Utilisation de Fritz! Box 3490 pour transférer le trafic externe vers des serveurs internes

J'ai une Fritz! Box 3490 avec 5 adresses IPv4 externes utilisables fournies par notre fournisseur d'accès à Internet. La Fritz! Box doit remplacer notre DrayTek 2925 existant.

Une des cinq adresses IP est un MX; Nous utilisons donc cette adresse IP pour envoyer et recevoir des e-mails sur le port 25 et pour permettre aux appareils mobiles de se connecter à distance via le port 443 pour les e-mails.

À l'aide de Fritz! Box, je souhaite pouvoir transférer le trafic envoyé à l'adresse IP MX vers l'adresse IP locale du serveur Exchange. L'adresse IP actuelle du serveur Exchange se situe sur une plage 10.1.1.0/24. Le FAI indique que pour que la Fritz! Box puisse transférer le trafic envoyé à l'adresse IP externe, la Fritz! Box doit connaître le sous-réseau public IPv4 (ce qui est le cas), mais le serveur Exchange doit également ajouter l'adresse IP externe à la carte réseau. .

Est-ce correct et est-ce ainsi que le serveur aurait dû être configuré en premier lieu?

En ce qui concerne les autres serveurs, le fournisseur de services Internet indique qu’ils auront eux aussi besoin de l’une des adresses IP externes ajoutées à leur carte réseau.

Existe-t-il une approche plus simple, similaire à celle utilisée par DrayTek, où je peux simplement lui dire de transférer le trafic envoyé à EXTERNAL_IP: EXTERNAL_PORT vers INTERNAL_IP: INTERNAL_PORT?

La méthode décrite par votre fournisseur de services Internet est plus simple pour le routeur - essentiellement rien de plus. routage entre votre sous-réseau et le reste du monde. Attribuer directement au serveur une adresse publique est le mode de configuration des serveurs dans de nombreux centres de données. C'est le comportement standard pour IPv6 et l'habitude d'être standard pour IPv4 aussi.

La méthode utilisée par DrayTek utilise des fonctionnalités supplémentaires - DNAT (transfert de port) - pouvant être présentes sur un routeur ou non. Même s'il est présent, l'accélération matérielle n'est peut-être pas aussi importante que le routage pur (en raison de la nécessité de rechercher l'état et de la réécriture des en-têtes de chaque paquet).

La NAT peut sembler plus simple si votre utilisation des adresses publiques est légère et permet intrinsèquement le partage de la même adresse IP entre plusieurs serveurs (si vous avez plus de serveurs que d'adresses): transférez certains ports vers l'un, transmettez plus de ports entre eux, etc.

Cependant, si vous avez suffisamment d'adresses et / ou un grand nombre de services, le routage direct peut s'avérer considérablement plus simple. Il donne au serveur le contrôle direct et complet de sa propre adresse. donc après l'avoir configuré une fois que par serveur, vous n'avez pas besoin de revenir au routeur pour ajouter plus de règles. La plupart des routeurs domestiques n'autorisent la configuration de règles de transfert que pour TCP / UDP, mais pas les protocoles GRE, ESP, 6in4 ni d'autres protocoles plus sophistiqués. le routage direct fonctionne avec tout par défaut.

Fritz! Box 3490 prend-il en charge la configuration DNAT? Que partiellement. Selon cette page sous "Autoriser l'accès → Partage de port", mais ne vous permet pas de sélectionner le externe Adresse IP. Les règles de port que vous ajouteriez ici s'appliqueraient probablement à toutes les adresses qui vous sont routées - ou à toutes les adresses attribuées au routeur lui-même (ce qui, je suppose, est limité à une seule). Le système d'exploitation principal basé sur Linux prend en charge la correspondance sur l'adresse source, mais il n'est pas exposé dans l'interface de configuration pour certains raison; peut-être parce qu'il ne serait pas capable de être accéléré par le matériel, ou cela aurait pu être une décision délibérée. Mais le fait demeure que, si cette interface n'est pas disponible dans l'interface utilisateur de configuration, le DNAT de Fritz! Box ne conviendra pas à votre cas d'utilisation à plusieurs adresses.

Tandis que, comme je l’ai déjà mentionné, le simple routage (la méthode souhaitée par votre fournisseur de services Internet) n’exige aucune fonctionnalité supplémentaire de la part de Fritz! Box.