Public IP Routing

T

TheBlackDazed

New Member
Folgende Gegebenheiten:

/28er Public IP Subnet
Externer Server mit public IP
Lokaler Server hinter DSL Leitung.

Gibt es einen schönen weg meinem Localen Server ein Interface zu geben mit der Public IP? Ich möchte unbedingt auf NAT verzichten. Ist da OpenVPN das Mittel der Wahl, oder gibt es da elegantere Methoden?
 
Nein das ist nur am externen Server nutzbar. Habe ein VRack mit mehreren subnetzen bei ovh. Die einzelnen Adressen sind eigentlich für meine Virtuelle Maschinen, aber ich will jetzt auch eine an meinen Lokalen Server vergeben. Das Routing muss über den externen Server erfolgen.
 
Auf dem externen Server habe ich ja schon Gateway und broadcast. Ich will ungerne noch mehr Adressen verlieren. Habe mir gedacht ich könnte ein OpenVPN laufen lassen und das tap interface an meine bridge vom VLAN hängen und dann nur diese IP übers tap routen. Aber eine genaue Konfigration habe ich dafür noch nicht im Kopf und auf dem Schlauch stehen tue ich auch :)

Ab meinem externen Server kann ich im Prinzip routen wie ich will, aber ich habe noch keine Ahnung wie :).
 
Darf man interessehalber fragen, was an DSL (mit öffentlicher IP) mit DynIP Service und Portweiterleitung auf den lokalen Server nicht ausreicht?

Je nach VPN Konfiguration musst Du bedenken, dass unter Umständen aller Traffic des Servers dann über den Server geht und dort Traffic doppelt anfällt und die Latenz verlängert wird. Auch Unterbrechungen des VPN Tunnels durch 24h Zwangstrennungen müssen aufgefangen werden.
 
Traffic zwischen dem externen Server und dem Lokalen soll eh verschlüsselt werden. Die Adresse soll von meinem Nameserver eine Subdomain bekommen und ganz wichtig ist die Reverse DNS für Kerberos!
Das mit dem Traffic ist eine Sache vom Default Gateway. Dieses bleibt natürlich bei der Internetverbindung, welche vom Server über ein DSL Modem aufgebaut wird.

Außerdem möchte ich, dass die Public IP vom Lokalen Server dann von Außen erreichbar ist, also nicht über VPN. Ihr seht VPN ist nur dafür da, dass der Server weiß wie er wohin routen soll. Gibt es dafür keine übliche Vorgehensweise?
 
Last edited by a moderator:
Bridge geht, ist aber unsauber. Gateway geht so nicht. Alles was über VPN reinkomnt muss auch darüber beantwortet werden. Also entweder DSL oder VPN. Oder policy based routing...
 
Natürlich muss über VPN die Antwort raus gehen, wenn von Außen eine Anfrage kommt. Alles andere macht ja keinen Sinn. Es ging darum, dass Traffic nach draußen womöglich unnötigerweise über den externen Server läuft.

Wenn Bridging unsauber ist, hast du eine saubere alternative?
 
Ich hab noch ein paar Subnetze... Ich wollte aber ungerne 6 Adressen verschwenden, um einem Rechner eine Adresse zu geben...
Oder ich gebe allen Rechnern eine öffentliche ip und sperr alles per netfilter...
 
Wenn es unbedingt verschlüsselt sein soll:

- OpenVPN oder L2TP over IPSec
- KEIN Bridging verwenden
- Damit baust du einen Tunnel auf, vergibst aber darüber IPs aus (nicht bereits verwendeten) lokalen Bereichen - z.B. 192.168.250.0/27
- Auf deinem OVH-Server kannst du dann eine einzelne IP per statischer Route auf das Tunnelinterface routen:
Code: 
ip route add xx.xx.xx.xx/32 dev tun0
- Auf deinem lokalen Server bindest du eben jene IP mit an das Tunnelinterface, auch hier auf keinen Fall die /32-Subnetzmaske vergessen!

Vorteil: Du hast eine einzelne öffentliche statische IP auf deinem lokalen Server ohne das Subnetz zerfleddert zu haben.
Nachteil: Deine Server bei OVH aus diesem Subnetz werden die IP nicht mehr erreichen können, dafür müsstest du den OpenVPN dazu bringen auf ARP-Anfragen zu dieser IP zu antworten. Oder du musst auf den betroffenen Servenr statische ARP-Einträge mit der MAC-Adresse des Tunnelinterfaces verwenden...
Man nennt das eben beschriebene Konstrukt aber landläufig auch "Schweinerouting" ;)

Ist das hier eventuell eine Alternative?
http://www.portunity.de/access/produkte/vpn-tunnel.html
Da bekommste eine öffentliche IP per OpenVPN direkt zu dir auf deinen lokalen Server, sie ist halt nur nicht aus deinem Subnetz.
 
Habe übrigens ein ähnliches Problem: Hab ein geroutetes /26, möchte das gerne irgendwie nachhause routen über die bestehenden Firewalls (pfSense). Möchte aber nicht allen Traffic dort drüber leiten, sondern nur ein bestimmtes VLAN in meinem Heimnetz sollte Public IPs haben. Funktioniert sogesagt nicht, mit Policy Based Routing kann ich zwar mit der IP surfen, aber Zugriff aus dem Internet ist nicht möglich, auch ein Traceroute bringt volliger schwachsinn raus. Ideen?
 
vb-server said:
Möchte aber nicht allen Traffic dort drüber leiten, sondern nur ein bestimmtes VLAN in meinem Heimnetz sollte Public IPs haben. Funktioniert sogesagt nicht, mit Policy Based Routing kann ich zwar mit der IP surfen, aber Zugriff aus dem Internet ist nicht möglich, auch ein Traceroute bringt volliger schwachsinn raus. Ideen?
Click to expand...

Via QinQ, sofern dein DSL-/Home-/Büro-Router dies unterstützt.
 
Scheint pfSense zu können. Soweit ich das sehe, hat das was mit VLANs zu tun. Wie route ich dann das Subnetz vom RZ am besten zu mir nachhause?
 
Nein, ist ein geroutetes Subnetz. Untagged bekomm ich eine einzelne IP und auf diese IP wird das Subnetz geroutet.
 
In deiner Konstellation wirst du VLAN´s (Layer 2) nicht über einen Tunnel schieben können, wenn z.B. der Tunnel kein EoMPLS unterstützt. Soweit ich pfSense kenne, unterstützt es dies nicht.

Eventuell könnte es bei pfSense mit GRE funktionieren. Damit sollte man ein Layer 3 transportieren können.
 
You must log in or register to reply here.
Back
Top