Hallo allerseits,
ich bin mir sicher das dieses oder ein anderes, zielführendes Thema hier schon mal behandelt wurde aber ich finde leider nichts passendes.
Ich habe einen VMware Player (momentan 12.x) auf einem Host mit 4 Netzwerkkarten (NIC) laufen und möchte darauf eine VM mit 4 VMnet laufen lassen. Die Anwendung ist eine Firewall auf Basis OPNsense, welche mir mein Netz hinter dem DSL-Router in 3 weitere Zonen aufteilen soll. Wie ich die einzelnen VMnet auf die physikalischen NIC bridge habe ich gefunden.
Nun möchte ich den Host von der Kommunikation von drei der NIC's aussperren. Ziel ist es, dass der Host nur und ausschöliesslich in einem der vier Netze erreichbar ist. Damit möchte ich den Host als Umgehung der Firewall ausschliessen und die Nachteile einer virtualisierten Firewall etwas reduzieren.
Geht das? Wenn ja, wie?
Danke für eure Hilfe im Voraus
Andreas
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)
- MarroniJohny
- Profi
- Beiträge: 609
- Registriert: 20.10.2011, 17:55
Re: Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)
Hi
Das geht so leider nicht im Player und der Workstation. Du kannst wohl mit dem vmware Netzwerk Editor mehrere Hostonly Netze machen (z.B. LAN und DMZ), um das Ganze auszuprobieren. Die erstellten Netze sind dann aber nur in weiteren Gästen verfügbar, nicht an den im Host verbauten NIC's. Macht ja auch keinen Sinn eine virtuelle FW, deren Netze am Host wieder zusammen laufen.
Ansonsten musst Du vSphere nehmen, da geht das von Dir gewünschte problemlos.
Naja, ich habe eben gesehen, dass Du das unter Linux machen willst. Da hast Du wohl mehr Möglichkeiten, als unter einem Windows Host. Kann sein, dass es geht mit den physikalischen Netzen. Dann müsstest Du an den betreffenden NIC's des Host das Gateway leer lassen, um zu verhindern, dass da darüber Netzwerkverkehr geht. Möglich: ja; Sinnvoll: nein
Was auch noch möglich wäre, obwohls ein Gefrickel ist: Du reichst USB NIC's exklusiv der Firewall VM durch. Das geht mit physischen NIC's leider nicht.
Das geht so leider nicht im Player und der Workstation. Du kannst wohl mit dem vmware Netzwerk Editor mehrere Hostonly Netze machen (z.B. LAN und DMZ), um das Ganze auszuprobieren. Die erstellten Netze sind dann aber nur in weiteren Gästen verfügbar, nicht an den im Host verbauten NIC's. Macht ja auch keinen Sinn eine virtuelle FW, deren Netze am Host wieder zusammen laufen.
Ansonsten musst Du vSphere nehmen, da geht das von Dir gewünschte problemlos.
Naja, ich habe eben gesehen, dass Du das unter Linux machen willst. Da hast Du wohl mehr Möglichkeiten, als unter einem Windows Host. Kann sein, dass es geht mit den physikalischen Netzen. Dann müsstest Du an den betreffenden NIC's des Host das Gateway leer lassen, um zu verhindern, dass da darüber Netzwerkverkehr geht. Möglich: ja; Sinnvoll: nein
Was auch noch möglich wäre, obwohls ein Gefrickel ist: Du reichst USB NIC's exklusiv der Firewall VM durch. Das geht mit physischen NIC's leider nicht.
Re: Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)
Hmmm... Das Standard Gateway leer lassen hilft ja nur bei Verkehr aus dem Netzt heraus. Ich möchte mich ja massgeblich gegen den Dunstkreis meiner Tochetr und ihren immer wieder verseuchten Rechner absichern. Die wären dann ja "drin".
Dann werde ich wohl auf den ursprünglichen Plan zurückkehren und es über VLAN ID´s regeln, welche ich dem Host nicht bekannt mache. Standard VLAN1 wird dann halt das (logische) Interface, auf welchem er erreichbar sein darf. Vielleicht kann man ja auch was auf dem Switch über ACL´s machen, aber übertreiben muss man es ja auch nicht. Es ist ja "nur" eine zusätzliche Sicherheitsebene.
Aber danke für die Info.
Gruß,
Andreas
Dann werde ich wohl auf den ursprünglichen Plan zurückkehren und es über VLAN ID´s regeln, welche ich dem Host nicht bekannt mache. Standard VLAN1 wird dann halt das (logische) Interface, auf welchem er erreichbar sein darf. Vielleicht kann man ja auch was auf dem Switch über ACL´s machen, aber übertreiben muss man es ja auch nicht. Es ist ja "nur" eine zusätzliche Sicherheitsebene.
Aber danke für die Info.
Gruß,
Andreas
Re: Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)
MarroniJohny hat geschrieben:Naja, ich habe eben gesehen, dass Du das unter Linux machen willst. Da hast Du wohl mehr Möglichkeiten, als unter einem Windows Host,
Man muss man unter Ubuntu dem NetworkManager abgewöhnen, die NICs zu konfigurieren. Dazu muss man in /etc/NetworkManager/NetworkManager.conf einen neuen Abschnitt einfügen:
Code: Alles auswählen
[keyfile]
unmanaged-devices=mac:00:11:22:33:44:55;mac:66:77:88:99:00:aa;mac:bb:cc:dd:ee:ff:00
Die drei MAC-Adressen sind dabei die Hardware-Adressen der drei NICs. Anschließend bleiben die Devices im Zustand "down" - ob der Bridge-Treiber des Players das dann so mag, musst du ausprobieren.
- MarroniJohny
- Profi
- Beiträge: 609
- Registriert: 20.10.2011, 17:55
Re: Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)
@~thc:
Aber unter Windows geht das nicht, verstehe ich das richtig?
Aber unter Windows geht das nicht, verstehe ich das richtig?
Re: Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)
Danke ~thc,
am Wochenende bau ich um und kann dann testen. Ich werde berichten.
Gruß,
Andreas
am Wochenende bau ich um und kann dann testen. Ich werde berichten.
Gruß,
Andreas
Re: Ubuntu - 2. NIC nur auf VM führen (Host aussperren / Firewall konfig)
MarroniJohny hat geschrieben:Aber unter Windows geht das nicht, verstehe ich das richtig?
Ja - man kann zwar alle Bindungen außer dem VMWare Bridge Treiber lösen, aber dann funktioniert die Karte nicht.
Zurück zu „VMware Player und VMware Workstation Player“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 13 Gäste