Ich betreibe Webentwicklung in einem kleinen Büro und benötige mehrere physische und virtuelle Server, auf die über das Internet zugegriffen werden kann. Außerdem habe ich mehrere Geräte (Computer, Laptops, Tablets, Drucker usw.), die ebenfalls Verbindungen benötigen. Ich habe von meinem ISP ein Subnetz mit 8 IPs bekommen, und obwohl das für die Webserver ausreichend ist, ist es für alles, was Zugriff auf das Netzwerk benötigt, viel zu klein.
Mein Router ist ein ASUS RT-N16 mit DD-WRT. Ich bin in diesem Routing-Thema gerade schlau genug, um gefährlich zu sein, man stelle sich einen 2-Jährigen mit einem Filzstift vor. Ich möchte mein internes Netzwerk per NAT auf dem Netzwerk 192.168.xx halten und den Verkehr 68.69.xx 255.255.255.248 direkt an die Server weiterleiten. Das physische Netzwerk besteht aus dem 4-Port-DD-WRT-Router und einem nicht verwalteten Gig-Switch. Ich habe eine Glasfaserverbindung zum Büro, die als Ethernet-Port fungiert. Mit anderen Worten, ich kann meinen Laptop direkt anschließen und auf das Internet zugreifen. Es gibt weder Login noch Passwort und der Router ist so eingerichtet, dass er DHCP vom ISP erhält und DHCP-Adressen für das interne Netzwerk bereitstellt.
Bisher habe ich gegoogelt und verschiedene Konfigurationen ausprobiert, allerdings mit wenig Erfolg. Am Ende kam ich zu dem Schluss, dass ich nicht einmal wusste, wie ich die erforderlichen Fragen stellen sollte.
Meine Fragen sind:
Ist dies die beste Möglichkeit, das Netzwerk zu konfigurieren?
Wie machst du das? VLANs? Mehrere Router?
Ich musste noch nie einen Router mit etwas anderem als der GUI konfigurieren, also seien Sie vorsichtig, wenn es sich um Befehlszeilenkram handelt.
Antwort1
Zunächst einmal wäre diese Frage auf Serverfault.com besser zu beantworten, da sie auf Geschäftsumgebungen ausgerichtet ist und nicht auf Fragen des Servicedesks für einzelne Benutzer. Obwohl das von einigen diskutiert werden muss. Alternativ müssen Sie entweder einen Netzwerktechniker-Berater finden, der dies für Sie entwirft, oder eine ganze Menge über IP-NATTING und VLAN-Routing lesen.
Je nach Budget können Sie es auf verschiedene Arten tun, aber ich würde mir eine Cisco-Lösung ansehen, um routbare VLANs und IP NAT (Network Address Translation) zu haben. In diesem Szenario würden Sie mehrere VLANs auf einem Cisco-Switch laufen lassen (Sie können einen Layer-2-Switch verwenden und Ihren Router die VLANs oder einen Layer-3-Switch für Sie dorthin routen lassen) und einen Cisco-Router, der sich um NAT für alle Ihre externen IPs zu Ihren internen Adressen und VLANs kümmert. Wenn Sie IP-NAT auf einem Cisco-Router einrichten, schränken Sie den Zugriff durch die Einrichtung von ACLs ein und routen zum VLAN mithilfe von dot1q-Tagging.
Dies wäre beispielsweise ein Design:
1-2 öffentliche IP-Adressen verbunden mit VLAN 2 private IPs (Laptops, Tablets usw.) 1-2 öffentliche IP-Adressen verbunden mit VLAN 3 Stufe (Testumgebung Stufe) 2-6 öffentliche IP-Adressen verbunden mit VLAN 4 Webserver
Viel Glück..
Antwort2
Weisen Sie Ihrem Gateway eine statische Adresse zu, verwenden Sie für alles andere NAT und führen Sie jeden Webserver auf einem anderen Port aus. Konfigurieren Sie Ihren Router so, dass die entsprechenden Ports (80) an die lokale IP-Adresse jedes Servers weitergeleitet werden.
Antwort3
Ich denke, dieses Problem stellt ein Problem auf einer viel höheren Ebene dar, vielleicht auf der Anwendungsebene – und nicht auf der Routingebene. Um mehrere Server intern auf derselben externen Adresse und demselben Port laufen zu lassen, muss ein Gerät dazwischengeschaltet sein, das HTTP-Anfragen auf höherer Ebene versteht. Dieses Gerät müsste auch in der Lage sein, die Domäne aus der URL-Struktur zu analysieren und gleichzeitig interne DNS-Server nach der entsprechenden Auflösung abzufragen. AKAReverse-Proxy.
Im Wesentlichen werden externe DNS-Anfragen an Ihre internen DNS-Server in Ihrem Netzwerk gesendet. Sobald dies geschieht, senden Browser HTTP-Anfragen über das NAT-Gateway, nur um von einem Reverse-Proxy-Server abgefangen zu werden, der dann die Domäne aus den Headern analysiert, die zugehörigen Namen intern auflöst und die Anfrage an den richtigen Server weiterleitet.
Antwort4
Angesichts dessen, was ich hier sehe, gibt es ein paar Dinge:
- Leiten Sie statische IPs über Port 80 an die Server weiter, die in einem ausreichend guten Zustand sind, um dies zu rechtfertigen.
- Für den zufälligen internen Gerätezugriff kann jede Ihrer statischen IPs als NAT-Ausgangs-IP verwendet werden. Aus Gründen der IP-Reputation ist es am besten, eine IP nur dafür zu reservieren, aber da nur 6 nutzbare IPs zur Verfügung stehen, ist das möglicherweise nicht sinnvoll.
- Für die Spezial-Schneeflocken können Sie ziemlich kreativ werden mitHAProxyKonfigurationen. Sie können Regeln basierend auf dem Servernamen einrichten (dies setzt voraus, dass kein SSL beteiligt ist), die dann basierend auf diesem Namen zu konfigurierten Back-End-Servern weiterleiten. Ähnlich wie virtuelle Hosts, aber auf Proxy-Ebene und nicht auf dem Webserver selbst gehandhabt.
Randbemerkung: Deshalb ist IPv6die Zukunft, diese Art von Problem verschwindet irgendwie. Aber das hilft Ihnen jetzt nicht (es sei denn natürlich, Ihre Clients haben v6-Unterstützung).
Ihre Konfiguration sieht für eine kleine Büroeinrichtung ziemlich normal aus.