Vsphere/NAS über NAT an Vcenter

[Stefan.r]

Hallo wir haben folgende Vorausetzung:

im RZ
-Vsphere bei Hoster nur durch VPN erreichbar
-Nas im Internen Netz bei Hoster nur durch VPN erreichbar

IM Office
-sind im besitz einer festen IP
-Vsphere bei uns Intern
-Vcenter Intern

Ich finde die Lössung immer über den VPN zu gehen etwas nervig, zumal ich denn Server Online nicht ins Vcenter einbinden kann, meine Idee wäre nun eine VM die im Internen und Externen Netz des Hosters ist durch Iptables und ein Nat durch die iptables aufzubauen.

den Access nach draußen würde ich an unsere Feste IP Binden.

Ideen sind so eine Sache, auf den ersten Moment hören diese sich Bombe an bis dir eine 2. Meinung sagt, vergiss es.

Wie gut Ist die Idee, gibt es etwas zubeachten oder ist das ganze sowieso zum scheitern verurteilt oder aus anderen Gründen nicht zu raten?

LG
Stefan

[~thc]

Wie genau sind die beiden VPN-Endpunkte (RZ/Office) im Moment realisiert?

[rprengel]

Hallo wir haben folgende Vorausetzung:

im RZ
-Vsphere bei Hoster nur durch VPN erreichbar
-Nas im Internen Netz bei Hoster nur durch VPN erreichbar

IM Office
-sind im besitz einer festen IP
-Vsphere bei uns Intern
-Vcenter Intern

Ich finde die Lössung immer über den VPN zu gehen etwas nervig, zumal ich denn Server Online nicht ins Vcenter einbinden kann, meine Idee wäre nun eine VM die im Internen und Externen Netz des Hosters ist durch Iptables und ein Nat durch die iptables aufzubauen.

den Access nach draußen würde ich an unsere Feste IP Binden.

Ideen sind so eine Sache, auf den ersten Moment hören diese sich Bombe an bis dir eine 2. Meinung sagt, vergiss es.

Wie gut Ist die Idee, gibt es etwas zubeachten oder ist das ganze sowieso zum scheitern verurteilt oder aus anderen Gründen nicht zu raten?

LG
Stefan

Auf jeder Seite eine VM mit einen VPN Server und zwischen den beiden einen ständigen Tunnel aufbauen. Solange du beim Hoster noch einen KVM Zugriff oder ähnliches hast sollte das passen.
Gruss

[Stefan.r]

Wie genau sind die beiden VPN-Endpunkte (RZ/Office) im Moment realisiert?

wir nutzen open vpn als Windows Client und Connecten wenn wir mal was am Vsphere machen, ich hatte auch schon verschiedene Versuche Unternomen die Vcenter Appliance über eine Proxy VM zu Routen die per VPN Connected ist.

Die Idee mit dem Nat ist mir eben gekommen da ich Problemlos Vms erstellen kann die sich in beiden Netzen bewegen können im RZ Netz und wir für eine Feste IP die wir für andere Zwecke brauchen gerade mal 5€ mehr Zahlen

@rprengel wo siehst du den Vorteil?

Gruß

[rprengel]

Wie genau sind die beiden VPN-Endpunkte (RZ/Office) im Moment realisiert?

wir nutzen open vpn als Windows Client und Connecten wenn wir mal was am Vsphere machen, ich hatte auch schon verschiedene Versuche Unternomen die Vcenter Appliance über eine Proxy VM zu Routen die per VPN Connected ist.

Die Idee mit dem Nat ist mir eben gekommen da ich Problemlos Vms erstellen kann die sich in beiden Netzen bewegen können im RZ Netz und wir für eine Feste IP die wir für andere Zwecke brauchen gerade mal 5€ mehr Zahlen

@rprengel wo siehst du den Vorteil?

Gruß

Der Tunnel steht dann ständig und und unabhängig von Clients die sich ggf. mit Updates die Konfiguration zerschiessen.
Gruss

[Stefan.r]

so wie ichs verstehe willst du das Management Komplett auf die Vpn vm legen, unser Momentaner VPN funktioniert ja ohne eine VM, daran würde ich auch ungern etwas ändern

[~thc]

Du schreibst zuerst

IM Office
-sind im besitz einer festen IP

und dann

Die Idee mit dem Nat ist mir eben gekommen da ich Problemlos Vms erstellen kann die sich in beiden Netzen bewegen können im RZ Netz und wir für eine Feste IP die wir für andere Zwecke brauchen gerade mal 5€ mehr Zahlen

Ist also die feste IP-Adresse nicht im Office, sondern im RZ für den Zugriff auf Eure VMs?

[Stefan.r]

wir haben bei beiden eine Feste IP wobei der Vsphere natürlich erst nach VPN Connect erreichbar ist

als Bsp:
Office IP 32.x.x.x
Vsphere liegt auf ip 10.x.x.3
Public Netz liegt auf 83.x.x.x/27

ich kann aber bsp eine VM auf dem Host im RZ machen die im Netz 10.x.x.x und 83.x.x.x agieren kann daher rührte auch die Nat Idee
Wir Connecten über die 83.xxx auf die VM die per Iptables unsere Anfragen an die 10.x.x weiterreicht.

[~thc]

O.K., du hattest also gedacht, über eine NAT-VM praktisch mehrere Ports des ESXi-Hosts (10.x.x.x) auf der öffentlichen IP zu "exposen", damit du ohne VPN über die öffentliche IP connecten kannst?

Kann ich nicht empfehlen. Das Management sollte nur über VPN erreichbar sein.

[Stefan.r]

genau, ich hätte das ganze eben an unsere Öffentliche IP vom Office per IP Table Gebunden so das nur wir da drauf kommen// so von der Idee, kp ob Sie gut ist

[~thc]

Das wäre dann qausi Port Forwarding/Reverse-NAT nur für eine Quell-IP.

Hmmm. Die Quell-IP ist für Angreifer spoofbar - es schützt also nur vor Portscans und nicht vor einem gezielten Angriff. Wenn das für Euch O.K. ist...

[Stefan.r]

okay das man IPS spoofen kann hatte ich nicht auf dem Schirm, okay dann isses tatsächlich blöd

werde dann eher nach einen Router schauen der Openvpn kann um so eine dauerhafte Verbindung zwischen den Beiden Netzen zu erhalten