Semi-OT: Intern-Extern-Routing

[Spacey 11]

Hallo,

 

eine Frage zum Thema Netzwerkrouting allgemein, evtl. über unsere ASA lösbar. Folgende Situation:

 

- Im LAN wird ein Dienst auf einem Port auf einem Server bereitgestellt.

- Ich gehe vom LAN über einen QSC Router ins Internet.

- Auf dem QSC-DSL-Router gibts ein Portforwarding von der statischen externen IP über den Port hin auf den Server im LAN.

- Ich kann also von Extern über die externe IP & Port auf den Dienst im LAN zugreifen.

- Wenn ich nun im LAN bin und auf den Dienst zugreifen will, kann ich *nicht* die externe IP ansprechen. Ich muss die LAN-IP des Servers nehmen, dann klappt das zwar, aber das geht praktisch nicht:

 

In meinem zu nutzenden Dienst hinterlege ich *EIN* Profil mit *einer* IP, welche ich nutzen will - jedes Mal manuell die IP dort zu wechseln ist in der Praxis nicht machbar.

 

Fragen nun:

 

- Müsste es theoretisch gehen, das ich auf dem QSC Router ein Routing einrichten lasse, so das wenn ich vom LAN aus die externe IP anspreche zurück zur LAN Server IP geschickt werde?

 

- Andere Lösungsmöglichkeiten für solch eine Situation? :confused:

 

Ich hatte die Idee, das mittels eines Domainnamens zu machen, der vom Internet auf die externe IP geleitet wird und im LAN gibt's einen separaten DNS Server der genau diesen Domainnamen auf die LAN IP schmeisst: Im Netz also die externe IP und im LAN dann die Interne. Aber ich habe arge Befürchtungen das hier DNS Caching der Client-Rechner etc. mir einen Strich durch die Rechnung macht...

 

Not-Not-Lösung, die ich eigentlich vermeiden will: Wir haben noch einen zweiten Internetzugang mit externen IPS - über unsere ASA. Da die LAN Clients nicht über diesen ins Netz gehen, könnte die externe IP des zweiten Anschlusses also vom LAN aus angesprochen werden. Aber das würde bedeuten das der Traffic hier zuerst über QSC raus geht und dann über den zweiten Anschluss wieder rein - Bissel unsinnig. Außerdem hat der vServer, auf dem der Dienst läuft den QSC Router als Gateway und ich müsste hier den vServer HOST mit allen anderen vServern vom Gateway umstellen - unsexy as well :)

 

Vielen Dank für Tips! :D

[NorbertFe 1.835]

- Wenn ich nun im LAN bin und auf den Dienst zugreifen will, kann ich *nicht* die externe IP ansprechen. Ich muss die LAN-IP des Servers nehmen, dann klappt das zwar, aber das geht praktisch nicht:

 

Warum geht das nicht?

 

In meinem zu nutzenden Dienst hinterlege ich *EIN* Profil mit *einer* IP, welche ich nutzen will - jedes Mal manuell die IP dort zu wechseln ist in der Praxis nicht machbar.

 

Warum denn eine IP und keinen Namen?

 

- Müsste es theoretisch gehen, das ich auf dem QSC Router ein Routing einrichten lasse, so das wenn ich vom LAN aus die externe IP anspreche zurück zur LAN Server IP geschickt werde?

 

Mir käme jetzt gar nicht in den Sinn, dass es nicht so sein sollte. ;)

 

 

Ich hatte die Idee, das mittels eines Domainnamens zu machen, der vom Internet auf die externe IP geleitet wird und im LAN gibt's einen separaten DNS Server der genau diesen Domainnamen auf die LAN IP schmeisst: Im Netz also die externe IP und im LAN dann die Interne. Aber ich habe arge Befürchtungen das hier DNS Caching der Client-Rechner etc. mir einen Strich durch die Rechnung macht...

 

Wäre auch eine Idee. Wieso hast du "arge Befürchtungen"? ;) Mußt halt dafür sorgen, dass alle externen Hostnamen dann auch in der Zone mitgepflegt werden.

 

Bye

Norbert

[Spacey 11]

Warum geht das nicht?

 

Der Dienst meckert hat - nicht erreichbar. Ich vermute, dass das Routing hier nicht klappt. Warum auch immer - oder es geht prinzipiell nicht?!

 

Warum denn eine IP und keinen Namen?

 

Natürlich geht auch ein Name!

 

Mir käme jetzt gar nicht in den Sinn, dass es nicht so sein sollte. ;)

 

OK, also mal QSC anfragen, ob die die Router-Config dahingehend abändern können. Ich weiss es halt nicht - weil es ja so ein LAN-Router-Externe IP-Router-LAN-Szenario ist. Hatte das noch nie und klingt erst mal so nach "das geht nicht" :)

 

Wäre auch eine Idee. Wieso hast du "arge Befürchtungen"? ;) Mußt halt dafür sorgen, dass alle externen Hostnamen dann auch in der Zone mitgepflegt werden.

