Zweite IP - Routing?

thepandapi94
Goto Top
Hey Zusammen,

ich habe gestern über Hetzner eine zweite IP bezogen.
Laut Hetzner soll diese auch auf die primäre Schnittstelle gebunden werden. (Alles soweit in Ordnung)

Ich habe eine VM, welche mir an die neue IP gewisse Ports weiterleitet.
In der VM habe ich einen DNS laufen, welcher den Port 53 weiterleitet an die IP.

Das Problem ist, dass wenn ich dig @neueip DOMAIN mache, peilt er nicht die VM an sondern das Host System.
Was habe ich vergessen oder falsch gemacht?

Danke schon mal im vorraus!

Content-Key: 521763

Url: https://administrator.de/contentid/521763

Ausgedruckt am: 30.06.2022 um 02:06 Uhr

Mitglied: Spirit-of-Eli
Spirit-of-Eli 04.12.2019 aktualisiert um 11:59:07 Uhr
Goto Top
Moin,

woran liegt die IP denn überhaupt an (System?)?
Dazu schreibst du nichts.

Gruß
Spirit
Mitglied: thepandapi94
thepandapi94 04.12.2019 um 12:01:37 Uhr
Goto Top
Achso Sorry,

Host System ist Debian 10 inkl. Plesk
Mitglied: Lochkartenstanzer
Lochkartenstanzer 04.12.2019 aktualisiert um 13:45:35 Uhr
Goto Top
Zitat von @thepandapi94:

Ich habe eine VM, welche mir an die neue IP gewisse Ports weiterleitet.
In der VM habe ich einen DNS laufen, welcher den Port 53 weiterleitet an die IP.

Das Problem ist, dass wenn ich dig @neueip DOMAIN mache, peilt er nicht die VM an sondern das Host System.
Was habe ich vergessen oder falsch gemacht?

Ist der gast gebridget oder geroutet? bei geroutet mußt Du natten.

lks
Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 04.12.2019 um 12:13:49 Uhr
Goto Top
Guten Tag,

vielleicht könnte die das helfen:

https://www.strato.de/faq/server/so-konfigurieren-sie-ihre-2ip-adresse/# ...

Viele Grüße

Ich
Mitglied: thepandapi94
thepandapi94 04.12.2019 aktualisiert um 12:27:55 Uhr
Goto Top
Also mein aktueller Stand ist:
Bind war auf listen-on: any eingestellt. jetzt habe ich dort nur die Host IP eingetragen.
Somit greift der Host Bind9 nicht mehr auf die neue IP Adresse zu. Soweit so gut.

Die VM ist auf NAT eingestellt.
Unter NAT habe ich als Weiterleitung das Protokoll UDP, mit der Host IP: NEUEIP, Host Port: 53, Guest IP: leer, Guest Port 53.
das selbe nochmal mit TCP.
Aber ich bekomme keine Rückmeldung über dig?
Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 04.12.2019 um 12:30:59 Uhr
Goto Top


Entschuldigung, ich hab wieder mal nicht richtig gelesen.

Viele Grüße

Ich
Mitglied: thepandapi94
thepandapi94 04.12.2019 um 12:35:22 Uhr
Goto Top
Hey OIOOIOOIOIIOOOIIOIIOIOOO,

leider nicht zutreffend, da es ein anderer hoster ist. Hetzner nutzt zb. kein /etc/network/interface.
Mitglied: godlie
godlie 04.12.2019 um 12:42:25 Uhr
Goto Top
Hallo,

ja dann schau doch mal ins Hetzner DOKU WIKI
Mitglied: Spirit-of-Eli
Spirit-of-Eli 04.12.2019 um 12:53:31 Uhr
Goto Top
Ich habe mir das bei Hetzner einfach gemacht und lasse die Adressen per DHCP verteilen.
Genutzt wird hier ein ESX, dieser erhält die erste Adresse. Wenn die Firewall startet erhält diese die zweite.

