15
Zweite IP - Routing?
Hey Zusammen,
ich habe gestern über Hetzner eine zweite IP bezogen.
Laut Hetzner soll diese auch auf die primäre Schnittstelle gebunden werden. (Alles soweit in Ordnung)
Ich habe eine VM, welche mir an die neue IP gewisse Ports weiterleitet.
In der VM habe ich einen DNS laufen, welcher den Port 53 weiterleitet an die IP.
Das Problem ist, dass wenn ich dig @neueip DOMAIN mache, peilt er nicht die VM an sondern das Host System.
Was habe ich vergessen oder falsch gemacht?
Danke schon mal im vorraus!
ich habe gestern über Hetzner eine zweite IP bezogen.
Laut Hetzner soll diese auch auf die primäre Schnittstelle gebunden werden. (Alles soweit in Ordnung)
Ich habe eine VM, welche mir an die neue IP gewisse Ports weiterleitet.
In der VM habe ich einen DNS laufen, welcher den Port 53 weiterleitet an die IP.
Das Problem ist, dass wenn ich dig @neueip DOMAIN mache, peilt er nicht die VM an sondern das Host System.
Was habe ich vergessen oder falsch gemacht?
Danke schon mal im vorraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 521763
Url: https://administrator.de/contentid/521763
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
15 Kommentare
Neuester Kommentar
Moin,
woran liegt die IP denn überhaupt an (System?)?
Dazu schreibst du nichts.
Gruß
Spirit
woran liegt die IP denn überhaupt an (System?)?
Dazu schreibst du nichts.
Gruß
Spirit
Achso Sorry,
Host System ist Debian 10 inkl. Plesk
Host System ist Debian 10 inkl. Plesk
Zitat von @thepandapi94:
Ich habe eine VM, welche mir an die neue IP gewisse Ports weiterleitet.
In der VM habe ich einen DNS laufen, welcher den Port 53 weiterleitet an die IP.
Das Problem ist, dass wenn ich dig @neueip DOMAIN mache, peilt er nicht die VM an sondern das Host System.
Was habe ich vergessen oder falsch gemacht?
Ich habe eine VM, welche mir an die neue IP gewisse Ports weiterleitet.
In der VM habe ich einen DNS laufen, welcher den Port 53 weiterleitet an die IP.
Das Problem ist, dass wenn ich dig @neueip DOMAIN mache, peilt er nicht die VM an sondern das Host System.
Was habe ich vergessen oder falsch gemacht?
Ist der gast gebridget oder geroutet? bei geroutet mußt Du natten.
lks
Guten Tag,
vielleicht könnte die das helfen:
https://www.strato.de/faq/server/so-konfigurieren-sie-ihre-2ip-adresse/# ...
Viele Grüße
Ich
vielleicht könnte die das helfen:
https://www.strato.de/faq/server/so-konfigurieren-sie-ihre-2ip-adresse/# ...
Viele Grüße
Ich
Also mein aktueller Stand ist:
Bind war auf listen-on: any eingestellt. jetzt habe ich dort nur die Host IP eingetragen.
Somit greift der Host Bind9 nicht mehr auf die neue IP Adresse zu. Soweit so gut.
Die VM ist auf NAT eingestellt.
Unter NAT habe ich als Weiterleitung das Protokoll UDP, mit der Host IP: NEUEIP, Host Port: 53, Guest IP: leer, Guest Port 53.
das selbe nochmal mit TCP.
Aber ich bekomme keine Rückmeldung über dig?
Bind war auf listen-on: any eingestellt. jetzt habe ich dort nur die Host IP eingetragen.
Somit greift der Host Bind9 nicht mehr auf die neue IP Adresse zu. Soweit so gut.
Die VM ist auf NAT eingestellt.
Unter NAT habe ich als Weiterleitung das Protokoll UDP, mit der Host IP: NEUEIP, Host Port: 53, Guest IP: leer, Guest Port 53.
das selbe nochmal mit TCP.
Aber ich bekomme keine Rückmeldung über dig?
Zitat von @OIOOIOOIOIIOOOIIOIIOIOOO:
vielleicht könnte die das helfen:
https://www.strato.de/faq/server/so-konfigurieren-sie-ihre-2ip-adresse/# ...
vielleicht könnte die das helfen:
https://www.strato.de/faq/server/so-konfigurieren-sie-ihre-2ip-adresse/# ...
Entschuldigung, ich hab wieder mal nicht richtig gelesen.
Viele Grüße
Ich
Hey OIOOIOOIOIIOOOIIOIIOIOOO,
leider nicht zutreffend, da es ein anderer hoster ist. Hetzner nutzt zb. kein /etc/network/interface.
leider nicht zutreffend, da es ein anderer hoster ist. Hetzner nutzt zb. kein /etc/network/interface.
Ich habe mir das bei Hetzner einfach gemacht und lasse die Adressen per DHCP verteilen.
