Blubmann1337
Lt. Junior Grade
- Registriert
- Dez. 2009
- Beiträge
- 264
Hallo zusammen,
ich hoffe, dass ich hier evtl. jemanden finde, der eine ähnliche Konfiguration hat. Es geht darum, dass wir im Hetzner RZ ein Colocation haben. Von Hetzner bekommen wir ein RJ45 Kabel auf dem drei Netze liegen (nennen wir diese x.x.x.x, y.y.y.y und z.z.z.z und sind öffentlich). Laut Hetzner sind diese einfach nur durchgereicht. Bisher ist es so, dass wir eine virtualisierte Firewall (Sophos UTM) haben. Diese hat ein WAN interface mit der IP x.x.x.x und dem dazugehörigen Gateway, auf diesem Interface ist auch das RJ45-Kabel angeschlossen. In der Firewall haben wir ein weiteres Interface, was im Bereich von y.y.y.y eingerichtet ist und dient als DMZ, dort laufen auch Server, die eine IP aus y.y.y.y haben und jeweils die Interface IP als Gateway haben. Auf beiden Interfaces ist Proxy-ARP aktiv. Beim dritten Netz wussten wir bisher nicht wozu das da ist, dank an die ergiebige Dokumentation. Es gibt noch ein viertes Netz a.a.a.a was lokal ist.
Machen wir ein Tracert von einem Server mit lokaler Adresse aus a.a.a.a, dann landen wir zunächst am Gateway von a.a.a.a und dann auf einer IP aus dem bisher unbekannten dritten Netz z.z.z.z bevor es dann in www geht. Als öffentliche Adresse sehen wir eine aus dem Bereich x.x.x.x.
Machen wir ein tracert von einem Server der eine IP aus y.y.y.y hat, dann landen wir auch am Gateway von y.y.y.y, dann wieder im besagten dritten Netz z.z.z.z und dann ins www. Als öffentliche IP sehe ich genau die IP des Servers mit dem Bereich y.y.y.y.
Mache ich ein tracert auf einen Server im Bereich y.y.y.y, dann sehe ich keinen Hop in das dritte Netz, sondern direkt von www zum Server.
Wir wollten die virtuelle Firewall mit einer physikalischen Austauschen (Sophos XGS). Haben nun aber das Problem, dass Server mit einer lokalen Adresse eine sehr langsame Internetverbindung haben, statt 1GBit Download haben wir 3MBit und Server im Bereich y.y.y.y haben keine Internetverbindung und sind auch nicht von außen erreichbar. Wir haben die Interfaces identisch zur virtuellen eingerichtet, außer die Aktivierung von Proxy-Arp. Das haben wir zunächst nicht gemacht, da man dies in der XGS per CLI machen muss. Wir haben dann mal zum Test das DMZ Interface mit y.y.y.y deaktiviert und auf dem Interface, auf dem RJ45-Kabel steckt Proxy-Arp aktiviert. Allerdings hat das am Downloadspeed nichts geändert. Mehr konnten wir im Grunde auch nicht testen, weil die Ausfallzeit zu hoch war.
Der Support von Hetzner gibt einfach nur die Rückmeldung, dass man die Netze bereitstellt und zu mehr könne man keine Aussage treffen. Sophos sagt einfach nur man solle Proxy-Arp per CLI aktivieren. Hat jemand von euch ähnliche Konstellation oder Erfahrungen dahingehend?
ich hoffe, dass ich hier evtl. jemanden finde, der eine ähnliche Konfiguration hat. Es geht darum, dass wir im Hetzner RZ ein Colocation haben. Von Hetzner bekommen wir ein RJ45 Kabel auf dem drei Netze liegen (nennen wir diese x.x.x.x, y.y.y.y und z.z.z.z und sind öffentlich). Laut Hetzner sind diese einfach nur durchgereicht. Bisher ist es so, dass wir eine virtualisierte Firewall (Sophos UTM) haben. Diese hat ein WAN interface mit der IP x.x.x.x und dem dazugehörigen Gateway, auf diesem Interface ist auch das RJ45-Kabel angeschlossen. In der Firewall haben wir ein weiteres Interface, was im Bereich von y.y.y.y eingerichtet ist und dient als DMZ, dort laufen auch Server, die eine IP aus y.y.y.y haben und jeweils die Interface IP als Gateway haben. Auf beiden Interfaces ist Proxy-ARP aktiv. Beim dritten Netz wussten wir bisher nicht wozu das da ist, dank an die ergiebige Dokumentation. Es gibt noch ein viertes Netz a.a.a.a was lokal ist.
Machen wir ein Tracert von einem Server mit lokaler Adresse aus a.a.a.a, dann landen wir zunächst am Gateway von a.a.a.a und dann auf einer IP aus dem bisher unbekannten dritten Netz z.z.z.z bevor es dann in www geht. Als öffentliche Adresse sehen wir eine aus dem Bereich x.x.x.x.
Machen wir ein tracert von einem Server der eine IP aus y.y.y.y hat, dann landen wir auch am Gateway von y.y.y.y, dann wieder im besagten dritten Netz z.z.z.z und dann ins www. Als öffentliche IP sehe ich genau die IP des Servers mit dem Bereich y.y.y.y.
Mache ich ein tracert auf einen Server im Bereich y.y.y.y, dann sehe ich keinen Hop in das dritte Netz, sondern direkt von www zum Server.
Wir wollten die virtuelle Firewall mit einer physikalischen Austauschen (Sophos XGS). Haben nun aber das Problem, dass Server mit einer lokalen Adresse eine sehr langsame Internetverbindung haben, statt 1GBit Download haben wir 3MBit und Server im Bereich y.y.y.y haben keine Internetverbindung und sind auch nicht von außen erreichbar. Wir haben die Interfaces identisch zur virtuellen eingerichtet, außer die Aktivierung von Proxy-Arp. Das haben wir zunächst nicht gemacht, da man dies in der XGS per CLI machen muss. Wir haben dann mal zum Test das DMZ Interface mit y.y.y.y deaktiviert und auf dem Interface, auf dem RJ45-Kabel steckt Proxy-Arp aktiviert. Allerdings hat das am Downloadspeed nichts geändert. Mehr konnten wir im Grunde auch nicht testen, weil die Ausfallzeit zu hoch war.
Der Support von Hetzner gibt einfach nur die Rückmeldung, dass man die Netze bereitstellt und zu mehr könne man keine Aussage treffen. Sophos sagt einfach nur man solle Proxy-Arp per CLI aktivieren. Hat jemand von euch ähnliche Konstellation oder Erfahrungen dahingehend?
