4
Server wird nicht erreicht
Folgendes, es gibt zwei Internetzugägne, I1 und I2, beide laufen einem Router R zusammen.
Auf diesem sind diverse VLANs angelegt, jedem VLAN wurde entweder I1 oder I2 als WAN-Gateway zugewiesen. I1 hat eine öffentlich statische IP, I2 eine öffentlich dynamische IP. Zugriffe von außen sollten über I1 laufen.
Nun zum "Problem", es soll von außen über I1 auf den Router R zugegriffen werden und per DST-NAT wiederum auf einen Server der aber in einem VLAN ist, das I2 als WAN-Gateway nutzt. Die Verbindung kommt natürlich nicht zustande. Wenn ich testweise dem besagten VLAN I1 als WAN-Gateway zuweise, funktioniert die Verbindung.
Die Frage, gibt es daür eine Routinglösung? Dass der Server nach wie vor einem VLAN ist das I2 als WAN-Gateway nutzt aber trotzdem via I1 erreichbar ist? Die "einfache" Lösung wäre an eine freie NIC des Servers einfach ein VLAN anzustecken das I1 als Gateway nutzt.
Grüße
Auf diesem sind diverse VLANs angelegt, jedem VLAN wurde entweder I1 oder I2 als WAN-Gateway zugewiesen. I1 hat eine öffentlich statische IP, I2 eine öffentlich dynamische IP. Zugriffe von außen sollten über I1 laufen.
Nun zum "Problem", es soll von außen über I1 auf den Router R zugegriffen werden und per DST-NAT wiederum auf einen Server der aber in einem VLAN ist, das I2 als WAN-Gateway nutzt. Die Verbindung kommt natürlich nicht zustande. Wenn ich testweise dem besagten VLAN I1 als WAN-Gateway zuweise, funktioniert die Verbindung.
Die Frage, gibt es daür eine Routinglösung? Dass der Server nach wie vor einem VLAN ist das I2 als WAN-Gateway nutzt aber trotzdem via I1 erreichbar ist? Die "einfache" Lösung wäre an eine freie NIC des Servers einfach ein VLAN anzustecken das I1 als Gateway nutzt.
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 397195
Url: https://administrator.de/contentid/397195
Printed on: April 26, 2024 at 19:04 o'clock
4 Comments
Latest comment
ohne Begrüssung
Netiquette
mache bitte eine schematisceh Zeichnung, damit man versteht was Du meinst.
Gruss Penny
Netiquette
mache bitte eine schematisceh Zeichnung, damit man versteht was Du meinst.
Gruss Penny
Das Problem ist ja das du wenn du von irgendwo remote zugreifst NICHT weisst über welchen WAN Port dieser Request reinkommt. Das hängt ja vom Provider ab und wie dieser routet.
Gut bei 2 unterschiedlichen Providern hast du einen Provider spezifische IP am WAN Port, da passt es dann wieder.
Ferner hängt es aber davon ab auf welchen WAN Port der Server sein Gateway gemappt hat.
Was logischerweise nicht geht ist das du an WAN 1 mit dem Request ankommst, das an den Server forwardest und dessen Gateway aber auf WAN 2 gemappt ist.
Das geht dann sofort in die Hose weil der remote Client dann eine andere Absender IP der Antwort sieht und die Session sofort abbricht.
Sinnvoll wäre also mal statt des Servers einen Testlaptop mit Wireshark anzuschliessen mit gleicher IP und Gateway wie der Server (Server natürlich abklemmen dann) und mal checken ob und von welchem Port die Requests kommen und wohin die Antworten gehen.
Der Wireshark zeigt dir das dann schwarz auf weiß.
Gut bei 2 unterschiedlichen Providern hast du einen Provider spezifische IP am WAN Port, da passt es dann wieder.
Ferner hängt es aber davon ab auf welchen WAN Port der Server sein Gateway gemappt hat.
Was logischerweise nicht geht ist das du an WAN 1 mit dem Request ankommst, das an den Server forwardest und dessen Gateway aber auf WAN 2 gemappt ist.
Das geht dann sofort in die Hose weil der remote Client dann eine andere Absender IP der Antwort sieht und die Session sofort abbricht.
Sinnvoll wäre also mal statt des Servers einen Testlaptop mit Wireshark anzuschliessen mit gleicher IP und Gateway wie der Server (Server natürlich abklemmen dann) und mal checken ob und von welchem Port die Requests kommen und wohin die Antworten gehen.
Der Wireshark zeigt dir das dann schwarz auf weiß.
Zitat von @ITgustel:
Die Frage, gibt es daür eine Routinglösung? Dass der Server nach wie vor einem VLAN ist das I2 als WAN-Gateway nutzt aber trotzdem via I1 erreichbar ist?
Die Frage, gibt es daür eine Routinglösung? Dass der Server nach wie vor einem VLAN ist das I2 als WAN-Gateway nutzt aber trotzdem via I1 erreichbar ist?
Nein. Mit Routing allein funktioniert das nicht, es sei denn, Du hast nur bestimmte İP-Netze, die über U1 reinkommen. Dann kannst Du statische Routen anlegen.
Oder Du nutzt einen Proxy, der İ1 statt İ2 als default gateway hat.
Die "einfache" Lösung wäre an eine freie NIC des Servers einfach ein VLAN anzustecken das I1 als Gateway nutzt.
Diese "einfache Lösung" funktioniert nicht, weil der Server ggf. die Antwort auf dem anderen Port rausschickt.
lks
Danke, genau das wars, weil WAN2 antwortet, WAN1 aber erwartet wird.
Ich konnte mein Problem damit folgendermaßen lösen (vielleicht hilt es mal jemand - ich hasse selbst nichts mehr, als Threads ohne Lösung):
Die Lösung ist die Verbindungen ("In Interface") zu markieren "mark connection" und in einer weiteren Regel die Verbindungsmarkierung in eine Routingmarkierung "mark routing" zu wandeln. Damit funktioniert es, was bei WAN1 reinkommt auch bei WAN1 rausgeht (dasselbe natürlich auch bei WAN2).
Quelle: https://serverfault.com/questions/658361/how-to-make-connections-answer- ...
Beitrag von "Cha0s".
Ich konnte mein Problem damit folgendermaßen lösen (vielleicht hilt es mal jemand - ich hasse selbst nichts mehr, als Threads ohne Lösung):
Die Lösung ist die Verbindungen ("In Interface") zu markieren "mark connection" und in einer weiteren Regel die Verbindungsmarkierung in eine Routingmarkierung "mark routing" zu wandeln. Damit funktioniert es, was bei WAN1 reinkommt auch bei WAN1 rausgeht (dasselbe natürlich auch bei WAN2).
Quelle: https://serverfault.com/questions/658361/how-to-make-connections-answer- ...
Beitrag von "Cha0s".