Genutzt wird hier ein ESX, dieser erhält die erste Adresse. Wenn die Firewall startet erhält diese die zweite.
Der Grund ist folgender. Fällt nämlich die Firewall VM aus und würden beide Adressen dort anliegen, hätte ich keinerlei Zugriff auf den Host.
Daher würde ich auch so ein Konstrukt bevorzugen. Hetzner bietet vor den Dedicated Servern eine stateless Firewall womit der Zugriff geregelt werden kann.
Ob das ganze auch mit einem VServer geht weiß ich nicht. Ich habe mich bewusst gegen einen VServer entschieden.
Genutzt wird hier ein ESX, dieser erhält die erste Adresse. Wenn die Firewall startet erhält diese die zweite.
Der Grund ist folgender. Fällt nämlich die Firewall VM aus und würden beide Adressen dort anliegen, hätte ich keinerlei Zugriff auf den Host.
Daher würde ich auch so ein Konstrukt bevorzugen. Hetzner bietet vor den Dedicated Servern eine stateless Firewall womit der Zugriff geregelt werden kann.
Ob das ganze auch mit einem VServer geht weiß ich nicht. Ich habe mich bewusst gegen einen VServer entschieden.
Host System ist Debian 10 inkl. Plesk
Nur mal doof nachgefragt: Du fährst 2 IP Adressen auf einer physischen NIC ?? Sowas ist ja schonmal nicht TCP/IP Standard konform und kann auch von Hetzner wohl so nicht gemeint sein ! ICMP kommt dann immer nur von der primären IP. Die Secondary kann dann kein ICMP also sämtliche Kntroll und Steuer Mechnaismen gehen nicht. Unter anderem deshalb ist es auch nicht Standard konform.Die sind ganz sicher davon ausgegangen das deine VM gebridged ist und diese dann die 2te IP bekommt. Das wäre dann wenigstens TCP/IP konform ! Nicht aber das was du machst obwohl es sicher mehr schlecht als recht funktioniert.
Das steht im Wiki:
"Die zugewiesen Adressen können als weitere Adresse auf der physischen Netzwerkschnittstelle angelegt werden."
"Die zugewiesen Adressen können als weitere Adresse auf der physischen Netzwerkschnittstelle angelegt werden."
Zitat von @aqui:
Host System ist Debian 10 inkl. Plesk
Nur mal doof nachgefragt: Du fährst 2 IP Adressen auf einer physischen NIC ?? Sowas ist ja schonmal nicht TCP/IP Standard konform und kann auch von Hetzner wohl so nicht gemeint sein !Doch, das ist so gemeint. Allerdings wäre es sinnvoller die Adresse per Proxy-ARP und 1:1-NAT an eine VM weiterzuleiten.
ICMP kommt dann immer nur von der primären IP. Die Secondary kann dann kein ICMP also sämtliche Kntroll und Steuer Mechnaismen gehen nicht. Unter anderem deshalb ist es auch nicht Standard konform.
Was aber nichts daran ändert, daß es meistens funktioniert, bzw. den Anwendern nciht auffällt, daß es irgendwo hakt und öst.
Die sind ganz sicher davon ausgegangen das deine VM gebridged ist und diese dann die 2te IP bekommt.
Das ist normalerweise auch so beabsichtigt. Nur manche bekommen das nicht hin.
lks
Zitat von @thepandapi94:
Das steht im Wiki:
"Die zugewiesen Adressen können als weitere Adresse auf der physischen Netzwerkschnittstelle angelegt werden."
Das steht im Wiki:
"Die zugewiesen Adressen können als weitere Adresse auf der physischen Netzwerkschnittstelle angelegt werden."
Was aber nichts darüber aussagt, ob das sinnvoll ist oder nicht.
lks
Wozu benötigst du denn die 2. IP, wenn du debian mit Plesk einsetzt?
Ich selbst habe auch einen Server bei Hetzner mit 2 x Public IP + /29er Subnetz - alles auf einer NIC.
Aber darauf läuft ein ESX wie folgt:
1. IP VMHost
2. IP (MAC gebunden und bekommt über DHCP von Hetzner die Ip ) ist die RouterVM (Sophos)
3. /29er Subnetz ist geroutet auf die 2. öffentliche IP der RouterVM direkt in die DMZ ohne Maskierung.... somit haben alle offentlichen VM eine weitere öffentliche IP
Ich selbst habe auch einen Server bei Hetzner mit 2 x Public IP + /29er Subnetz - alles auf einer NIC.
Aber darauf läuft ein ESX wie folgt:
1. IP VMHost
2. IP (MAC gebunden und bekommt über DHCP von Hetzner die Ip ) ist die RouterVM (Sophos)
3. /29er Subnetz ist geroutet auf die 2. öffentliche IP der RouterVM direkt in die DMZ ohne Maskierung.... somit haben alle offentlichen VM eine weitere öffentliche IP
Aber darauf läuft ein ESX wie folgt:
So ist es auch IP adresstechnisch vorbildlich gelöst !
