username
Goto Top

IP Forwarding Host-only Netzwerk Windows Host

Hallo,

ich habe ein Problem mit Windows 2008 und VMWare auf einem Root Server mit mehreren Public IP Adressen.

Ich möchte gerne meine Public IPs an VMaschinen weiterleiten, was soweit auch kein Problem darstellt,
jedoch schaffe ich es nicht, statische Routen für die VMaschinen im Gastsystem zu konfigurieren,
damit deren Subnetz aufs Internet zugriff erhält.

Ich dachte mir das wie folgt:

Lan-Adapter mit einer public IP (es stehen mehrere public IPs zur Verfügung)
VM-Lan 1 mit privater IP als "Gateway" Richtung VMaschinen

VMaschinen mit je privater und public IP und VM-Lan 1 als Gateway Richtung Internet

So weit, so gut. Der Versuch der Konfiguration sah dann so aus:

Eine Public IP nach VMaschine zu routen ist ja noch einfach:
Public IP mit 255 Subnetz an Gateway auf Lan-Adapter (public IP ist nicht auf Lan-Adapter eingetragen)
Public IP mit 255 Subnetz an VMaschine auf VM-Lan 1

(Das funktioniert soweit auch.)

Nur was für eine Route brauche ich dann auf VM-Lan 1 für die Konfiguration als Gateway?

0.0.0.0 mit Mask 0.0.0.0 auf VM-Lan 1 mit Gateway Lan-Adapter ist es jedenfalls schon mal nicht ...
oder falls doch, warum funktioniert es dann nicht?


Alternative Idee war, RAS installieren, NAT auf Lan-Adapter 1 einrichten, und eine der Public IPs für eine der Private IPs zu reservieren -
wenn ich das allerdings versuche, funktioniert nicht einmal NAT regulär von Intern Richtung Internet. Ich meine so etwas.
7258c5bc26773b6da4625e6bd8b862f7-nat_beispiel
Allgemein funktioniert NAT nicht mehr, wenn ich auch nur eine meiner Public IPs in der Konfiguration angebe - egal ob dem Adapter
zugeordnet, oder ganz ungenutzt. (Die Ips im Bild sind natürlich Blödsinn und dienen nur der Veranschaulichung).


Dritte Idee war, Nat oder ICS zu verwenden um von Intern Richtung Internet zu kommen - und die zu erst beschriebenen Routen
für Extern nach Intern (VMaschine) zu verwenden - allerdings blockt dann irgendein Packagefilter alle Pakete nach Intern;
egal ob die IP dem Adapter zu geordnet ist oder nicht. Ich kann also die Route von Extern nicht mehr erreichen.


Kann mir bitte jemand weiterhelfen?

Vielen Dank.

Mit freundlichen Grüßen

Content-ID: 118610

Url: https://administrator.de/contentid/118610

Ausgedruckt am: 26.11.2024 um 09:11 Uhr

aqui
aqui 21.06.2009 um 15:06:56 Uhr
Goto Top
Das kann rein geroutet niemals funktionieren, da du Private IP Netze, wie du sicher selber weisst, nicht ins Internet routen kannst !! (Deshalb sinds ja logischerweise auch private IP Netze !!)
VM IPs mit RFC_1918_IP_Adressen dürfen also niemals geroutet im Internet ohne NAT auftauchen bzw. werden sowieso auf Providerseite sofort in den Daten-Mülleimer gesendet.

Du musst also in jedem Falle zwingend NAT machen ob im Router oder in der VM ist letztlich egal und kosmetisch. Besser ist auf dem Router sofern der statisches NAT supportet. Andernfalls bist du wie in der VM bzw. dem VM Host dann auf einfaches Port Forwarding angewiesen was deine IP Connectivity aber erheblich beschränkt.

Da du denn ja zwingend ein statisches NAT machst der öffentlichen IP Adresse auf eine private Adresse, ist ein Routing dann natürlich sinnlos und auch überflüssig, da durch das NAT die VM Maschine ja mit der öffentlichen NAT IP im Internet unterwegs ist und somit immer erreicht werden kann.

