischer Fragen zuwenden. Das Ziel des Forums ist ja wohl nicht, die Sinnhaftigkeit unterschiedlicher Sicherheitsanforderungen zu diskutieren. Habe ich nicht recht?
Hallo Backslash,
ich bin Deinen Vorschlägen gefolgt, habe aber leider noch keinen Erfolg. Es muß wohl noch eine Information fehlen oder eine Einstellung falsch sein. Wenn ich einen Ping absetze (von extern) an eine der Adressen des Subnetzes (z.B. die [bla].140.72.100), dann bekomme ich von der Gateway Adresse meines Routers (der [bla].173.146.121) die Meldung "Destination net is unreachable" zurückgemeldet. Ich habe natürlich noch nicht meinen Server an den Port gehängt, der muß ja erreichbar bleiben, ich habe aber die ETH4 Schnittstelle als DMZ Schnittstelle konfiguriert und dort ein Notebook angeschlossen, dem ich genau diese ...100 IP Adresse verpasst habe. Der Notebook sollte eigentlich auf einen Ping reagieren. Ich habe weiter eine Firewall-Regel erstellt, die testweise mal an die Ziel-adresse .100 alles überträgt, was ankommt. Das hat auch keinen Erfolg gebracht.
Möglicherweise fehlt noch ein Eintrag in der Routing-Tabelle? Oder es ist noch nicht aufgefallen, daß das Subnetz über eine Gateway-IP geroutet werden soll. Die Mail meines Providers jedenfalls ist kurz und prägnant und die habe ich in meinem ersten Posting komplett wiedergegeben.
Noch einen Hinweis zu Deinem Beitrag oben. Es ist nicht richtig, daß der Server für jede der Domains eine eigene IP Adresse braucht und daher die IPs 1/1 in die DMZ gemappt werden müssen. Der Server unterscheidet anhand der Host-Headers des HTTP Requests, welche der Domains angesprochen wurde. Auf dem laufen bereits heute mehrere Domains, die alle unter der obigen Gateway Adresse erreichbar sind und zurzeit per NAT auf eine einzige interne Adresse geleitet werden. Möglicherweise ergibt sich dadurch ja auch ein einfacherer Lösungsansatz.
Der einzige Grund, warum ich einzelne IPs für die verschiedenen Domains wollte ist der, dass Google Unterschiede macht, wenn ähnliche Inhalte über gleiche oder unterschiedliche IPs zu erreichen sind. Das bedeutet, von aussen haben die Domains unterschiedliche IPs, intern kann es gerne eine einzige sein, das habe ich im Griff. Und diese interne IP Adresse darf (und sollte zur Sicherheit des Servers) eine andere sein als die im Internet publizierte (NAT). Sollte jemand der Meinung sein, daß NAT nicht geeignet ist, die Sicherheit eines LANs zu erhöhen, kann ich gerne versuchen, den Kontakt zu entsprechenden Redakteuren der c't herzustellen, die selbiges öffentlich behauptet haben.
Viele Grüße,
Paul
hallo COMCARGRU,
das begrüße ich, dann können wir uns ja wieder etwas sachlicher und emotionsloser der Lösung technischer Fragen zuwenden. Das Ziel des Forums ist ja wohl nicht, die Sinnhaftigkeit unterschiedlicher Sicherheitsanforderungen zu diskutieren. Habe ich nicht recht?
Hallo Backslash,
ich bin Deinen Vorschlägen gefolgt, habe aber leider noch keinen Erfolg. Es muß wohl noch eine Information fehlen oder eine Einstellung falsch sein. Wenn ich einen Ping absetze (von extern) an eine der Adressen des Subnetzes (z.B. die [bla].140.72.100), dann bekomme ich von der Gateway Adresse meines Routers (der [bla].173.146.121) die Meldung "Destination net is unreachable" zurückgemeldet. Ich habe natürlich noch nicht meinen Server an den Port gehängt, der muß ja erreichbar bleiben, ich habe aber die ETH4 Schnittstelle als DMZ Schnittstelle konfiguriert und dort ein Notebook angeschlossen, dem ich genau diese ...100 IP Adresse verpasst habe. Der Notebook sollte eigentlich auf einen Ping reagieren. Ich habe weiter eine Firewall-Regel erstellt, die testweise mal an die Ziel-adresse .100 alles überträgt, was ankommt. Das hat auch keinen Erfolg gebracht.
Möglicherweise fehlt noch ein Eintrag in der Routing-Tabelle? Oder es ist noch nicht aufgefallen, daß das Subnetz über eine Gateway-IP geroutet werden soll. Die Mail meines Providers jedenfalls ist kurz und prägnant und die habe ich in meinem ersten Posting komplett wiedergegeben.
Noch einen Hinweis zu Deinem Beitrag oben. Es ist nicht richtig, daß der Server für jede der Domains eine eigene IP Adresse braucht und daher die IPs 1/1 in die DMZ gemappt werden müssen. Der Server unterscheidet anhand der Host-Headers des HTTP Requests, welche der Domains angesprochen wurde. Auf dem laufen bereits heute mehrere Domains, die alle unter der obigen Gateway Adresse erreichbar sind und zurzeit per NAT auf eine einzige interne Adresse geleitet werden. Möglicherweise ergibt sich dadurch ja auch ein einfacherer Lösungsansatz.
Der einzige Grund, warum ich einzelne IPs für die verschiedenen Domains wollte ist der, dass Google Unterschiede macht, wenn ähnliche Inhalte über gleiche oder unterschiedliche IPs zu erreichen sind. Das bedeutet, von aussen haben die Domains unterschiedliche IPs, intern kann es gerne eine einzige sein, das habe ich im Griff. Und diese interne IP Adresse darf (und sollte zur Sicherheit des Servers) eine andere sein als die im Internet publizierte (NAT). Sollte jemand der Meinung sein, daß NAT nicht geeignet ist, die Sicherheit eines LANs zu erhöhen, kann ich gerne versuchen, den Kontakt zu entsprechenden Redakteuren der c't herzustellen, die selbiges öffentlich behauptet haben.
Viele Grüße,
Paul
Wer Schreibfehler findet darf sie behalten