Zusätzliche IP-Adressen

  • Bei den vServern der VP-Line ist außer beim VP3000 überall nur noch eine IP-Adresse erhalten, für die meisten Zwecke sicherlich ausreichend, aber es gibt auch Ausnahmen. Weitere IP-Adressen müsste man bekanntlich extra dazu "kaufen".


    netcup: Ich glaube vom Support wurde mir einmal erklärt, dass solche zusätzlichen IP-Adressen dann an den vServer gebunden sind und nicht auf einen anderen vServer mitgenommen werden können, man müsste bei einem eventuellen vServer Wechsel also nochmals die Gebühr je IP zahlen. Habe ich das noch richtig in Erinnerung?


    Als Laie rund um die IP-Vergaben stellt sich mir jetzt auch die Frage wie so eine Begründung, die Ripe-konform ist, aussehen müsste. Reicht dafür eine simple formlose (deutsche?) Begründung per Fax/Mail wo z.B. drinnen steht, dass man 2 zusätzliche IP's für SSL-Domains benötigt o.ä.? Der Inhaber der IPs wäre dann aber trotzdem Netcup, oder? Das Thema ist für mich selbst zwar gerade nicht spruchreif, mich würde das jetzt trotzdem einmal interessieren ;)


    Wäre super, wenn jemand von Netcup etwas dazu sagen könnte, die Antworten würden sicherlich auch andere User/Kunden interessieren :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • IPv4-Adressen werden mehr und mehr zu einer wertvollen Ressource, da es von ihnen immer weniger gibt, die frei sind. Daher vergeben wir zusätzliche IPv4-Adressen nur wenn für diese eine Begründung vorliegt, die den Richtlinien der RIPE entspricht.


    Wir von netcup beantragen bei Hetzner, dem Betreiber des von uns genutzten RZ, ein neues Netz von IPv4-Adressen (Subnet), sobald unsere bestehenden Netze belegt sind. Hierzu müssen wir eine Begründung vorlegen, die dann an die RIPE weiter gereicht wird.


    Unsere Begründung sieht z.B. so aus:


    "Wir haben 4 neue Nodes bereitgestellt auf denen wir X vServer betreiben möchten. Jeder vServer benötigt eine IPv4-Adresse, damit er im Internet erreichbar ist. Da im Schnitt bei X vServern Y SSL-Zertifikate genutzt werden, beantragen wir zusätzlich noch Y IPv4-Adressen für SSL-Zertifikate".


    Diese Beantragung geschieht auf Vertrauensbasis. Die RIPE vertraut Hetzner, Hetzner vertraut uns. Dieses Vertrauen wird auch keiner brechen, da er dann ziemliche Probleme hätte.


    Damit wir dieses Vertrauen einhalten können, benötigen wir für jede zusätzliche IP einen schriftlichen Antrag. Wird die IP z.B. für ein SSL-Zertifikat benötigt, muss die betroffene Domain in dem Antrag genannt werden. Wenn der Antrag bei uns eingegangen ist, werden wir die IP bereitstellen und in unregelmässigen Abständen prüfen, ob die IP sinngemäß genutzt wird.


    Eigene IPs sind z.B. nicht für Bouncer o.ä. gedacht. Sollten wir eine RIPE-Begründung für eine IP erhalten und die IP dann zweckentfremdet werden, werden wir diese wieder einziehen. So stellen wir sicher das wir das Vertrauen von Hetzner und somit indirekt das Vertrauen der RIPE nicht zerstören. Wir haben durch die vServer unserer Kunden einen sehr großen Bedarf an IP-Adressen und können es uns nicht erlauben, einmal strenge Restriktionen auferlegt zu bekommen.


    Zitat

    netcup: Ich glaube vom Support wurde mir einmal erklärt, dass solche zusätzlichen IP-Adressen dann an den vServer gebunden sind und nicht auf einen anderen vServer mitgenommen werden können, man müsste bei einem eventuellen vServer Wechsel also nochmals die Gebühr je IP zahlen. Habe ich das noch richtig in Erinnerung?


