[findo1]

Guten Tag zusammen, heute mal eine frage an die Tunnelexperten (Socat).

Ich lasse die große Einleitung mal weg, weil ich vermute, dass es für jene, die sich mit socat schon auseinander gesetzt haben, nichts neues ist.

Ich sitze hinter einem DS-Lite Anschluss und einige Geräte sind von außerhalb erreichbar. Beispielsweise ein Webserver Port:80 bzw 443.
Ich habe dazu einen vServer gemietet, der sowohl eine feste Ipv4 als auch eine feste Ipv6 bekommt. Auf dem vServer ist socat installiert!

Der Socat Befehl :
socat TCP4-LISTEN:443,fork TCP6[IPv6 vom Heimserver]:443

Nun, wenn ich mir die Apache Log Datei auf meinem Heimserver ansehe, dann sehe ich, dass immer von der selben IP auf meinen Webserver Zugegriffen wurde.
Egal ob ich von meinem Computer, meinem Handy oder von der Arbeit zugreife und egal ob mein Freund oder jemand in den USA zugreift, in der Log-Datei gibt es immer nur EINE IP.... Naja, es ist eben die vom vServer.

Und genau hier liegt meine Frage: Wie kann ich es erreichen, dass der vServer mit socat zwar über IPv6 tunnelt, aber letzen Endes die "orginale" IP Adresse des PC, der auf die URL zugreift, angezeigt wird.

So ist es :
10.13.123.09 --> vServer -- >[Heimserver] f345:2345::
fa77:3498:: --> vServer -- >[Heimserver] f345:2345::
10.8.8.11 --> vServer -- >[Heimserver] f345:2345::

So soll es sein:
10.13.123.09 --> vServer -- >[Heimserver] 10.13.123.09
fa77:3498:: --> vServer -- >[Heimserver] fa77:3498::
10.8.8.11 --> vServer -- >[Heimserver] 10.8.8.11

[powo01]

Hallo,

das bekommst du mit deiner socat Konfiguration nicht hin

Der ursprüngliche Stream Nutzer -> vServer wird im vServer terminiert und die enthaltene Payload in einen neue Verbindung zu deinem internen Server umgeschaufelt. Es handelt sich um zwei unabhängige Verbindungen.

Ich habe zwischen meinem vServer und dem lokalen Netz ein VPN Tunnel. Wenn der interne Server IPv4 kann kann man dann auf den vServer mit einer passenden Firewall Forward Rule den Endpunkt auf den Webserver im internen Netz lenken und der Rückweg muss dann auch wieder über den vServer gehen ( Policy Based Routing )

Viele Grüße,

PoWo

[hoger]

Hallo findo1.

Physisch geht es nur über ipv6 rein in unser DGF-Netz, es sei denn, die Gegenstelle ist auch im DGF-Netz, dann könnte man sogar die nativen ipv4-Adressen benutzen.

Aber das ist ja garnicht dein Thema. Wenn du Webserver über deinen Vserver nach draussen schieben willst, dann mach das am besten mit einem ReverseProxy auf dem Vserver. Ich habe die ganzen Basteleien durch und hier zusammengefasst.

https://ftthoger.fuettertdasnetz.de/index.php/2017/03/06/mehrere-webserver-am-dgf-anschluss-per-ipv4-auf-standard-ports-rreichbar-machen/

Die Lösung ist komplett transparent und SSL-Fähig, und obendrein sind die Maschinen ggf. auch direkt per ipv6 erreichbar, wenn du die incoming-Rule nicht auf deinen Vserver beschränkst. Ggf. kannst du auf dem ReverseProxy sogar noch eine extra BasicAuth vorschalten, falls du da evtl. proprietäre Webserver-Appliances exponieren willst, wäre das eine gute Idee.

Ein weiteres Benefit ist, das du mit nur einer externen ipv4 dank der VHosts n Instanzen auf Port 80/443 aufmachen kannst, und nicht auf irgendwelchen non-Standard-Ports auslieferst, das gibt in Konzernnetzwerken mit strikten Contentfiltern meistens Ärger bzw. funktioniert einfach nicht.