Hallo wir haben folgende Vorausetzung:
im RZ
-Vsphere bei Hoster nur durch VPN erreichbar
-Nas im Internen Netz bei Hoster nur durch VPN erreichbar
IM Office
-sind im besitz einer festen IP
-Vsphere bei uns Intern
-Vcenter Intern
Ich finde die Lössung immer über den VPN zu gehen etwas nervig, zumal ich denn Server Online nicht ins Vcenter einbinden kann, meine Idee wäre nun eine VM die im Internen und Externen Netz des Hosters ist durch Iptables und ein Nat durch die iptables aufzubauen.
den Access nach draußen würde ich an unsere Feste IP Binden.
Ideen sind so eine Sache, auf den ersten Moment hören diese sich Bombe an bis dir eine 2. Meinung sagt, vergiss es.
Wie gut Ist die Idee, gibt es etwas zubeachten oder ist das ganze sowieso zum scheitern verurteilt oder aus anderen Gründen nicht zu raten?
LG
Stefan
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Vsphere/NAS über NAT an Vcenter
Re: Vsphere/NAS über NAT an Vcenter
Wie genau sind die beiden VPN-Endpunkte (RZ/Office) im Moment realisiert?
Re: Vsphere/NAS über NAT an Vcenter
Stefan.r hat geschrieben:Hallo wir haben folgende Vorausetzung:
im RZ
-Vsphere bei Hoster nur durch VPN erreichbar
-Nas im Internen Netz bei Hoster nur durch VPN erreichbar
IM Office
-sind im besitz einer festen IP
-Vsphere bei uns Intern
-Vcenter Intern
Ich finde die Lössung immer über den VPN zu gehen etwas nervig, zumal ich denn Server Online nicht ins Vcenter einbinden kann, meine Idee wäre nun eine VM die im Internen und Externen Netz des Hosters ist durch Iptables und ein Nat durch die iptables aufzubauen.
den Access nach draußen würde ich an unsere Feste IP Binden.
Ideen sind so eine Sache, auf den ersten Moment hören diese sich Bombe an bis dir eine 2. Meinung sagt, vergiss es.
Wie gut Ist die Idee, gibt es etwas zubeachten oder ist das ganze sowieso zum scheitern verurteilt oder aus anderen Gründen nicht zu raten?
LG
Stefan
Auf jeder Seite eine VM mit einen VPN Server und zwischen den beiden einen ständigen Tunnel aufbauen. Solange du beim Hoster noch einen KVM Zugriff oder ähnliches hast sollte das passen.
Gruss
Re: Vsphere/NAS über NAT an Vcenter
~thc hat geschrieben:Wie genau sind die beiden VPN-Endpunkte (RZ/Office) im Moment realisiert?
wir nutzen open vpn als Windows Client und Connecten wenn wir mal was am Vsphere machen, ich hatte auch schon verschiedene Versuche Unternomen die Vcenter Appliance über eine Proxy VM zu Routen die per VPN Connected ist.
Die Idee mit dem Nat ist mir eben gekommen da ich Problemlos Vms erstellen kann die sich in beiden Netzen bewegen können im RZ Netz und wir für eine Feste IP die wir für andere Zwecke brauchen gerade mal 5€ mehr Zahlen
@rprengel wo siehst du den Vorteil?
Gruß
Re: Vsphere/NAS über NAT an Vcenter
Stefan.r hat geschrieben:~thc hat geschrieben:Wie genau sind die beiden VPN-Endpunkte (RZ/Office) im Moment realisiert?
wir nutzen open vpn als Windows Client und Connecten wenn wir mal was am Vsphere machen, ich hatte auch schon verschiedene Versuche Unternomen die Vcenter Appliance über eine Proxy VM zu Routen die per VPN Connected ist.
Die Idee mit dem Nat ist mir eben gekommen da ich Problemlos Vms erstellen kann die sich in beiden Netzen bewegen können im RZ Netz und wir für eine Feste IP die wir für andere Zwecke brauchen gerade mal 5€ mehr Zahlen
@rprengel wo siehst du den Vorteil?
