15
NAT für ganzes Netz
Hallo, ich habe folgende Situation:
Ich habe einen Server (10.0.0.10) der in dem Netzwerk 10.0.0.0/16 steht. Dieser ist erreichbar über das Netzwerk 10.5.1.0/24. Über einen Linux PC (IP-Adressen: 10.5.1.2 und 172.0.250.253) ist dieses Netzwerk mit einem weiteren Netzwerk 172.0.0.0/16 verbunden. Dieser Linux PC setzt per iptables einige IP Adressen von 172.0.x.y nach 10.6.x.y um. Wobei mein Server (10.0.0.10) über ca. 10 Ports aus dem 172er Netz unter der 2. Adresse des PC`s (172.0.250.253) erreichbar ist. Dies funktioniert soweit wunderbar. Allerdings möchte ich den PC gern gegen einen Router tauschen und mir dann die Pflege des IP-Tables Scripts sparen und den Server gleich für das ganze 172.0.0.0/16 Netz verfügbar machen.
Gibt es Router die das können? Ich habe hier eine Astaro 110, die kann das jedenfalls Nicht. Obwohl die Hilfe was anderes sagt.
Ich habe einen Server (10.0.0.10) der in dem Netzwerk 10.0.0.0/16 steht. Dieser ist erreichbar über das Netzwerk 10.5.1.0/24. Über einen Linux PC (IP-Adressen: 10.5.1.2 und 172.0.250.253) ist dieses Netzwerk mit einem weiteren Netzwerk 172.0.0.0/16 verbunden. Dieser Linux PC setzt per iptables einige IP Adressen von 172.0.x.y nach 10.6.x.y um. Wobei mein Server (10.0.0.10) über ca. 10 Ports aus dem 172er Netz unter der 2. Adresse des PC`s (172.0.250.253) erreichbar ist. Dies funktioniert soweit wunderbar. Allerdings möchte ich den PC gern gegen einen Router tauschen und mir dann die Pflege des IP-Tables Scripts sparen und den Server gleich für das ganze 172.0.0.0/16 Netz verfügbar machen.
Gibt es Router die das können? Ich habe hier eine Astaro 110, die kann das jedenfalls Nicht. Obwohl die Hilfe was anderes sagt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 172951
Url: https://administrator.de/contentid/172951
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
15 Kommentare
Neuester Kommentar
Kleiner Cisco, Monowall, pfSense
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und ein Mikrotik 750 z.B.
Mikrotik RB750 - Quick Review
können das problemlos...
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und ein Mikrotik 750 z.B.
Mikrotik RB750 - Quick Review
können das problemlos...
Hallo,
die Astaro kann das.
Wo ist den dein Problem?
Was will den die Astaro nicht?
brammer
die Astaro kann das.
Wo ist den dein Problem?
Was will den die Astaro nicht?
brammer
Vermutlich PEBKAC...wie so oft... NAT/PAT ist ein simpler Standard. Wäre in der Tat höchst verwunderlich wenn die Astaro das wirklich nicht könnte !
Die Astaro kann das? Wie?
Egal was ich versucht habe, die Astaro lässt mich nur einen Host auswählen/erstellen, aber kein ganzes Netz.
Kann gut sein. Ich hab`s jedenfalls nicht hinbekommen.
Egal was ich versucht habe, die Astaro lässt mich nur einen Host auswählen/erstellen, aber kein ganzes Netz.
Zitat von @aqui:
Vermutlich PEBKAC...wie so oft... NAT/PAT ist ein simpler Standard. Wäre in der Tat höchst verwunderlich wenn die Astaro
das wirklich nicht könnte !
Vermutlich PEBKAC...wie so oft... NAT/PAT ist ein simpler Standard. Wäre in der Tat höchst verwunderlich wenn die Astaro
das wirklich nicht könnte !
Kann gut sein. Ich hab`s jedenfalls nicht hinbekommen.
Hallo,
kannst du von deiner Astaro konfig bitte mal ein paar Screnshots posten?
Dann kann man evtl sehen wo es hängen dürfte.
brammer
kannst du von deiner Astaro konfig bitte mal ein paar Screnshots posten?
Dann kann man evtl sehen wo es hängen dürfte.
brammer
Auf dem ersten Bild ist die Route vom Netz zum Server zu sehen. Die sollte ja soweit klappen. Aber den Rückweg bekomme ich nicht hin. Da ist kein Netzwerk auszuwählen.
Oder hab ich da einen kompletten Denkfehler?
http://img35.imageshack.us/img35/1635/nat1.png
http://img687.imageshack.us/img687/9538/nat2s.png
Oder hab ich da einen kompletten Denkfehler?
http://img35.imageshack.us/img35/1635/nat1.png
http://img687.imageshack.us/img687/9538/nat2s.png
Die Rule "Netz -> Server" ist ja irgendwie unsinning wo Traffic Source und Destination innerhalb ein und desselben IP Netzes liegen. Da ist NAT ja dann irgendwie obsolet !!
Vielleicht wären für dich erstmal ein paar Grundlagen in Sachen NAT sinnvoll:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...
Vielleicht wären für dich erstmal ein paar Grundlagen in Sachen NAT sinnvoll:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...
Wieso? Gedacht habe ich mir folgendes. Der Traffic der aus dem Netz 172.0.0.0/16 kommt und als Ziel die 172.0.250.253 hat soll auf die 10.0.0.10 umgeleitet werden.
