Eu tenho um Fritz!Box 3490 junto com 5 endereços IPv4 externos utilizáveis fornecidos pelo nosso ISP. O Fritz!Box substituirá nosso DrayTek 2925 existente.
Um dos cinco endereços IP é um MX; portanto, usamos esse IP para enviar e receber e-mails na porta 25, bem como permitir que dispositivos móveis se conectem remotamente através da porta 443 para e-mails.
Usando o Fritz!Box, quero poder encaminhar o tráfego enviado do endereço IP MX para o endereço IP local do servidor Exchange. O endereço IP atual do servidor Exchange está no intervalo 10.1.1.0/24. O ISP diz que para que o Fritz! Box encaminhe o tráfego enviado para o endereço IP externo, o Fritz! Box precisa conhecer a sub-rede IPv4 pública (o que ele faz), mas o servidor Exchange também precisa do endereço IP externo adicionado à NIC .
Isso está correto e é assim que o servidor deveria ter sido configurado em primeiro lugar?
Quanto aos outros servidores, o ISP diz que eles também precisarão de um dos endereços IP externos adicionados à sua NIC.
Existe uma abordagem mais simples para isso, semelhante à forma como o DrayTek faz isso, onde posso simplesmente dizer para encaminhar o tráfego enviado para EXTERNAL_IP:EXTERNAL_PORT para INTERNAL_IP:INTERNAL_PORT?
Responder1
O método descrito pelo seu ISP é mais simples para o roteador – essencialmente nada mais do queroteamentoentre sua sub-rede e o resto do mundo. Atribuir diretamente ao servidor um endereço público é como os servidores são configurados em muitos datacenters; é o comportamento padrão para IPv6 e também costumava ser padrão para IPv4.
O método utilizado pelo DrayTek utiliza funcionalidade adicional – DNAT (port forwarding) – que pode estar presente em um roteador ou não. Mesmo se presente, ele pode não ser acelerado por hardware na mesma medida que o roteamento puro (devido à necessidade de pesquisas de estado e à reescrita real dos cabeçalhos de cada pacote).
O NAT pode parecer mais simples se o uso de endereços públicos for leve e permitir inerentemente compartilhar o mesmo endereço IP entre vários servidores (se você tiver mais servidores do que endereços) – encaminhar algumas portas para um, encaminhar mais portas para outro, etc.
Porém, se você tiver endereços suficientes e/ou uma grande quantidade de serviços, o roteamento direto pode acabar sendo consideravelmente mais simples. Dá ao servidor controle direto e total de seu próprio endereço; então depois de configurá-louma vezpor servidor, você não precisa voltar ao roteador adicionando mais regras. A maioria dos roteadores domésticos permite apenas a configuração de regras de encaminhamento para TCP/UDP, mas não para GRE, ESP, nem 6in4, nem outros protocolos mais sofisticados; o roteamento direto funciona com tudo por padrão.
O Fritz!Box 3490 suporta configuração DNAT? Apenas parcialmente.De acordo com esta páginaestá em "Permitir acesso → Compartilhamento de porta", mas não permite que você selecione oexternoEndereço de IP. Quaisquer que sejam as regras de porta que você adicionar aqui, provavelmente se aplicarão a todos os endereços roteados para você - ou a todos os endereços atribuídos ao próprio roteador (que, suponho, esteja limitado a exatamente um). O sistema operacional principal baseado em Linux certamente suporta correspondência no endereço de origem, mas não é exposto na interface de configuração paraalgunsrazão; talvez porque não seria possível acelerar por hardware ou poderia ter sido apenas uma decisão deliberada. Mas o fato permanece: se não estiver disponível na interface de configuração, o Fritz!Box DNAT não se adequará ao seu caso de uso de vários endereços.
Considerando que, como mencionei antes, o roteamento simples (o método que seu ISP deseja) não requer nenhum recurso extra do Fritz!Box – ele literalmente tem uma tarefa.