Ich habe eine Fritz!Box 3490 mit 5 nutzbaren externen IPv4-Adressen, die mir unser ISP zur Verfügung gestellt hat. Die Fritz!Box soll unsere vorhandene DrayTek 2925 ersetzen.
Eine von fünf IP-Adressen ist eine MX. Daher verwenden wir diese IP zum Senden und Empfangen von E-Mails über Port 25 und ermöglichen außerdem die Remote-Verbindung mobiler Geräte zum Senden von E-Mails über Port 443.
Mithilfe der Fritz!Box möchte ich in der Lage sein, an die MX-IP-Adresse gesendeten Datenverkehr an die lokale IP-Adresse des Exchange-Servers weiterzuleiten. Die aktuelle IP-Adresse des Exchange-Servers liegt im Bereich 10.1.1.0/24. Der ISP sagt, damit die Fritz!Box an die externe IP-Adresse gesendeten Datenverkehr weiterleiten kann, muss die Fritz!Box das öffentliche IPv4-Subnetz kennen (was sie tut), aber der Exchange-Server benötigt auch die externe IP-Adresse, die zur Netzwerkkarte hinzugefügt wird.
Ist dies richtig und hätte der Server von Anfang an so konfiguriert werden sollen?
Was die anderen Server betrifft, sagt der ISP, dass auch sie eine der externen IP-Adressen zusätzlich zu ihrer Netzwerkkarte benötigen.
Gibt es hierfür einen einfacheren Ansatz, ähnlich dem von DrayTek, wo ich ihm einfach sagen kann, dass er an EXTERNAL_IP:EXTERNAL_PORT gesendeten Datenverkehr an INTERNAL_IP:INTERNAL_PORT weiterleiten soll?
Antwort1
Die von Ihrem ISP beschriebene Methode ist für den Router einfacher – im Wesentlichen nichts anderes alsRoutenplanungzwischen Ihrem Subnetz und dem Rest der Welt. In vielen Rechenzentren werden Server so konfiguriert, dass dem Server direkt eine öffentliche Adresse zugewiesen wird. Dies ist das Standardverhalten für IPv6 und war früher auch Standard für IPv4.
Die von DrayTek verwendete Methode verwendet zusätzliche Funktionen – DNAT (Portweiterleitung) – die auf einem Router vorhanden sein können oder nicht. Selbst wenn sie vorhanden sind, ist sie möglicherweise nicht im gleichen Maße hardwarebeschleunigt wie reines Routing (da Statusabfragen erforderlich sind und die Header jedes Pakets tatsächlich neu geschrieben werden müssen).
NAT erscheint möglicherweise einfacher, wenn Sie die öffentlichen Adressen nur wenig verwenden, und ermöglicht grundsätzlich die gemeinsame Nutzung derselben IP-Adresse durch mehrere Server (wenn Sie mehr Server als Adressen haben) – leiten Sie einige Ports an einen weiter, leiten Sie mehrere Ports an einen anderen weiter usw.
Wenn Sie jedoch über genügend Adressen und/oder eine große Anzahl von Diensten verfügen, kann das direkte Routing wesentlich einfacher sein. Es gibt dem Server direkte und vollständige Kontrolle über seine eigene Adresse. Nachdem Sie es konfiguriert habeneinmalpro Server, Sie müssen nicht zum Router zurückkehren und weitere Regeln hinzufügen. Die meisten Heimrouter erlauben nur die Konfiguration von Weiterleitungsregeln für TCP/UDP, aber nicht für GRE, ESP, 6in4 oder andere anspruchsvollere Protokolle; Direktrouting funktioniert standardmäßig mit allem.
Unterstützt die Fritz!Box 3490 die DNAT-Konfiguration? Nur teilweise.Laut dieser SeiteEs befindet sich unter "Zugriff zulassen → Portfreigabe", aber Sie können dort nicht dieexternIP-Adresse. Welche Portregeln Sie auch immer hier hinzufügen, sie gelten wahrscheinlich für alle an Sie weitergeleiteten Adressen – oder für alle dem Router selbst zugewiesenen Adressen (von denen ich annehme, dass sie auf genau eine beschränkt sind). Das Linux-basierte Kernbetriebssystem unterstützt sicherlich die Übereinstimmung mit der Quelladresse, aber es wird nicht in der Konfigurations-Benutzeroberfläche fürmancheGrund; vielleicht weil es nicht hardwarebeschleunigt werden kann, oder es war einfach eine bewusste Entscheidung. Aber Tatsache bleibt: Wenn es in der Konfigurations-Benutzeroberfläche nicht verfügbar ist, passt das Fritz!Box DNAT nicht zu Ihrem Anwendungsfall mit mehreren Adressen.
Wie bereits erwähnt, erfordert einfaches Routing (die von Ihrem ISP gewünschte Methode) keine zusätzlichen Funktionen der Fritz!Box – es hat buchstäblich nur eine Aufgabe.