Seite 1 von 1

VMWARE und Port Security

Verfasst: 21.10.2004, 21:25
von flori
Hallo Leute,

ich habe vor ein paar Tagen in der Arbeit VMWARE auf meinen PC installiert und dabei einen sog. Port-Security ausgelöst. Das Bedeutet, wenn die emulierter Version von Windows einen eingene MAC Adresse vorgibt, wird der PC an der Netzdose automatisch gesperrt.

Kann ich VMWARE irgendwie einstellen, das dieser keine neue MAC Adresse vorgibt ?

Danke und Grüße
Flori

Verfasst: 21.10.2004, 21:52
von looping
technisch unmöglich - jede netzwerkkarte muss eine mac-adresse haben die normalerweise weltweit eindeutig ist. mittels vmware könntest du zwar eine vorhandene (innerhalb eures netzes authorisierte) mac-adresse "klonen", das wiederum führt spätestens dann zu echten problemen, wenn der für das subnetz verantwortliche switch/router mitbekommt das es anscheinend zwei unterschiedliche systeme mit ein und derselben mac-adresse gibt (dann sollten bei ihm alle alarmglocken gleichzeitig schrillen). wenn die virtuelle maschine zugang zum lan haben soll gibt es nur eine sinnvolle lösung: geh zum administrator deines vertrauens, schildere ihm dein problem und lass dir von ihm eine bestimmte mac-adresse zuweisen/freischalten.

nochmal zum besseren verständnis: der windows-gast hat damit garnichts zu tun. die mac-adresse ist (normalerweise) fest in der nic eingebrand und somit bestandteil der (in diesem fall virtuellen) hardware eines jeden systems. mit hilfe diese hardware-adresse wird (im fall eines dhcp-konfigurierten netzwerks) beim während des bootprozesses die ip-adresse angefordert. in vielen betrieben werden dabei "feste" dynamische adressen vergeben, d.h. der dhcp-server führt eine liste von bekannten hosts und den zuzuweisenden ip-adressen. bekommt er dann anfragen einer unbekannten mac-adresse muss er glauben, dass das netz kompromitiert ist. die möglichen folgen können dann (je nach verwendetem system) ein abschalten des "geknackten" ports sein. es gibt auch firmen bei denen gleich der werksschutz kommt um den hacker festzusetzen bis die freunde in grün-weiß kommen ...

wenn zweimal die gleiche mac-adresse nach einer "festen" dynamischen ip-adresse anfragt wird sie halt zweimal bedient - eben mit der einen zugewiesenen ip-adresse. da hat dann aber der switch was gegen - er kann die angeforderten ip-packete immer nur an eine adresse schicken und führt (damit das schneller geht) eine liste auf welchem port welche mac-adresse und welche ip-adresse sitzt: zweimal die gleichen adressen auf unterschiedlichen ports führen ihn aber in den wahnsinn - er weiß nicht was er machen soll/kann/darf - im schlimmsten fall bricht der ganze netzabschnitt zusammen.
mfg

looping

Verfasst: 21.10.2004, 22:33
von flori
hallo looping,

danke für Deine Antwort. Es scheit so, das mir nichts anderes übrigebleibt, als den Portsecurity für die Dose meines Rechners entfernen zu lassen. Oder gäbe es noch eine andere Lösung ?

Wir haben nur statische adressen.

Gruss

florian

Verfasst: 22.10.2004, 02:25
von looping
ob die adresse statisch ist oder nicht tut letztlich dabei nicht viel zur sache, da die mac-adresse im iso-osi modell (oder auch im tcp-ip-model) unterhalb der ip-adresse angeordnet ist - also hardware-nah arbeitet. und da arbeitet auch der switch, der anschließend nicht weiß wohin er die daten nun schicken soll. an der mac-adresse kommt man in netzwerken nicht vorbei - und das ist gut so den die verschiedenen protokolle und techniken können nur dann tatsächlich stabil funktionieren wenn es irgendeine unumstößliche grundlage gibt. deswegen gibt es - du wirst es kaum glauben - die mac-adresse auch bei wlan-adaptern: ohne sie ist kein netzwerkverkehr möglich.

mfg

ooping

Verfasst: 22.10.2004, 08:26
von investp
<<Kann ich VMWARE irgendwie einstellen, das dieser keine neue MAC Adresse vorgibt ?>>

Meiner Meinung nach ist das nicht möglich. Da jede Netzwerkkarte hat und muss eine eindeutige mac adresse haben. Sonst kann das meiner Meinung nach nicht funktionieren.