 

Meine Befürchtung halt, das jemand extern mit seinem Laptop unterwegs ist, dann die Auflösung dienst.domain.de auf unsere externe IP bekommt. Das hat derjenige dann im DNS Cache. Der klappt sein Laptop zu, schickt ihn schlafen und weckt ihn im LAN wieder auf - und dann hat er immer noch die externe IP auf dienst.domain.de obwohl er jetzt eigentlich die interne LAN IP des Servers da bräuchte. Ich hatte da schon das eine oder andere Erlebnis mit solchen Phänomenen - und wenn's nicht 100% Funktionssicher ist, ist's nicht zu gebrauchen :/

[NorbertFe 1.835]

Der Dienst meckert hat - nicht erreichbar. Ich vermute, dass das Routing hier nicht klappt. Warum auch immer - oder es geht prinzipiell nicht?!

 

Doch das geht prinzipiell, zumindest bei mir. ;)

 

Natürlich geht auch ein Name!

 

OK.

 

Meine Befürchtung halt, das jemand extern mit seinem Laptop unterwegs ist, dann die Auflösung dienst.domain.de auf unsere externe IP bekommt. Das hat derjenige dann im DNS Cache. Der klappt sein Laptop zu, schickt ihn schlafen und weckt ihn im LAN wieder auf - und dann hat er immer noch die externe IP auf dienst.domain.de obwohl er jetzt eigentlich die interne LAN IP des Servers da bräuchte. Ich hatte da schon das eine oder andere Erlebnis mit solchen Phänomenen - und wenn's nicht 100% Funktionssicher ist, ist's nicht zu gebrauchen :/

 

Das läßt sich doch ganz schnell testen. Ich bezweifle, dass das ein Problem darstellt, da die IP sich durch intern/extern sowieso wechseln dürfte und der DNS Cache auch keine Sache von mehreren Tagen ist. ;)

 

Bye

Norbert

[blackbox 10]

Hallo,

 

du schreibst ihr habt auch eine ASA im Zugriff. Du kannst zwar bei der ASA das ganze nicht so lösen - das die IP geht - aber mit dem Namen ist es kein Problem - da hat die ASA eine Funktion - wenn du den Namen "draussen" (über die ASA) auflösen läßt - erkennt sie bei der Antwort - das es eine "NAT" Adresse von ihr ist und verändert das DNS Paket auf die "interne" IP Adresse.

 

Wie weit das dein QSC Router kann - kann ich dir nicht sagen - da ich nicht weiß was das für einer ist. Eine andere Möglichkeit - wenn es IP sein muß - einen Cisco "Router" nehmen - mit dem kannst du das so machen - das du sowohl in als auch externe IP ansprechen kannst über das NAT - oder den Server bei der ASA in eine DMZ - dann kannst du es auch so lösen - das der Rechner von in und ex über die externe Erreichbar ist.

[Spacey 11]

Also, Info von QSC: Das können die so leider nicht einrichten. Der gute Herr klang aber auch bei weitem nicht so, als hätte er 'nen Plan davon - meinte er habe sich mit Kollegen abgesprochen und die meinten dass das nicht geht - ich müsste das an unserem Gateway / Firewall einstellen. Aber genau der QSC Router ist ja unser Gateway - habe ich ihm auch erklärt aber daraufhin meinte er nur: Ne, das können wir da so nicht programmieren.

 

@ BlackBox: Ja, der Weg über die ASA wäre möglich, aber wie ich oben schon schrieb mit mehr Aufwand als ich es mir derzeit geben möchte.

 

Gut, also bleibt mal der nächste Versuch mit der DNS Auflösung intern & extern...

[Wordo 11]

Wenn der MA sein Laptop schlafen legt und dann ins LAN haengt bekommt er ueber DHCP ja ne neue Adresse inkl. DNS-Server, ich denk mal Windows is so schlau dann den Cache zu leeren :)

[Spacey 11]

OK, Ich hab' die DNS-Situation mal erstellt: Auf unserem Netz-DNS dienst.domain.de erstellt mit unserer externen QSC-Router-IP und im W2K3 DNS Server auch die Zone domain.de angelegt und dort den selben A-Record erstellt - nur hier halt mit der LAN-IP des Servers. Ich werde es die kommenden Tage mal testen - und dann hier mal berichten, wie's läuft! :D

[Spacey 11]

OK, wir haben das nun ein wenig im Betrieb und bisher funktioniert das mit dem Doppel-DNS recht gut!

 

So oder so werden wir das beobachten und vermutlich auch noch mal auf die Cisco umlegen, vom Internetzugang her.