Servercommunity Foren-Übersicht Servercommunity
Das informative Forum für Fragen rund um Server
 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

Nicht auslachen: Kann man IPs umleiten?

 
Neues Thema eröffnen   Neue Antwort erstellen    Servercommunity Foren-Übersicht -> Alles andere
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
dl7awl



Anmeldedatum: 22.06.2003
Beiträge: 536
Wohnort: Berlin/Nackel

BeitragVerfasst am: So Jan 01, 2006 16:29    Titel: Nicht auslachen: Kann man IPs umleiten? Antworten mit Zitat

Moin und HNY allerseits,

die Frage steht ja schon im Betreff: Kann man IPs eines Rechners komplett auf einen anderen Rechner "umleiten"?

Vordergründige Antwort dürfte natürlich NEIN sein (ist selbst mir klar Wink )

Allerdings könnte ich mir vorstellen, dass man sowas mit Tunneling-/Bridging-Techniken, virtuellen Netzwerkinterfaces usw. evtl. doch basteln kann. Hat jemand 'ne konkrete Idee oder sowas gar schon mal gemacht?

Grüße,

Manfred

P.S.: Hintergrund: Möchte auf meinem Strato-Server für bestimmte Zwecke ein paar virtuelle Maschinen (VMs) aufsetzen; habe mich in den letzten Wochen heftig und erfolgreich in UML eingearbeitet. Natürlich wäre es schön, wenn die VMs unter jeweils eigenen IPs erreichbar wären. Aber leider habe ich auf dem Strato-Server nur eine IP, und mehr gibt's selbst für Geld und gute Worte nicht. Auf meinem IPX-Server hingegen habe ich 4 IPs, brauche aber eigentlich nur eine...
P.P.S: rinetd habe ich schon verworfen, weil es nicht transparent genug ist, d.h. setzt auf einer zu hohen Protokollschicht (TCP) an und leitet nur einzelne Ports um.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Monty
Dunkler Gebieter


Anmeldedatum: 21.06.2003
Beiträge: 670
Wohnort: Asperg

BeitragVerfasst am: Di Jan 03, 2006 14:32    Titel: Re: Nicht auslachen: Kann man IPs umleiten? Antworten mit Zitat

dl7awl hat Folgendes geschrieben:
Moin und HNY allerseits,

die Frage steht ja schon im Betreff: Kann man IPs eines Rechners komplett auf einen anderen Rechner "umleiten"?

Vordergründige Antwort dürfte natürlich NEIN sein (ist selbst mir klar Wink )


Die Antwort lautet ja, aber. Dazu müssen einige Voraussetzungen erfüllt sein (was üblicherweise nicht der der Fall ist). Verwende mal den Suchausdruck "arp cache poisoning" bei Google.

Die allgemeine Antwort ist natürlich nein.

Monty Monty
_________________
Gewalt ist die letzte Zuflucht der Unfähigen - Salvor Hardin
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dl7awl



Anmeldedatum: 22.06.2003
Beiträge: 536
Wohnort: Berlin/Nackel

BeitragVerfasst am: Do Jan 05, 2006 09:47    Titel: Antworten mit Zitat

Danke Monty, aber so kompliziert hatte ich gar nicht gedacht. Und eigentlich schwebten mir auch eher reguläre Methoden als solche aus der "Giftküche" vor Wink

Meine Überlegung, wie es gehen müsste, war folgende (gehen wir dabei zunächst von der Umleitung einer IP aus):

Rechner 1 habe zwei IPs, nämlich seine "eigene" (1.1.1.1), die er selbst nutzt, und eine weitere, die umgeleitet werden soll (3.3.3.3). Rechner 2 soll das Umleitungsziel sein, hat aber von Haus aus nur eine IP (2.2.2.2).

Zwischen den Rechnern, also von 1.1.1.1 nach 2.2.2.2 wird ein SSH- oder VPN-Tunnel aufgebaut, der für Art und Inhalt der durchgeleiteten Daten völlig transparent ist. Jetzt müsste es doch möglich sein, alle auf Rechner 1 für IP 3.3.3.3 eingehenden Datenpakete 1:1 über den VPN-Tunnel auf Rechner 2 und dort auf ein zusätzliches virtuelles Netzwerkinterface zu leiten, welches der IP 3.3.3.3 zugeordnet ist. Umgekehrte Datenrichtung sinngemäß genauso.