Die sollen sich nicht direkt mit dem Server verbinden, sondern den Router als Server sehen. Die Richtung klappt ja auch. Mein Problem ist die andere Regel.
Ich will aus 10.6.x.y 172.0.x.y machen. (N:N NAT) Ohne jetzt für jeden Rechner einen einzelnen eintrag zu machen.
Die sollen sich nicht direkt mit dem Server verbinden, sondern den Router als Server sehen. Die Richtung klappt ja auch. Mein Problem ist die andere Regel.
Ich will aus 10.6.x.y 172.0.x.y machen. (N:N NAT) Ohne jetzt für jeden Rechner einen einzelnen eintrag zu machen.
Zitat von @SuperAggy:
Wieso? Gedacht habe ich mir folgendes. Der Traffic der aus dem Netz 172.0.0.0/16 kommt und als Ziel die 172.0.250.253 hat soll auf
die 10.0.0.10 umgeleitet werden.
Wieso? Gedacht habe ich mir folgendes. Der Traffic der aus dem Netz 172.0.0.0/16 kommt und als Ziel die 172.0.250.253 hat soll auf
die 10.0.0.10 umgeleitet werden.
Du meinst Portforwarding und nicht NAT. (o.k Portforwarding ist zwar auch eine Form von NAT, aber das bezeichnet i.d.R. keiner so).
Ist ja OK, aber können wir uns mal bitte nicht an solchen Kleinigkeiten aufhalten und mal meine eigentliches Problem lösen? =) Die andere Richtung klappt ja immer noch nicht. Also kann die Astaro das was ich will? Wenn ja wie? Wenn nein welches Gerät kanns?
Auserdem müsste ich eigentlich auch die Absenderadresse in Richtung Server ändern, weil dieser nur die 10.6.0.0/16 akzeptiert. Bekomme ich aber bei der Astaro auch nicht konfiguriert.
Auserdem müsste ich eigentlich auch die Absenderadresse in Richtung Server ändern, weil dieser nur die 10.6.0.0/16 akzeptiert. Bekomme ich aber bei der Astaro auch nicht konfiguriert.
Und wie soll mir das bei meinem Problem helfen? Exakt das habe ich doch mit meiner ersten Regel umgesetzt.
Vielleicht hab ich mich nicht richtig ausgedrückt was ich möchte?
Nochmal. Der Server kann nur das 10.6.0.0/16 Netz ansprechen. Die Astaro soll dann aus den 10.6.0.0/16-Adressen 172.0.0.0/16-Adressen machen, ohne das ich jeden einzelnen Host hinterlegen muss.
Also die Adresse 10.6.0.25 soll die Astaro nach 172.0.0.25 übersetzen, die 10.6.5.128 nach 172.0.5.128, die 10.6.125.8 nach 172.0.125.8, usw...
Kann das die Astaro OHNE das ich jeden Host einzeln anlegen muß oder kann Sie das nicht. Wenn ja, wie stelle ich das an?
Nochmal. Der Server kann nur das 10.6.0.0/16 Netz ansprechen. Die Astaro soll dann aus den 10.6.0.0/16-Adressen 172.0.0.0/16-Adressen machen, ohne das ich jeden einzelnen Host hinterlegen muss.
Also die Adresse 10.6.0.25 soll die Astaro nach 172.0.0.25 übersetzen, die 10.6.5.128 nach 172.0.5.128, die 10.6.125.8 nach 172.0.125.8, usw...
Kann das die Astaro OHNE das ich jeden Host einzeln anlegen muß oder kann Sie das nicht. Wenn ja, wie stelle ich das an?
Nein, du musst jeden Host einzeln anlegen wenn du es so machen willst. Ist ja auch klar, denn so machst du ein statisches NAT von ganz bestimmten Quell IPs auf ganz bestimme Ziel IPs. Logisch das man das dann einzeln statisch angeben muss !
Alternativ kannst du ein NAT Pool von 172.0.x.x Adressen einrichten. Eingehende Hosts bekommen dann dynamisch IP Adresse für eine bestimmte Session aus diesem Pool zugeteilt und benutzen die . Nach einer Idle Time der Session wandern diese IPs in den Pool zurück und werden neu vergeben.
Damit bekommen aber Quell IPs wechselnde Ziel IPs im 172.0.x.x Netz. Normalerweise stellt das keine Hürde da aber wenn du feste statische NAT Zuweisungen benötigst entfällt diese Option !
Dann musst du die NAT Beziehungen aber alle einzeln einrichten ! So einfach ist das....
Alternativ kannst du ein NAT Pool von 172.0.x.x Adressen einrichten. Eingehende Hosts bekommen dann dynamisch IP Adresse für eine bestimmte Session aus diesem Pool zugeteilt und benutzen die . Nach einer Idle Time der Session wandern diese IPs in den Pool zurück und werden neu vergeben.
Damit bekommen aber Quell IPs wechselnde Ziel IPs im 172.0.x.x Netz. Normalerweise stellt das keine Hürde da aber wenn du feste statische NAT Zuweisungen benötigst entfällt diese Option !
Dann musst du die NAT Beziehungen aber alle einzeln einrichten ! So einfach ist das....
Das ist doch mal ne eindeutige Antwort.
Ich hab mich wohl wirklich nicht richtig ausgedrückt was ich eigentlich wollte.
Vielen Dank für die Antwort.
mfg
Ich hab mich wohl wirklich nicht richtig ausgedrückt was ich eigentlich wollte.
Vielen Dank für die Antwort.
mfg
