# Public oder Private IP Adressen für MultiServer ?



## BeNe (27. Mai 2016)

Hallo Zusammen,
bin gerade dabei ein MultiServer System mit ispConfig zu erstellen. Jetzt hänge ich beim planen auf Papier am Punkt der IP Adressen 
Sollten für die Server private IP-Adressen oder wenn vorhanden, öffentliche IP-Adressen genutzt werden ?
Nutze ein pfSense Firewall auf der mehrere öffentliche IP-Adressen anliegen und habe noch eine DMZ mit privaten IP´s.
Jetzt stellt sich mir die Frage in welchen Bereich ich die Server packe? Hätte jetzt den privaten Bereich gewählt und dann eine öffentliche IP per NAT auf die zweu Server (Web/Mail) weitergegeben. HTTP/S,FTP usw. an den Webserver weitergeleitet und Mailprotokolle an den Mailserver. Müsste ich, aus welchem Grund auch immer meine öffentliche IP ändern, muss ich an den Server selber nichts tun und bin daher flexibler, weil ich mit privaten IP´s arbeite.

Versucht jedoch z.B. ein CMS Script eine IP-Adresse zu ermitteln kommt wahrscheinlich die private IP heraus. Könnte mir also vorstellen das es auch zu Problemen führen kann private IP´s zu nutzen. Ansonsten müsste jeder Server wirkllich eine öffentliche IP erhalten !?

Wie geht Ihr damit um ? Bin für jeden Tipp dankbar.

Danke & Grüße,
BeNe


----------



## nowayback (27. Mai 2016)

generell: was nicht direkt am netz hängen muss, hängt intern...
im speziellen:
webserver hat öffentliche ip zugewiesen bekommen,
db server interne,
exchange intern -> exchange proxy öffentliche,
postfix + dovecot öffentliche
untereinander wird die meiste kommunikation über interne ips geregelt. server die nicht im selben lan hängen haben nen tunnel dafür. erzeugt zwar overhead, ist mir aber lieber als wenn irgendwelche daten ungesichert über die netze laufen.


----------



## BeNe (27. Mai 2016)

Danke für deine Antwort!
Was aber für mich immer noch die Frage offen lässt:
Direkt öffentliche IP den VM´s wie Webserver und Mailserver per "bridge" geben, oder NAT aktivieren und private IP´s nutzen ?
Müssen ja beide Server ans Netz und mit Firewallregeln kann ich so oder so arbeiten. Mit der NAT variante müsste ich nur eine öffentliche IP hernehmen und kann jeweils nur die nötigen Port auf die Server weiterleiten.


----------



## JeGr (31. Mai 2016)

Zitat von BeNe:


> Danke für deine Antwort!
> Was aber für mich immer noch die Frage offen lässt:
> Direkt öffentliche IP den VM´s wie Webserver und Mailserver per "bridge" geben, oder NAT aktivieren und private IP´s nutzen ?
> Müssen ja beide Server ans Netz und mit Firewallregeln kann ich so oder so arbeiten. Mit der NAT variante müsste ich nur eine öffentliche IP hernehmen und kann jeweils nur die nötigen Port auf die Server weiterleiten.


Dann sprichst du aber nicht generell von "NAT" sondern von Port Forwardings. Dann kannst du auf einer IP mehrere Ports aufzweigen und auf unterschiedliche Server verbiegen. Schön ist das aber nicht wirklich. Wenn du nötigen IPs hast, ist es einfacher/transparenter, die IP entweder direkt der Maschine zu geben oder dann BiNAT (1:1 NAT) zu machen. Dann kannst du intern alle VMs gleich behandeln und in einem privaten Netz betreiben und kannst vorne dran bspw. eine Router-VM packen, die dann das BiNAT und Regelfiltering macht.


----------



## BeNe (1. Juni 2016)

Hi JeGr,
da hast Du völlig recht mit dem verbiegen, ist nicht schön. Auf das 1:1 NAT hätte ich ja auch kommen können.
So habe ich sauber eine externe IP pro VM und intern kann ich mit privaten IP´s arbeiten. Werde ich mir anschauen.
Bei weiteren Fragen treffen wir uns im pfSense Forum 

Vielen Dank!


----------



## JeGr (1. Juni 2016)

*räusper* *pfeif* Ich weiß gar nicht von was du redest ... *tüdelü*


----------