Der Grund ist folgender. Fällt nämlich die Firewall VM aus und würden beide Adressen dort anliegen, hätte ich keinerlei Zugriff auf den Host.
Daher würde ich auch so ein Konstrukt bevorzugen. Hetzner bietet vor den Dedicated Servern eine stateless Firewall womit der Zugriff geregelt werden kann.

Ob das ganze auch mit einem VServer geht weiß ich nicht. Ich habe mich bewusst gegen einen VServer entschieden.
Mitglied: aqui
aqui 04.12.2019 aktualisiert um 13:38:15 Uhr
Goto Top
Host System ist Debian 10 inkl. Plesk
Nur mal doof nachgefragt: Du fährst 2 IP Adressen auf einer physischen NIC ?? Sowas ist ja schonmal nicht TCP/IP Standard konform und kann auch von Hetzner wohl so nicht gemeint sein ! ICMP kommt dann immer nur von der primären IP. Die Secondary kann dann kein ICMP also sämtliche Kntroll und Steuer Mechnaismen gehen nicht. Unter anderem deshalb ist es auch nicht Standard konform.
Die sind ganz sicher davon ausgegangen das deine VM gebridged ist und diese dann die 2te IP bekommt. Das wäre dann wenigstens TCP/IP konform ! Nicht aber das was du machst obwohl es sicher mehr schlecht als recht funktioniert.
Mitglied: thepandapi94
thepandapi94 04.12.2019 um 14:05:38 Uhr
Goto Top
Das steht im Wiki:
"Die zugewiesen Adressen können als weitere Adresse auf der physischen Netzwerkschnittstelle angelegt werden."
Mitglied: Lochkartenstanzer
Lochkartenstanzer 04.12.2019 um 14:17:24 Uhr
Goto Top
Zitat von @aqui:

Host System ist Debian 10 inkl. Plesk
Nur mal doof nachgefragt: Du fährst 2 IP Adressen auf einer physischen NIC ?? Sowas ist ja schonmal nicht TCP/IP Standard konform und kann auch von Hetzner wohl so nicht gemeint sein !

Doch, das ist so gemeint. Allerdings wäre es sinnvoller die Adresse per Proxy-ARP und 1:1-NAT an eine VM weiterzuleiten.

ICMP kommt dann immer nur von der primären IP. Die Secondary kann dann kein ICMP also sämtliche Kntroll und Steuer Mechnaismen gehen nicht. Unter anderem deshalb ist es auch nicht Standard konform.

Was aber nichts daran ändert, daß es meistens funktioniert, bzw. den Anwendern nciht auffällt, daß es irgendwo hakt und öst. :-) face-smile

Die sind ganz sicher davon ausgegangen das deine VM gebridged ist und diese dann die 2te IP bekommt.

Das ist normalerweise auch so beabsichtigt. Nur manche bekommen das nicht hin. :-) face-smile

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 04.12.2019 um 14:17:58 Uhr
Goto Top
Zitat von @thepandapi94:

Das steht im Wiki:
"Die zugewiesen Adressen können als weitere Adresse auf der physischen Netzwerkschnittstelle angelegt werden."

Was aber nichts darüber aussagt, ob das sinnvoll ist oder nicht.

lks
Mitglied: tech-flare
tech-flare 05.12.2019 um 00:16:28 Uhr
Goto Top
Wozu benötigst du denn die 2. IP, wenn du debian mit Plesk einsetzt?

Ich selbst habe auch einen Server bei Hetzner mit 2 x Public IP + /29er Subnetz - alles auf einer NIC.

Aber darauf läuft ein ESX wie folgt:

1. IP VMHost
2. IP (MAC gebunden und bekommt über DHCP von Hetzner die Ip ) ist die RouterVM (Sophos)
3. /29er Subnetz ist geroutet auf die 2. öffentliche IP der RouterVM direkt in die DMZ ohne Maskierung.... somit haben alle offentlichen VM eine weitere öffentliche IP
Mitglied: aqui
aqui 05.12.2019 um 10:11:28 Uhr
Goto Top
Aber darauf läuft ein ESX wie folgt:
So ist es auch IP adresstechnisch vorbildlich gelöst !