Nur so wird ein Schuh draus !! Nicht anders....!!
Es sei denn deine VMs sind in einem Bridged Szenario im VM Host und nutzen auch direkt öffentliche IPs aus dem IP Netz des Hosts.
Auch damit ist dann ein Routing logischerweise vollkommen überflüssig !!

Du musst dich also entscheiden was du willst !
username
username 21.06.2009 um 23:26:26 Uhr
Goto Top
Hi,

ich möchte ja auch keine private IP routen. Ich route - und das schon mit Erfolg eine öffentliche IP auf eine private - und auch backwards.
Allerdings stimmt das mit der Route dennoch auffallend. Ich habe ja keine gültige Antwortadresse. Das habe ich nicht bedacht.
Damit entfällt der Plan.

Bridged fällt aus, da der Provider das aus mir nicht verständlichen Gründen ablehnt. Warum es ein Problem darstellen sollte, Macs an einem Switch nachzupflegen damit ich mir den Krampf ersparen kann, ist mir ein Rätsel.

NAT hilft mir bei Multi IPs recht wenig, bzw. ich habe noch keine Software gefunden, mit der ich verschiedene IPs auf dem gleichen Interface komplett Übersetzen kann - also ohne Ports, was nach dem Standart eigentlich auch gültig wäre. (mit Ports ist das ja eigentlich NAPT)
Ports helfen mir in sofern nicht, als das die Maschinen auf vielen Services die gleichen Ports verwenden, u.A. RDP, SSH, usw - und ich nicht die Ports variieren möchte, da das nur zu Verwirrungen führt.

Eigentlich müsste dann die zweite Idee auf Microsoft NAT Basis zum Erfolg führen - dummerweise kriege ich das irgendwie nicht korrekt konfiguriert. Kannst Du mir damit weiterhelfen?

Vielen Dank soweit.

Mit freundlichen Grüßen
aqui
aqui 22.06.2009 um 16:15:10 Uhr
Goto Top
.
"Ich route - und das schon mit Erfolg eine öffentliche IP auf eine private - und auch backwards...."

Sorry, das ist Unsinn, denn das ist kein Routing sondern NAT ! Mit Routing hat das rein gar nichts zu tun da du du die private IP gar nicht ins öffentliche Netz routen darfst ! Du kannst es machen, denn ein Router kann ja erstmal nicht zwischen öffentlichen und RFC1918 IPs unterscheiden aber der Provider filtert das gnadenlos weg !
Was du machst ist also NAT, nennst es aber fälschlicherweise Routing !

"..NAT hilft mir bei Multi IPs recht wenig,..."
Warum nicht ??? Mit einem kleinen gescheiten Router ist das kein Problem und im Handumdrehen eingerichtet !!

MS kann kein paralleles statisches NAT multipler IP Adressen was man mit einem Router machen kann.
Der Weg fürht auch sofort in eine Sackgasse, deshalb bekommst du das auch logischerweise nicht konfiguriert...!
username
username 22.06.2009 um 20:56:14 Uhr
Goto Top
Ich freue mich auch immer über einen netten Umgangston. ;)

"Ich route - und das schon mit Erfolg eine öffentliche IP
auf eine private - und auch backwards...."


Sorry, das ist Unsinn, denn das ist kein Routing sondern NAT !
Mit Routing hat das rein gar nichts zu tun da du du die private IP gar
nicht ins öffentliche Netz routen darfst ! Du kannst es machen,
denn ein Router kann ja erstmal nicht zwischen öffentlichen und
RFC1918 IPs unterscheiden aber der Provider filtert das gnadenlos weg
!
Was du machst ist also NAT, nennst es aber fälschlicherweise
Routing !

