Ich habe vor Kurzem mein virtuelles Servermodell auf Hetzner geändert. Das neue Modell hat eine externe IPv4-Adresse, unter der es (wie vorgesehen) vom Internet aus erreichbar ist. Aber ich kann diese externe IP nicht in der Konfiguration verwenden: iptablesRegeln haben keine Wirkung, openvpnder Server kann mit dieser IP keinen Listener an einen Port binden usw. Ich habe in der Ausgabe eine „lokale“ IP-Adresse ( 172.31.x.x) gefunden ifconfig, und wenn ich sie in der Konfiguration verwende, funktioniert alles wie am Schnürchen.
Auf meinem alten Server konnte ich es überall verwenden. Ich frage mich also: Warum könnte eine externe IP für meinen neuen Server nicht funktionieren? Das Betriebssystem istUbuntu 15.04
Antwort1
Hetzner hat aufgehört, virtuellen Servern öffentliche IPv4-Adressen zuzuweisen. Soweit ich weiß, geschah dies, als der Produktname von VQ in CX geändert wurde. Die Verwendung von NAT wird in der Produktbeschreibung allerdings nicht erwähnt.
Schließlich führte Hetzner eine neuere Cloud-Plattform ein, bei der VMs echte öffentliche IPv4-Adressen und ein geroutetes /64-IPv6-Präfix erhalten. Beide Versionen teilen sich den Namen CX.
Virtuelle Server, die 2012 und 2013 bestellt wurden, behielten ihre öffentliche IPv4-Adresse bis 2019, als die VQ-Linie eingestellt wurde. Virtuelle Server, die 2016 bestellt wurden, haben jedoch nur eine RFC1918-Adresse, und Hetzner wird keine öffentliche IPv4-Adresse an einen solchen virtuellen Server weiterleiten.
Sie haben jedem virtuellen Server trotzdem eine dedizierte öffentliche IPv4-Adresse zugewiesen, die sie per NAT an die zugewiesene RFC1918-Adresse anpassten. Hetzner war der Ansicht, dass dies kein Problem darstellte, da es sich um ein 1:1-NAT handelte.
Wie Sie herausgefunden haben, ist dies bei der Konfiguration des Servers fehleranfällig. Sie müssen über dieses NAT Bescheid wissen. Und Sie müssen die Zuordnung jedes Mal nachschlagen, wenn Sie etwas konfigurieren. Beim ersten virtuellen Server, den wir in einer solchen Konfiguration hatten, wurde er aus diesem Grund in den ersten Tagen zweimal falsch konfiguriert.
Jede Software, die auf die Kenntnis der öffentlichen IPv4-Adresse angewiesen ist, funktioniert entweder nicht mehr oder muss speziell konfiguriert werden. Darüber hinaus können einige VPNs und IP-Tunnel Probleme haben, da getunnelte Pakete nicht NATed werden.
Wenn Sie festgestellt haben, dass diese potenziellen Probleme Ihren beabsichtigten Verwendungszweck nicht beeinträchtigen, und wenn es Ihnen nichts ausmacht, bei Konfigurationsänderungen die Zuordnung zwischen öffentlichen und privaten Adressen berücksichtigen zu müssen, können Sie die Situation akzeptieren.
Beachten Sie jedoch, dass die meisten NAT-Implementierungen statusbehaftet sind. Wenn NAT tatsächlich statusbehaftet ist, kann es bei Statusverlust zu einem Abbruch der TCP-Verbindungen kommen.
Ich weiß nicht, ob das von Hetzner verwendete NAT zustandsbehaftet oder zustandslos ist. Die naheliegendste Möglichkeit, die Zustandsbehaftetheit zu testen, besteht für mich darin, den Verbindungsaufbau zu tunneln und den Tunnel zu deaktivieren, sobald eine TCP-Verbindung hergestellt ist. Leider funktioniert genau diese Art des Tunnelns nicht, sodass man, um dieses Experiment durchzuführen, zuerst die 1:1-NAT-Konfiguration replizieren müsste. Ich habe dieses ziemlich komplizierte Experiment nicht versucht.
Sie haben folgende Möglichkeiten:
- Aktualisieren Sie auf die neuere CX-Leitung, auf der Hetzner Ihnen eine echte IPv4-Adresse und ein geroutetes /64-IPv6-Präfix gibt.
- Akzeptieren Sie, dass Ihr Datenverkehr über ein 1:1-NAT läuft, mit den damit verbundenen Nachteilen.
- Lassen Sie Ihren gesamten wichtigen Datenverkehr über IPv6 abwickeln – Hetzner leitet den IPv6-Datenverkehr ordnungsgemäß ohne NAT weiter.
- Wechseln Sie zu einem dedizierten Server (vorausgesetzt, dieser erhält weiterhin eine öffentliche IPv4-Adresse, was schwer herauszufinden ist, da die Verwendung von NAT nirgendwo in der Produktbeschreibung erwähnt wird).
- Wechseln Sie zu einem anderen Anbieter.
Antwort2
Da du bei Hetzner mietest, gehe ich davon aus, dass du deutsch sprichst. Hier ist also die Antwort direkt vonHetzners Support-Wiki:
Warum hat meine VM die IP 172.31.1.100?
oder auch:
Warum hat meine VM eine andere IP als im Robot angegeben?
Warum hat meine VM eine private IP?
Bei den CX-Modellen ist die IPv4-Adresse im vServer eine private IP, die 1:1 per NAT auf die öffentliche IPv4-Adresse umgesetzt wird. Aktuell ist die private IP bei allen gleich: 172.31.1.100. Die öffentliche IP wird im Hetzner Robot angezeigt.
Warum hat meine VM die IP 172.31.1.100?
Oder auch:
Warum hat meine VM eine andere IP als die im Roboter angezeigte?
Warum hat meine VM eine private IP?
Bei den CX-Modellen ist die IPv4-Adresse des virtuellen Servers eine private IP, die 1:1 per NAT auf die öffentliche IP konfiguriert wird. Aktuell ist die private IP für alle gleich: 172.31.1.100. Die öffentliche IP wird im Robot angezeigt.