Verfasst: 22.10.2004, 18:47
von continuum
Wenn eine feste MAC pro Virtuelle Maschine dir weiter hilft - das geht so:

so sieht es bei deinen VMs jetzt aus:

Ethernet0.addressType = "generated"
ethernet0.generatedAddress = "00:0c:29:ec:74:8a"

wenn du das aenderst in

Ethernet0.addressType = "static"
ethernet0.generatedAddress = "00:0c:29:ec:74:8a"

bekommt die VM bei jedem Boot dieselbe MAC. Achtung: evtl. wird die MAC die du vorschlaegst nicht genommen - dann kannst du ausprobieren eines der letzten 3 Paare zu aendern. Spaetestens die 2. oder 3. wird dann angenommen.

Verfasst: 23.10.2004, 10:34
von flori
Hallo Leute,

danke Euch für Eure Infos und Hilfen.

@ continuum Dein Tipp könnte mir weiterhelfen ! Falls unser Netzwerk 2 MAC adressen an eine Dose erlaubt.

Was ich dann allerdings nicht verstehe ist, daß es in VMWARE die Einstellung gibt BRIDGET. bAls ich in meinem Laptop Zuhause die beiden virturellen netzwerkkarten deaktiviert hatte und die o.g. Option aktivierte, funktionierte dies wunderbar. Aber verstehe Eure Ausführungen. Werde das am Montag mit der Netztechnik besprechen.

Gruß und schönes Wochenende
Flori

Verfasst: 28.10.2004, 15:34
von flori
Hallo Leute,

ich brauche von Euch ein paar kleine Hilfen.

Wie sollte ich das Netz einrichten. So weit ich es bisher verstanden habe, kann ich mit

Ethernet0.addressType = "static"
ethernet0.generatedAddress = "00:0c:29:ec:74:8a"

Die Virturelle MAC-Adresse festlegen für die Netzkarte 0 festlegen.

VMWARE installiert so weit ich verstanden habe, eine VMNET0 und eine VMNET8 worin liegt der unterschied ?

Muß ich für VMNET0 und VMNET8 je die MAC-Adresen vorgeben ?

Also Einstellung für die Netzkarten sollte ich NAT nehmen ?
Die IP-Adresse denke ich, gebe ich Statisch an, so wie sie in unserem segment üblich ist ?

Ich möchte höchstens 2 virtirelle Maschinen einsetzen (Win 2000 und WinXP). Diese sollen nach aussen hin in unser Netz kommunizieren können. Diese sollten aber auch untereinander (später mal) ohne Netz nach aussen hin kommunizieren können.

Wie gehe ich vor ?

Danke !

Viele Grüße
Florian

Verfasst: 28.10.2004, 18:55
von continuum
Hi
VMware kann 255 virtuelle Netze anlegen - in einer Standard Windows-installation bekommst du die ersten 10 davon. (0 bis 9)

Vom Host aus betrachtet kann jedes dieser vielen Netze 3 verschiedene Zustaende haben:
1. - verbunden mit einer echten Netzwerkkarte - dann nennt man das bridged network
2. - verbunden mit einer virtuellen Netzwerkkarte - dann nennt man das host-only-network
3. - gar nicht verbunden - dann nenne ich sowas guest-only-network

(in der VMware Dokumentation taucht das guest-only-network praktiisch gar nicht auf)

Bei einer Standard-Installation bekommt man VMnet 0, 1 und 8 - hier handelt es sich jetzt nicht um virtuelle Netze sondern um virtuelle Karten die wiederum mit einem virtuellem Netz verbunden sind.
0 ist ein gebridgtes network

1 ist ein host-only-network
8 ist ein host-only-network das nebenbei noch einen NAT dienst mitbringt.

Wenn deine Gaeste ins LAN/WAN duerfen, dann muessen sie sich in einem gebridgten Netzwerk befinden oder dein Host muss so nett sein und den NAT-dienst laufen lassen.

Ulli