Dann ist es meinetwegen vom Protokoll her NAT, aber ich trage es eben als ROUTE ein.
Ferner frage ich mich dann schon, warum Windows in diesem Zusammenhang von statischer Route spricht.
Und es ist nicht NAPT, da ich keine Ports einsetze. Immer diese völlig überflüssigen und nicht weiterhelfenden Spitzfindigkeiten.


"..NAT hilft mir bei Multi IPs recht wenig,..."
Warum nicht ??? Mit einem kleinen gescheiten Router ist das kein
Problem und im Handumdrehen eingerichtet !!

Das ist total schön. Dann schlag mal einen vor.

MS kann kein paralleles statisches NAT multipler IP Adressen was man
mit einem Router machen kann.
Der Weg fürht auch sofort in eine Sackgasse, deshalb bekommst du
das auch logischerweise nicht konfiguriert...!

Das wundert mich in sofern, als das eigentlich das sein sollte, was die GUI (siehe Screenshot) anzubieten scheint. Aber falls, dann erklärt das jedenfalls schon mal einiges.

Mit freundlichen Grüßen
aqui
aqui 23.06.2009 um 13:25:35 Uhr
Goto Top
.
"Dann ist es meinetwegen vom Protokoll her NAT, aber ich trage es eben als ROUTE ein...."

Das mag ja sein, dann wäre es auch Routing und DU hättest zweifelsohne Recht, allerdings gelangen dann bei normalem Routing deine RFC-1918 IP Adressen zum Provider und damit in den Orcus.
In einem Labornetz ist das kein Thema denn da ist es egal ob man öffentliche IPs und RFC1918 IPs mischt und das Routing funktioniert auch wunderbar, denn ein IP Stack weiss nix von humanoiden Regelungen welche IPs er routen darf und welche nicht.

Fakt ist aber sowie du in einem Internet Anschluss transparent RFC-1918 IPs routetst ist beim provider AUS !
Fazit daraus: Ohne NAT wirst du nichts !!!
Du kannst sicher in deinem lokalen Netzwerk mit sinnlosen Hostrouten, oder was auch immer du machst dort, alles irgendwie (meist überflüssigerweise) hin- und herrouten...ins Internet routen kannst du es niemals...das ist Fakt !!
Wie sollte das auch funktionieren, denn die IP Pakete in denen RFC-1918 Quell oder Ziel IP Adressen stehen werden von jedem Provider weltweit, egal wo weggeschmissen. Folglich ist so ein Routing technisch ohne NAT nicht möglich !

Das ist total schön. Dann schlag mal einen vor....

Jeder popelige Cisco Router den du z.B. gebraucht bei eBay erstehen kannst kann sowas mit links...sogar die uralt Systeme !
Mit Rechner Bordmitteln kann das auch jedes Linux mit iptables !

Mmmhhh...was das o.a. GUI sagt wäre genau die Funktion die du brauchst ! Wunder das MS sowas kann...muss ich mein Wissen wohl mal updaten..
Damit ist dann aber genau das erreichbar (statisches NAT) was du benötigst. Warum nutzt du es dann nicht ??
Angeben musst du dann ungenutzte IPs aus dem öffentlichen Pool, das ist klar...
username
username 24.06.2009 um 07:50:41 Uhr
Goto Top
Das mag ja sein, dann wäre es auch Routing und DU hättest
zweifelsohne Recht, allerdings gelangen dann bei normalem Routing
deine RFC-1918 IP Adressen zum Provider und damit in den Orcus.
In einem Labornetz ist das kein Thema denn da ist es egal ob man
öffentliche IPs und RFC1918 IPs mischt und das Routing
funktioniert auch wunderbar, denn ein IP Stack weiss nix von
humanoiden Regelungen welche IPs er routen darf und welche nicht.

Ich mache das nicht unter Laborbedingungen.
Ich glaube wir reden hier immer noch ein wenig aneinander vorbei.

