私は Fritz!Box 3490 と、ISP から提供された 5 つの使用可能な外部 IPv4 アドレスを所有しています。Fritz!Box は、既存の DrayTek 2925 を置き換えるものです。
5 つの IP アドレスのうち 1 つは MX です。そのため、その IP を使用してポート 25 で電子メールを送受信するほか、モバイル デバイスがポート 443 経由でリモート接続して電子メールを送信できるようにします。
Fritz!Box を使用して、MX IP アドレスに送信されたトラフィックを Exchange サーバーのローカル IP アドレスに転送できるようにしたいと考えています。Exchange サーバーの現在の IP アドレスは 10.1.1.0/24 の範囲にあります。ISP によると、Fritz!Box が外部 IP アドレスに送信されたトラフィックを転送するには、Fritz!Box がパブリック IPv4 サブネットを認識している必要があります (認識しています)。ただし、Exchange サーバーも NIC に外部 IP アドレスを追加する必要があります。
これは正しいですか? また、サーバーは最初からこのように構成されるべきでしたか?
他のサーバーに関しては、ISP によると、それらのサーバーにも NIC に追加する外部 IP アドレスの 1 つが必要になるとのことです。
DrayTek が行っている方法と同様に、EXTERNAL_IP:EXTERNAL_PORT に送信されたトラフィックを INTERNAL_IP:INTERNAL_PORT に転送するように指示するだけの、より簡単な方法はありますか?
答え1
ISPが説明している方法はルーターにとってはより単純で、基本的にはルーティングサブネットと世界の他の部分との間の通信です。多くのデータセンターでは、サーバーにパブリック アドレスを直接割り当てる方法が採用されています。これは IPv6 の標準的な動作であり、以前は IPv4 でも標準でした。
DrayTek が使用する方法では、ルーターに存在する場合も存在しない場合もある追加の機能 (DNAT (ポート転送)) が使用されます。存在する場合でも、純粋なルーティングと同じ程度にハードウェア アクセラレーションされない可能性があります (状態の検索が必要で、実際にすべてのパケットのヘッダーを書き換えるため)。
パブリック アドレスの使用頻度が低い場合、NAT はよりシンプルに見えるかもしれません。NAT では、複数のサーバー間で同じ IP アドレスを共有できます (アドレスよりもサーバーの数が多い場合)。つまり、一部のポートを 1 つのサーバーに転送し、より多くのポートを別のサーバーに転送するなどです。
しかし、十分なアドレスや大量のサービスがある場合、ダイレクトルーティングの方がかなり簡単になるかもしれません。ダイレクトルーティングでは、サーバーが自身のアドレスを直接かつ完全に制御できるため、設定後は一度サーバーごとに、ルーターに戻ってルールを追加する必要はありません。ほとんどの家庭用ルーターでは、TCP/UDP の転送ルールのみ設定でき、GRE、ESP、6in4、その他の高度なプロトコルは設定できません。ダイレクト ルーティングは、デフォルトですべてで機能します。
Fritz!Box 3490 は DNAT 構成をサポートしていますか? 部分的にのみです。このページによると「アクセスを許可→ポート共有」の下にありますが、選択することはできません。外部のIPアドレス。ここで追加するポートルールは、おそらくルーティングされるすべてのアドレス、またはルーター自体に割り当てられたすべてのアドレス(正確に1つに限定されていると推測します)に適用されます。LinuxベースのコアOSは確かにソースアドレスのマッチングをサポートしていますが、設定UIには公開されていません。いくつかの理由は、おそらくハードウェア アクセラレーションが不可能だったためか、または単に意図的な決定だったためかもしれません。しかし、事実は、構成 UI で利用できない場合は、Fritz!Box DNAT は複数アドレスの使用例に適合しません。
一方、前述したように、シンプルなルーティング (ISP が求める方法) では、Fritz!Box に追加の機能は必要ありません。Fritz!Box には文字通り 1 つの役割しかありません。