Gruß
Der Tunnel steht dann ständig und und unabhängig von Clients die sich ggf. mit Updates die Konfiguration zerschiessen.
Gruss
Re: Vsphere/NAS über NAT an Vcenter
so wie ichs verstehe willst du das Management Komplett auf die Vpn vm legen, unser Momentaner VPN funktioniert ja ohne eine VM, daran würde ich auch ungern etwas ändern
Re: Vsphere/NAS über NAT an Vcenter
Du schreibst zuerst
und dann
Ist also die feste IP-Adresse nicht im Office, sondern im RZ für den Zugriff auf Eure VMs?
Stefan.r hat geschrieben:IM Office
-sind im besitz einer festen IP
und dann
Stefan.r hat geschrieben:Die Idee mit dem Nat ist mir eben gekommen da ich Problemlos Vms erstellen kann die sich in beiden Netzen bewegen können im RZ Netz und wir für eine Feste IP die wir für andere Zwecke brauchen gerade mal 5€ mehr Zahlen
Ist also die feste IP-Adresse nicht im Office, sondern im RZ für den Zugriff auf Eure VMs?
Re: Vsphere/NAS über NAT an Vcenter
wir haben bei beiden eine Feste IP wobei der Vsphere natürlich erst nach VPN Connect erreichbar ist
als Bsp:
Office IP 32.x.x.x
Vsphere liegt auf ip 10.x.x.3
Public Netz liegt auf 83.x.x.x/27
ich kann aber bsp eine VM auf dem Host im RZ machen die im Netz 10.x.x.x und 83.x.x.x agieren kann daher rührte auch die Nat Idee
Wir Connecten über die 83.xxx auf die VM die per Iptables unsere Anfragen an die 10.x.x weiterreicht.
als Bsp:
Office IP 32.x.x.x
Vsphere liegt auf ip 10.x.x.3
Public Netz liegt auf 83.x.x.x/27
ich kann aber bsp eine VM auf dem Host im RZ machen die im Netz 10.x.x.x und 83.x.x.x agieren kann daher rührte auch die Nat Idee
Wir Connecten über die 83.xxx auf die VM die per Iptables unsere Anfragen an die 10.x.x weiterreicht.
Re: Vsphere/NAS über NAT an Vcenter
O.K., du hattest also gedacht, über eine NAT-VM praktisch mehrere Ports des ESXi-Hosts (10.x.x.x) auf der öffentlichen IP zu "exposen", damit du ohne VPN über die öffentliche IP connecten kannst?
Kann ich nicht empfehlen. Das Management sollte nur über VPN erreichbar sein.
Kann ich nicht empfehlen. Das Management sollte nur über VPN erreichbar sein.
Re: Vsphere/NAS über NAT an Vcenter
genau, ich hätte das ganze eben an unsere Öffentliche IP vom Office per IP Table Gebunden so das nur wir da drauf kommen// so von der Idee, kp ob Sie gut ist
Re: Vsphere/NAS über NAT an Vcenter
Das wäre dann qausi Port Forwarding/Reverse-NAT nur für eine Quell-IP.
Hmmm. Die Quell-IP ist für Angreifer spoofbar - es schützt also nur vor Portscans und nicht vor einem gezielten Angriff. Wenn das für Euch O.K. ist...
Hmmm. Die Quell-IP ist für Angreifer spoofbar - es schützt also nur vor Portscans und nicht vor einem gezielten Angriff. Wenn das für Euch O.K. ist...
Re: Vsphere/NAS über NAT an Vcenter
okay das man IPS spoofen kann hatte ich nicht auf dem Schirm, okay dann isses tatsächlich blöd
werde dann eher nach einen Router schauen der Openvpn kann um so eine dauerhafte Verbindung zwischen den Beiden Netzen zu erhalten
werde dann eher nach einen Router schauen der Openvpn kann um so eine dauerhafte Verbindung zwischen den Beiden Netzen zu erhalten
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 12 Gäste