Will sagen: Warum kann man nicht all das, was man auf Rechner 1 mit den zu 3.3.3.3 gehörenden Datenpaketen machen könnte, genauso auch anderswo machen, wenn die nötigen Datenflüsse über eine Art "Verlängerungskabel" (sprich VPN-Tunnel) sichergestellt sind? Anders ausgedrückt: Warum kann nicht eins der Netzwerkinterfaces von Rechner 2 "abgesetzt" betrieben werden - so wie ein Netzwerkinterface ja auch generell abgesetzt vom eigentlichen Rechner sein kann (und sei es z.B. auch nur per USB-Kabel).

Ob es für all das auch die nötigen Software-Bausteine fertig gibt, sei zunächt mal dahingestell, aber zumindest theoretisch müsste es doch gehen. Falls nicht, wo liegt mein Denkfehler?

Gruß, Manfred
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
gonzo



Anmeldedatum: 21.06.2003
Beiträge: 354
Wohnort: Stuttgart

BeitragVerfasst am: Do Jan 05, 2006 23:13    Titel: IP-Umleitung Antworten mit Zitat

Halli, hallo,


dl7awl hat Folgendes geschrieben:
Danke Monty, aber so kompliziert hatte ich gar nicht gedacht. Und eigentlich schwebten mir auch eher reguläre Methoden als solche aus der "Giftküche" vor Wink

Na ja, arp cache poisoning mag ja in einem begrenzten Netz noch ok sein, aber wenn ich Dich richtig verstehe, soll das ganze ja über zwei offene Netzwerke laufen. Da wäre sowas sowieso ziemlich happig...

dl7awl hat Folgendes geschrieben:

Meine Überlegung, wie es gehen müsste, war folgende (gehen wir dabei zunächst von der Umleitung einer IP aus):

...

Zwischen den Rechnern, also von 1.1.1.1 nach 2.2.2.2 wird ein SSH- oder VPN-Tunnel aufgebaut,


Ich würde hier einen VPN-Tunnel vorziehen. Der kann ja trotzdem DURCH einen SSH-Tunnel laufen (Stichwort PPP durch einen SSH-Tunnel).
dl7awl hat Folgendes geschrieben:

...
VPN-Tunnel auf Rechner 2 und dort auf ein zusätzliches virtuelles Netzwerkinterface zu leiten,

Na ja, warum auf ein virtuelles Netzinterfaces. Leite es doch auf das Netzinterface der VPN-Verbindung. Die IP auf dem Rechner im Hintergrund muss ja nicht die IP die Dir zur Verfügung steht sein(3.3.3.3). Bei ftp kann man z.B. sagen, dass es nach außen hin die IP des NAT-Routers anzeigt.
dl7awl hat Folgendes geschrieben:
welches der IP 3.3.3.3 zugeordnet ist. Umgekehrte Datenrichtung sinngemäß genauso.

Wie gesagt, Du kannst am Aufschlagpunkt der 3.3.3.3-IP einfach per IPTABLES eine Umleitung auf die IP des VPN-Interfaces von 2.2.2.2 (ich nenn diese IP mal 192.168.1.2) machen. Andererseits stellst Du in Gegenrichtung bei 3.3.3.3 für alles was von 192.168.1.2 kommt NAT bzw. SNAT ein. Damit erscheint alles was von 2.2.2.2 über 192.168.1.2 raus geht als 3.3.3.3. Die Dienste die selbst auch die IP im Protokoll nach draußen melden müssen auf 3.3.3.3 eingestellt werden. Die Dienste die dies nicht im Protokoll melden, braucht man gar nicht anzufassen. Auf 2.2.2.2 muss man allerdings höllisch mit dem Routing aufpassen. Es wäre nämlich ziemlich ätzend, wenn eine Anfrage welche über die 3.3.3.3 reinkommt und an die 192.168.1.2 weitergeleitet wird, vom Interface mit der 2.2.2.2 geantwortet werden würde.

