Cranvil schrieb:
Es wird davon abgeraten, öffentliche IP-Adressen für die private/interne Adressierung zu verwenden, um potentielle Probleme sich überschneidender Adressräume von vornherein zu vermeiden.
Nehmen wir dein Netzwerk 192.1.0.0/16. Das gehört gemäß ARIN zu BBN Technologies, anscheinend auch unter dem Namen Raytheon bekannt. Sollte irgendwann mal einer deiner Anwender (oder vielleicht auch dein ganzer betreuter Bereich) eine der ca. 65 Tsd. IP-Adressen erreichen wollen, weil es dort was richtig Tolles gibt, wird das nicht klappen, weil einmal jemand meinte, dass die Verwendung von bald 18 Mio. IP-Adressen aus den privaten Pools einfach nicht notwendig ist.
Die Risikobewertung liegt bei dir. Allerdings sagt die Erfahrung, dass der weniger angenehme Fall immer zu einem Zeitpunkt eintreten wird, wo du es absolut gar nicht gebrauchen kannst. Besser jetzt in Ruhe auf eine langfristig vernünftige Adressierung umsteigen (denk auch ein bisschen mit an IPv6, wenn du schon dabei bist), als dann doch irgendwann blöd dazustehen.
Ich kann es ja mal bei meinem IT-Leiter bei nächster Gelegenheit ansprechen..
@all
Ich habe ein anderes Problem:
Ich habe nun das Test-Subnetz 'TESTLAB.local' (192.2.0.0/16) und mein Firmennetzwerk 'FIRMA.local' (192.1.0.0/16).
Ich habe einen UBUNTU-Router dazwischen welcher seinen Dienst tut. Aus dem TESTLAB-Netz kann ich uneingeschränkt auf das Internet zugreifen und auf das Firmennetz 'FIRMA.local' auf die Dinge die ich benötige (z.B. der TESTLAB.local-DNS-Server hat ein Forwarding auf den DNS-Server im Firmennetz). Dazu muss ich ja lediglich in der richtigen iptables-Kette die Richtige Route setzen udn funktioniert.
So, jetzt wollte ich auf dem Router, welcher 2 Netzwerkinterfaces besitzt, ein 'apt-get update' machen und etwas installieren.
Da bekomme ich jedoch die Fehlermeldungen:
root@router:~# apt-get update
Fehl:1 http://archive.ubuntu.com/ubuntu bionic InRelease
Temporärer Fehlschlag beim Auflösen von »archive.ubuntu.com«
Fehl:2 http://archive.ubuntu.com/ubuntu bionic-security InRelease
Temporärer Fehlschlag beim Auflösen von »archive.ubuntu.com«
Fehl:3 http://archive.ubuntu.com/ubuntu bionic-updates InRelease
Temporärer Fehlschlag beim Auflösen von »archive.ubuntu.com«
Paketlisten werden gelesen... Fertig
W: Fehlschlag beim Holen von http://archive.ubuntu.com/ubuntu/dists/bionic/InRelease Temporärer Fehlschlag beim Auflösen von »archive.ubuntu.com«
W: Fehlschlag beim Holen von http://archive.ubuntu.com/ubuntu/dists/bionic-security/InRelease Temporärer Fehlschlag beim Auflösen von »archive.ubuntu.com«
W: Fehlschlag beim Holen von http://archive.ubuntu.com/ubuntu/dists/bionic-updates/InRelease Temporärer Fehlschlag beim Auflösen von »archive.ubuntu.com«
W: Einige Indexdateien konnten nicht heruntergeladen werden. Sie wurden ignoriert oder alte an ihrer Stelle benutzt.
Gleich mal google.de angepingt und siehe da: er kann den Namen nicht auflösen! Ping auf 8.8.8.8 funktioniert. Also habe ich ein DNS-Auflösungsproblem. Ping auf Client-Namen im Firmennetz geht auch nicht, IP jedoch schon und das Gleiche im Testlab-Netzwerk (subnetz).
Dann habe ich mir mal die netplan-Datei (die einzige die da ist: '50-cloud-init.yaml') angeschaut und die war wie folgt:
# This file is generated from information provided by
# the datasource. Changes to it will not persist across an instance.
# To disable cloud-init's network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
ethernets:
ens160:
addresses:
- 192.1.4.99/16
dhcp4: false
gateway4: 192.1.1.180
nameservers:
addresses:
- 192.1.2.234
- 192.1.1.210
search:
- Firma.local
ens192:
addresses:
- 192.2.1.180/16
dhcp4: false
nameservers:
addresses: []
search: []
version: 2
~
ens160: Netzwerkkarte im Firmennetz
ens192: Netuwerkkarte Testlab-Netzwerk
Jetzt frage ich mich: auf welchem Interface versucht Ubuntu dann DNS aufzulösen? Pingen und der Gleichen findet ja irgendwie automatisch das Richtige. Aber DNS wohl nicht?
Dann habe ich bei 'ens192' alles eingetragen damit es so aussieht:
ens192:
addresses:
- 192.2.1.180/16
dhcp4: false
nameservers:
addresses:
- 192.2.2.234
search:
- TESTLAB.local
version: 2
~
Und es hat trotzdem nicht geklappt.
Diese Einstellungen hat aber ein jeder Client im TESTLAB-Netz und dort funktioniert DNS tadellos (DNS-Server 192.2.2.234 hat als Forward den 192.1.2.234 im Firmennetz und die Route ist entsprechend gesetzt auf dem Router).
So, wo ist mein Denktfehler? Was mache ich falsch?
Ach ja, im OUTPU-Chain von iptables habe ich folgendes stehen:
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.1.2.234 udp dpt:53
5 420 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
755 114K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2474 187K DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Somit müsste der DNS ja erreichbar sein?
Ich habe eine eigene Chain 'LOCALNET' für die Routen zwischen TESTLAB.local und FIRMA.local und dort gleich an erster Stelle folgendes:
125 12234 ACCEPT udp -- ens192 * 0.0.0.0/0 192.1.2.234 udp dpt:53
Und da funktioniert das Routen auf den DNS-Server (Forwarding vom internen DNS in TESTLAB.local-Subnetz). Somit müsste es was die Routen auf dem ROUTER in der OUTPUT-Chain auch funktionieren.
Wo ist mein Denkfehler? Habe ich irgendwas vergessen? Alle in TESTLAB und alle FIRMA können ihren eigenen DNS-Server nutzen und der interne DNS-Server in TESTLAB kann 'forwarden' auf den externen DNS-Server in FIRMA und nur der router selber nicht.
Kann mir mal einer helfen? Ich danke schon einmal im Voraus für die Mühe.