Mir geht es um Public IP -> Private IP
und da die meisten "Verbindungen" bidirektional sind,
kann ich scheinbar auch irgendwie antworten, also Pakete
zurücksenden, warum, ka.
Und ja, das geht ganz munter im Inet.


Fakt ist aber sowie du in einem Internet Anschluss transparent
RFC-1918 IPs routetst ist beim provider AUS !
Fazit daraus: Ohne NAT wirst du nichts !!!
Du kannst sicher in deinem lokalen Netzwerk mit sinnlosen Hostrouten,
oder was auch immer du machst dort, alles irgendwie (meist
überflüssigerweise) hin- und herrouten...ins Internet
routen kannst du es niemals...das ist Fakt !!
Wie sollte das auch funktionieren, denn die IP Pakete in denen
RFC-1918 Quell oder Ziel IP Adressen stehen werden von jedem Provider
weltweit, egal wo weggeschmissen. Folglich ist so ein Routing
technisch ohne NAT nicht möglich !


Das habe ich auch verstanden und bereits in meiner ersten Antwort angemerkt.

Das ist total schön. Dann schlag mal einen vor....

Jeder popelige Cisco Router den du z.B. gebraucht bei eBay erstehen
kannst kann sowas mit links...sogar die uralt Systeme !
Mit Rechner Bordmitteln kann das auch jedes Linux mit iptables !


Ich brauche unglücklicher Weise eine Software Lösung für einen Windows Host;
ich hatte gedacht das wäre deutlich geworden.

Mmmhhh...was das o.a. GUI sagt wäre genau die Funktion die du
brauchst ! Wunder das MS sowas kann...muss ich mein Wissen wohl mal
updaten..
Damit ist dann aber genau das erreichbar (statisches NAT) was du
benötigst. Warum nutzt du es dann nicht ??
Angeben musst du dann ungenutzte IPs aus dem öffentlichen Pool,
das ist klar...


Das habe ich versucht, nur das funktioniert irgendwie nicht.
Egal ob ich für die IPs dort genutzte oder ungenutze IPs aus dem
öffentlichen Pool eintrage - der NAT Service stellt ohne Fehlermeldung
einfach die Arbeit ein, d.h. das Gateway tut einfach nichts mehr.

Wenn ich den IP Pool leer lasse, kann ich öffentliche IPs auflösen
und Verbindungen nach außen aufbauen - wenn ich IPs eintrage
macht der dicht.

Deswegen hoffe ich ja, dass mir jemand bei der Konfiguration hier weiterhelfen kann,
oder u.U. noch eine andere Software Lösung kennt.

Vielen Dank soweit.

Mit freundlichen Grüßen
aqui
aqui 28.06.2009 um 15:36:03 Uhr
Goto Top
.
...kann ich scheinbar auch irgendwie antworten, also Pakete
zurücksenden, warum, ka.
Und ja, das geht ganz munter im Inet.... "


Ja, kein Wunder, das ist NAT pur !!

Die o.a. MS Funktion ist genau was du benötigst. Wenn sie nicht funktioniert, dann ist das ein MS Bug oder die Firewall macht dir da Probleme.

Schliess doch mal einen Paket Sniffer an und sieh dir mal genau an was die Funktion macht. Ggf. mit einem Blick ins Eventlog um den Fehler zu lokalisieren !!
username
username 28.06.2009 um 17:47:42 Uhr
Goto Top
Ja, kein Wunder, das ist NAT pur !!
Ja, diese Antwort dachte ich mir mittlerweile schon fast.

Wikipedia: Routing
Beim paketvermittelten Routing, wie es z. B. im Internet stattfindet, wird dafür gesorgt, dass logisch adressierte Pakete aus dem Ursprungs-Netz herauskommen und in Richtung ihres Ziel-Netzes weitergeleitet werden.
Wikipedia: NAT
Man unterscheidet zwischen Source NAT, bei dem die Quell-IP-Adresse ersetzt wird, und Destination NAT, bei dem die Ziel-IP-Adresse ersetzt wird.