Aber um Deine Frage zu beantworten...
dl7awl hat Folgendes geschrieben:


Ob es für all das auch die nötigen Software-Bausteine fertig gibt, sei zunächt mal dahingestell, aber zumindest theoretisch müsste es doch gehen.


Jepp, definitiv ja.


dl7awl hat Folgendes geschrieben:
Falls nicht, wo liegt mein Denkfehler?


Eigentlich hast Du keinen Denkfehler, aber wenn ich Dich richtig verstanden habe, willst Du es ein kleines bisschen zu kompliziert machen.


Grüßle, Gonzo

P.S. ja, ja ich weiß, ich war lange nicht da. Smile
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
Anton



Anmeldedatum: 02.05.2004
Beiträge: 173
Wohnort: Massing

BeitragVerfasst am: Fr Jan 06, 2006 16:45    Titel: Antworten mit Zitat

nein, du kannst die IPs vom ipxserver nicht bei strato nutzen ... keine chance ...


80.190 bzw 212.xxx wird zu ipx geroutet ... woher sollten die router auch wissen, dass du die ips bei strato nutzen willst?? ...


bei XEN gibts ne möglichkeit, eines "virtuellen" switches intern ... dann hast intern im server n eigenes lan (innerhalb der einzelnen gäste), nach außen hin eine ip ... über NAT und port-forwarding werden die gäste dann angesprochen ... nachteil: du kannst z.b. keine 2 apaches laufen lassen ... solang jedoch 2 hosts unterschiedliche serverdienste anbieten (1x mail, 1x apache, 1x db, ...), wäre das möglich und auch von XEN so gewünscht ...
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
gonzo



Anmeldedatum: 21.06.2003
Beiträge: 354
Wohnort: Stuttgart

BeitragVerfasst am: Sa Jan 07, 2006 00:31    Titel: Antworten mit Zitat

Halli, hallo,

Anton hat Folgendes geschrieben:
nein, du kannst die IPs vom ipxserver nicht bei strato nutzen ... keine chance ...
...


Also nochmal zum Verständnis. Die IP vom Ipxserver auf dem Strato-Server selber geht nicht (bzw. einstellen kann man sie, da kommt aber wegen des falschen Routings nichts an), aber die Daten die auf dieser IP eintrudeln an den Strato-Server weiterreichen geht schon. Und das ist glaube ich das was Manfred machen wollte.

Grüßle, Gonzo
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
gonzo



Anmeldedatum: 21.06.2003
Beiträge: 354
Wohnort: Stuttgart

BeitragVerfasst am: Sa Jan 07, 2006 01:22    Titel: Netzplan Antworten mit Zitat

So, jetzt habe ich mir noch etwas Mühe gemacht und mal alles *ungefähr* skizziert.


Schwarz: Internet und Verbindungen der realen IPs ins IN.
Grün: VPN
Rot: Weiterleitung der realen IP über das VPN.

Zu beachten ist hier, dass zum VPN die zwei realen Rechner mit ihren 192.168-er IPs (und der virtuelle Rechner ebenfalls mit seiner 192.168-er IP; na ja, da kann man jetzt aber streiten Wink) gehört. Die VPN-Endpunkte sind bei den beiden realen Rechnern mit ihren realen IPs.

Noch Fragen?

Dann immer her mit.

Grüßle Gonzo
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
Anton



Anmeldedatum: 02.05.2004
Beiträge: 173
Wohnort: Massing

BeitragVerfasst am: Sa Jan 07, 2006 18:47    Titel: Antworten mit Zitat

gonzo hat Folgendes geschrieben:
Also nochmal zum Verständnis. Die IP vom Ipxserver auf dem Strato-Server selber geht nicht (bzw. einstellen kann man sie, da kommt aber wegen des falschen Routings nichts an), aber die Daten die auf dieser IP eintrudeln an den Strato-Server weiterreichen geht schon. Und das ist glaube ich das was Manfred machen wollte.

