VMware-Forum

Hallo alle zusammen,

ich habe eine Designfrage:
Ich habe einen VMWare Server (V2) mit mehreren Sitzungen. Ich verwende nur bridged-NICs. Einer der Sitzungen ist beispielsweise ein Webserver. Da diesen auch andere editieren möchte ich meine ganzen SItzungen gerne in eine DMZ stellen, damit ich konfigurieren kann was für Verbindungen zugelassen sind und welche nicht.

Dazu habe ich mehrere Fragen:

1. Gibt es eine solche FUnktionalität bereits bei VMWare Server? Ich habe leider keine gefunden
2. Da ich eine Fritzbox als Router davor habe die leider keine DMZ beinhaltet dachte ich an einen anderen Router. Aber kann ich die DMZ so einfach nutzen? Die Sitzungen bekommen zwar eine IP aus dem Adressraum des Routers sind aber nicht physikalisch damit verbunden (nur indirekt über den Service-PC/Server).
3. Was für eine Möglichkeit gibt es sonst noch die Sitzungen abzuschirmen?

Ich würde mich über ein paar Tipps sehr freuen.

Gruß
meinereiner

Hi
du verwendest eine ungewohnte Terminologie

Sitzungen kennen wir hier nicht - wir nennen das VMs.

Du kannst mit dem Virtual Network Editor schon alles so einrichten dass die VMs in einer DMZ laufen aber dazu muss man mehr ueber deine Umgebung wissen um zu helfen

Hallo,

danke für die schnelle Antwort.

OK reden wir mal lieber über VMs das ist auch mein geläufiger Begriff nur manche sehen das etwas anders

Also ich beschreibe mal genauer was ich suche:
Ich habe einen Router der meinen Internetzugang bereitstellt. Dieser stellt das Netzwerk 192.168.178.0 bereit.
An diesen ist mein Server angeschlossen auf den VMware Server läuft.
Auf diesem laufen drei VMs, alle mit bridged NICs (alle mit der selben virtuelen NIC). Zwei davon sind durch Portfreigaben vom Internet zugreifbar (Portweiterleitung auf die vom Router vergebene IP). Die andere Sitzung soll ausschließlich intern verwendet werden.

Eine der aus dem Internet zugreifbaren VMs soll so konfiguriert werden, dass man vin dieser Sitzung selbst man weder auf die anderen VMs noch auf andere physikalische Maschinen im Netzwerk zugreifen kann.

Ich hoffe ich konnte meine Wünsche besser darstellen?!

Gruß
meinereiner

Hmm - das koennte man doch durch Firewall-regeln im Router einstellen .. oder ?

Prinzipiell ja, zumindest wenn eine physikalische Maschine direkt an dem Router hängt würde ich sofort ja sagen.

Aber:
Aktuell habe ich keinen Router mit DMZ-Funktion zum ausprobieren. Was ich mich aber prinzipiell frage ich vielmehr folgendes: Wenn ich versuche beispielsweise einen ping von einer VM abzusenden (Ziel eine zweite VM) wird dieser ja erst über den Server gesendet oder? Der müsste die Packete doch direkt umswitchen zur nächsten VM. Der Router könnte so gar nicht das Packet verwerfen.
Sehe ich das falsch?

Gruß
meinereiner

Nein - das stimmt ...

Zur Not koenntest du die VMs ja noch mal hinter einer weiteren Firewall VM verstecken die eine DMZ einrichten kann ... zum Beispiel eine m0n0wall VM

genau das wollte ich vermeiden

Gibt es keine andere Möglichkeit?

Hallo,

dann bau Dir doch eine VM mit einem Router/Firewall, die den Verkehr auf Deinem Server regelt.

edit: ich bin heute wohl ein wenig zu langsam.

Hallo meinereiner85.


Die Konfiguration/Umstellung wird zwar evtl. etwas aufwändiger als du dir das eigentlich vorgestellt hast, du kannst die Sachen aber auch (mehr oder weniger) komplett kapseln.

Ich würde die Sache in unterschiedliche VLANs trennen. Privates Lan mit vlan12, DMZ wird vlan13. Oder andere Ziffern, da sind wir ja flexibel.

Wenn du einen Router mit Vlan-Unterstützung nutzen kannst hast du gewonnen. Ein (fast) beliebiger von DD-WRT supporteter zum Beispiel. Ich hab hier einen wrt54gl stehen, der hat vier LAN-Ports.
Meiner ist so konfiguriert, dass auf Port2 mit Vlan12, Port3 mit Vlan13 und Port4 mit Vlan14 taggt, aus Port1 akzeptiert alle Vlans ohne Tagging durchzuführen.
Am Port1 dieses Routers hängt ein VMWare-Server2.

Das Hostbetriebssystem ist ein aktuelles Debian Lenny.

Auf dem Host habe ich eth0 mit einer statischen IP (vollkommen außerhalb meiner privaten IP-Bereiche) konfiguriert, falls mal was "schief" geht und ich per Crossoverkabel an den Server muss.
Außerdem -- der eigentliche Hauptteil -- habe ich die Vlans 12, 13 und 14 konfiguriert.

Mein Host hat demnach fünf Interfaces: lo, eth0, Vlan12, Vlan13 und Vlan14.

Bei der Installation des VMWare-Server2 habe ich drei verschiedene Bridged-Networks konfiguriert und die jeweils mit en unterschiedlichen Vlans gebrückt.

Meinen VMs kann ich jetzt über die VMWare-GUI die Netzwerke Vlan12, Vlan13 oder Vlan14 zuweisen und damit steuern, ob sie mit dem Port 2, 3 oder 4 meines Routers verbunden sein sollen.

Voraussetzung für eine solche Konfiguration ist aber eben, dass Hardware im Netzwerk steht, die den Vlan-Trunk-Port (Richtung Hostrechner) in unterschiedliche, vlanabhängige physikalische Ports (Richtung Hausnetz) splitten kann.

Der günstigste W-Lan-Router mit GBit-Ports in der DD-WRT-Supportliste dürfte der Netgear WNR3500L sein. Den hab ich selbst zwar schon ins Auge gefasst, bisher aber noch nicht angeschafft weil mir die 100MBit des aktuellen WRT54gl schon genügen.


Grüße,
Stephan.

Hallo,

und Danke für deine ausführliche Erläuterung.
Ich habe das ganze jetzt mit einer zusätzlichen VM gelöst auf der eine Router-Software läuft. FUnktioniert bis jetzt einwandfrei.

Die Idee mit den VLANs ist nicht schlecht. Leider kann mein Router keine VLANs.
Aber ich werde mir mal deine Lösung und die Komponenten näher anschauen. Vielleicht ist das eine Sache die man noch ändern kann
Eine Frage noch dazu: Den Router den du erwähnt hast und auch den den du im einsatz hast, regelt der die DMZ? Sprich ein- und ausgehende Verbindungen?

Gruß
meinereiner