On 11.01.24 08:37, Manfred Haertel, DB3HM wrote:
Das geht ja schon mit den ausgehenden Paketen los: Welche Source-IP-Adresse haben die denn, wenn sie einen Knoten im selben Subnetz adressieren? Denn "passen" würden ja alle vier. Es ist nicht immer sicher (zumindest nicht ohne weitere Maßnahmen), dass die genommen wird, die man gerne hätte. Das ist wirklich eine Einladung für unerwartete "Phänomene" im Netzwerk.
Ausgehende, **neue** Verbindungen verwenden die /primäre/ IP, das ist üblicherweise die erste konfigurierete. Anworten auf Anfragen verwenden die Adresse, an die die Anfrage geschickt wird. Also alles gut.
Ich würde immer zuerst versuchen, die IP auf den Clients, die sie benutzt haben, zu ändern. Man wird das eh irgendwann mal tun müssen und mit einem Workaround schiebt man den Zeitpunkt, wo man in diesem sauren Apfel beißen muss, nur hinaus und sorgt dafür, dass die IPs nie geändert werden - schon gar nicht, wenn z.B. im beruflichen Umfeld andere Leute für die Clients verantwortlich sind und man die überzeugen muss, die IP zu ändern. Da ist eine Server-Konsolidierung ein gutes Argument, ein halbes Jahr später ist "ich will das jetzt aber so" ein schlechtes Argument (weil es ging ja die ganze Zeit)...
Es ist halt häufig so, gerade im beruflichen Umfeld, dass man nicht alles beteiligten Geräte (Clients, Firewalls und Co.) im Zugriff hat. Da macht man sich das Leben einfacher, wenn man, wie bnacht, dem Dienst eine dedizierte IP gibt, die man später mit migrieren kann. Viele Grüße Ulf