    Das ist richtig. Die Subnetze werden immer auf ein bestimmtes Node geroutet. Somit behalten wir den Überblick und können auch das Routing vereinfachen. In Ausnahmefällen, kann auch eine IP separat geroutet werden. Das machen wir aber nur ganz selten.


    Bei einem neuen vServer müssen die IPs erneut beantragt werden.


    Ich hoffe das ich alle Fragen beantworten konnte.

  • Zitat von [netcup] Felix;9332

    Ich hoffe das ich alle Fragen beantworten konnte.


    Ja, vielen Dank für die ausführliche Antwort! :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Jap sollte aufjedenfall ins Wiki
    Davon mal abgesehen kann man SSL auch unter einer ip Realisieren. gibt da so schöne *.domain.tld zertifikate die sich wildcart nennen. die gelten für einen Server zu einer Domain inkl. aller Subdomains. Gibts auch "relativ" günstig hab da letztens was gelesen 97€ bei laufzeit einem Jahr. Ich denke das ist schon nen fast unschlagbarer preis gewesen und günstiger als SSL Zertifikate für nur eine "normale" Domain alla domain.tld (www.domain.tld würde ein weiteres Zertifikat brauchen ist klar sind ja zwei verschiedene Domains dann)



    MfG
    Andre

  • Zitat von sugersgroer;9364

    gibt da so schöne *.domain.tld zertifikate die sich wildcart nennen.


    Ich dachte da eher daran, wenn man mehrere verschiedene Domains (eben nicht nur andere Subdomains) mit SSL hat, dann brauchst mehr IP's ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Zitat von killerbees19;9391

    Ich dachte da eher daran, wenn man mehrere verschiedene Domains (eben nicht nur andere Subdomains) mit SSL hat, dann brauchst mehr IP's ;)



    MfG Christian


    Dass SSL mit mehreren Domains auf einer IP nicht funktioniert ist inzwischen nicht mehr aktuell.
    http://www.heise.de/kiosk/archiv/ct/2009/23/174
    Das ist zwar keine 100%-Lösung (Die schannel.dll von XP unterstützt es nicht, da wird z.B. FireFox benötigt) und noch nicht mit Debian Lenny out-of-the-box möglich, aber Squeeze unterstützt es schon jetzt.

  • Hmmm, abgesehen davon, dass solche Lösungen wohl kaum jemand im produktiven Einsatz einsetzen wird, solange es nicht wenigstens halbwegs überall unterstützt wird: Gibt es den Artikel dazu auch wo, ohne 60 Cent zahlen zu müssen? :cool:



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Ich schaue mal, ob ich morgen dazu komme, eine umfangreichere Zusammenfassung zu schreiben.


    Kurz:
    Es wird Apache2 2.2.12 sowie mod_ssl mit der Option TLS_SNI benötigt. Lenny ist leider erst bei Apache 2 2.2.9 und damit ohne TLS_SNI. In der libssl.so des bei Lenny eingesetzten OpenSSL ist SSL_get_servername schon aktiviert, so dass nur der Apache2 neu kompiliert werden muss.

  • Neu erstellte Beiträge unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.

    Die letzte Antwort auf dieses Thema liegt mehr als 365 Tage zurück. Das Thema ist womöglich bereits veraltet. Bitte erstellen Sie ggf. ein neues Thema.

    • :)
    • :(
    • ;)
    • :P
    • ^^
    • :D
    • ;(
    • X(
    • :*
    • :|
    • 8o
    • =O
    • <X
    • ||
    • :/
    • :S
    • X/
    • 8)
    • ?(
    • :huh:
    • :rolleyes:
    • :love:
    • :pinch:
    • 8|
    • :cursing:
    • :wacko:
    • :thumbdown:
    • :thumbup:
    • :sleeping:
    • :whistling:
    • :evil:
    • :saint:
    • <3
    • :!:
    • :?:
    Maximale Anzahl an Dateianhängen: 10
    Maximale Dateigröße: 1 MB
    Erlaubte Dateiendungen: bmp, gif, jpeg, jpg, pdf, png, txt, zip