
Tengo un Fritz!Box 3490 junto con 5 direcciones IPv4 externas utilizables proporcionadas por nuestro ISP. El Fritz!Box reemplazará nuestro DrayTek 2925 existente.
Una de cada cinco direcciones IP es MX; entonces usamos esa IP para enviar y recibir correos electrónicos en el puerto 25, así como permitir que los dispositivos móviles se conecten de forma remota a través del puerto 443 para correos electrónicos.
Usando Fritz!Box, quiero poder reenviar el tráfico enviado a la dirección IP MX a la dirección IP local del servidor Exchange. La dirección IP actual del servidor Exchange está en un rango 10.1.1.0/24. El ISP dice que para que Fritz!Box reenvíe el tráfico enviado a la dirección IP externa, Fritz!Box necesita conocer la subred IPv4 pública (lo cual es cierto), pero el servidor Exchange también necesita agregar la dirección IP externa a la NIC. .
¿Es esto correcto? ¿Es así como debería haberse configurado el servidor en primer lugar?
En cuanto a los otros servidores, el ISP dice que ellos también necesitarán agregar una de las direcciones IP externas a su NIC.
¿Existe un enfoque más simple para esto, similar a cómo lo hace DrayTek, donde puedo decirle que reenvíe el tráfico enviado a EXTERNAL_IP:EXTERNAL_PORT a INTERNAL_IP:INTERNAL_PORT?
Respuesta1
El método descrito por su ISP es más sencillo para el enrutador; básicamente, nada más queenrutamientoentre su subred y el resto del mundo. Asignar al servidor una dirección pública directamente es la forma en que se configuran los servidores en muchos centros de datos; es el comportamiento estándar para IPv6 y solía serlo también para IPv4.
El método utilizado por DrayTek utiliza una funcionalidad adicional, DNAT (reenvío de puertos), que puede estar presente en un enrutador o no. Incluso si está presente, es posible que no esté acelerado por hardware en la misma medida que el enrutamiento puro (debido a que requiere búsquedas de estado y, de hecho, reescribir los encabezados de cada paquete).
NAT puede parecer más simple si su uso de las direcciones públicas es ligero e inherentemente permite compartir la misma dirección IP entre múltiples servidores (si tiene más servidores que direcciones): reenvíe algunos puertos a uno, reenvíe más puertos a otro, etc.
Sin embargo, si tiene suficientes direcciones y/o una gran cantidad de servicios, el enrutamiento directo puede resultar considerablemente más sencillo. Le da al servidor control directo y total de su propia dirección; así que después de haberlo configuradouna vezpor servidor, no es necesario volver al enrutador para agregar más reglas. La mayoría de los enrutadores domésticos solo permiten configurar reglas de reenvío para TCP/UDP, pero no GRE ni ESP ni 6in4 ni otros protocolos más sofisticados; El enrutamiento directo funciona con todo de forma predeterminada.
¿El Fritz!Box 3490 admite la configuración DNAT? Sólo parcialmente.Según esta páginaestá en "Permitir acceso → Compartir puerto", pero no le permite seleccionar elexternoDirección IP. Cualquiera que sea la regla de puerto que agregue aquí, probablemente se aplicará a todas las direcciones enrutadas hacia usted, o a todas las direcciones asignadas al enrutador (que supongo que se limita exactamente a una). El sistema operativo central basado en Linux ciertamente admite la coincidencia de direcciones de origen, pero no está expuesto en la interfaz de usuario de configuración paraalgunorazón; tal vez porque no podría ser acelerado por hardware, o podría haber sido simplemente una decisión deliberada. Pero el hecho es que si no está disponible en la interfaz de usuario de configuración, entonces Fritz!Box DNAT no se adaptará a su caso de uso de múltiples direcciones.
Mientras que, como mencioné antes, el enrutamiento simple (el método que desea su ISP) no requiere ninguna capacidad adicional de Fritz!Box: literalmente tiene una sola tarea.