gut, das schon .. ein direktes nutzen würde n Provider-Independent Subnetz bedeuten, und ich glaub kaum, dass Strato das durchroutet Mr. Green
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
dl7awl



Anmeldedatum: 22.06.2003
Beiträge: 536
Wohnort: Berlin/Nackel

BeitragVerfasst am: So Jan 08, 2006 10:18    Titel: Antworten mit Zitat

Vielen Dank, vor allem an Gonzo - das ist es etwa, was mir vorschwebte (die Details muss ich erst noch verdauen...). Ich war nur etwas unsicher, ob ich vielleicht einem grundsätzlichen Denkfehler aufsitze. Nachdem ich bestätigt sehe, dass das wohl nicht der Fall ist, werde ich mal versuchen, ein solches Modell in die Praxis umzusetzen. Wird sicher etwas langwierig und mühevoll, da ich alles andere als ein Netzwerk-Guru bin - aber man wird ja nicht dümmer dabei... Wink

Ich werde dann über den Fortgang berichten bzw. wahrscheinlich mit weiteren Fragen nerven Wink

Nochmals danke und schön Grüße,

Manfred

@Anton: Klar, wegen Mangels an IPs ein Subnetz bilden und Serverdienste der virtuellen Maschinen via Port forwarding nach außen sichtbar machen, wäre die Alternative. Public IPs via "IP-Umleitung", wenn es denn klappt, finde ich trotzdem schöner - selbst wenn der Traffic dann doppelt, nämlich bei BEIDEN Providern angerechnet wird. Aber die Freigrenzen sind ja hoch genug...
Ich habe übrigens auch XEN in Erwägung gezogen, aber da ist mir momentan noch zu viel im Fluss, außerdem hat mir an UML besser gefallen, dass dafür kein modifizierter Host-Kernel nötig ist (den Skas-Patch haben ja heute eh alle). Das macht Experimente auf einem entfernten (Produktiv-)Server einfacher und weniger riskant.
Aber auch der UML-Weg ist dornig, man findet im Netz jede Menge veraltete Infos, Tipps und Tools, die mehr schaden als nützen, so dass man letztlich alles handverlesen bzw. von Grund auf selbst aufbauen muss. Auch SuSE mit der scheinbar komfortablen YaST-Installation von UML-Maschinen hat nur einen unnötig komplizierten und nicht mal lokal funktionierenden Krampf zustande gebracht - die Installation vergurkt die Netzwerkkonfiguration und hängt dann. Wenn man nach Stimmen in diversen Foren geht, hat das noch nie jemand wirklich laufen sehen. Weiß wirklich nicht, was sowas in offiziellen Releases zu suchen hat - und das nun schon über mehrere Versionsnummern von 9.x bis 10.x hinweg! Ich habe letztlich auf alles Vorgekaute verzichtet und meine UML-Systeme "from scratch" aufgebaut und alle auftretenden Tücken eine nach der anderen selbst ausgeräumt. Ist auch die Methode mit dem besten Lerneffekt... Wink
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
gonzo



Anmeldedatum: 21.06.2003
Beiträge: 354
Wohnort: Stuttgart

BeitragVerfasst am: Mo Jan 09, 2006 21:11    Titel: Antworten mit Zitat

Halli, hallo,

Anton hat Folgendes geschrieben:
...
gut, das schon .. ein direktes nutzen würde n Provider-Independent Subnetz bedeuten, und ich glaub kaum, dass Strato das durchroutet Mr. Green


ach, dann bin ich ja beruhigt. Wir konnten uns doch einigen. Smile

Ich als Provider würde ja auch keine fremden IPs durchrouten. Das gibt nur mehr Probleme als sonstetwas. Wenn jemand eine weitere IP oder einen IP-Range haben will, soll er sie doch von dem zur Verfügung stehenden Bereich nehmen und dann bezahlen. Würde wie gesagt ich als Provider so machen. Aber Strato? Na ja, wenn die sich keine weiteren IPs zahlen lassen wollen...

Grüßle, Gonzo
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    Servercommunity Foren-Übersicht -> Alles andere Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.



Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de