Also für mich klingt mein früheres Vorgehen sehr nach Routing. Allerdings versuche ich in der Tat auf NAT umzusteigen, weil ich wie bereits richtig festgestellt nicht von Privat nach Öffentlich Routen kann.

Schliess doch mal einen Paket Sniffer an und sieh dir mal genau an
was die Funktion macht. Ggf. mit einem Blick ins Eventlog um den
Fehler zu lokalisieren !!

Im Eventlog stehen keine Fehler, das ist das Problem. Dort sieht alles richtig aus.
Dienst wurde gestartet etc.. Den Paket Sniffer werde ich jetzt mal versuchen.
koteshi
koteshi 24.08.2009 um 12:29:48 Uhr
Goto Top
Hallo,

würde mich hier mal gerne einschalten.

Hast du bereits eine Lösung gefunden? Stehe hier nämlich vor dem selben Problem. Haben einen 1und1 Windows Server 2003 im Einsatz in Verbindung mit VMware Server 2.0.
Leider unterbindet ja 1und1 den Einsatz der Bridged-Netzwerkverbindung und straft einen mit der Sperrung des Netzzugangs. Das macht es natürlich schwierig eine Public IP direkt auf die entsprechende VM zu leiten...

Weiß jemand wie es funktionieren könnte?
username
username 24.08.2009 um 12:40:15 Uhr
Goto Top
Hi,
das funktioniert mit, wie sollte es anders sein, Bridged Network.
Natürlich ein wenig anders, als Du es Dir jetzt direkt vorstellst.
Du richtest erstmal bei Deiner VM 2 Netzwerkkarten ein, Hostonly und NAT.
Du startest die VM und lässt Macs generieren. Nun änderst Du die Mac des Hostonly Adapters Deiner VM in der Konfigdatei auf die physikalische Macaddresse; dazu musst Du die Konfigdatei editieren - das geht nicht via Interface.
Anschließend schaltest Du die Hostonly Karte auf Bridged um. Tada. Das Problem ist jetzt nur, wenn beide Systeme miteinander kommunizieren möchten, oder Du FTP Backup oder ähnliches benötigst. Da bei den meisten Hostern der FTP Backup nur von der primären IP erreichbar ist und der Switch dir den Port schliesst, wenn Du versuchst mit der gleichen Netzwerkkarte Deine eigene IP extern zu erreichen, kommt hier das NAT ins Spiel.
Wie Du das NAT Deines Servers als Gateway nutzt kriegst Du bestimmt selbst hin.

Schöne Grüße
koteshi
koteshi 24.08.2009 um 12:58:08 Uhr
Goto Top
Besten Dank. Werd's gleich direkt mal ausprobieren. :o)
koteshi
koteshi 24.08.2009 um 15:57:16 Uhr
Goto Top
Hmm, Mist. Hat hier leider nicht geklappt. Verdammt...
Hast du die MAC evtl. auch noch in der Registry geändert? Weil innerhalb der VM hat er mir immer noch nicht die "geklonte" MAC Adresse angezeigt und patsch waren wir offline, 1und1 sei dank... face-confused
username
username 25.08.2009 um 12:04:21 Uhr
Goto Top
Hi,
nein, ich habe die nur in der Konfigdatei der VM angepasst. Die Einträge in der Reg sollten selbst nachziehen.
Es gibt eigentlich 2 Einträge innerhalb der Datei für die Mac - u.U. musst Du einen davon ergänzen.

Der eine lautet irgendwas mit Generated Adress und der andere nur irgendwas mit Address.
Der Eintrag, den Du editieren musst ist der nur mit Address. Schau Dir sicherheitshalber das
Ergebnis auch nochmal in der VM an bevor Du auf Bridged setzt - die zeigt dann auch sicher
die richtige Mac an, wenn es geklappt hat.

Ich schreib das nachher nochmal genauer, wenn ich mir die Konfig File selbst nochmal anschauen kann.