Hallo,
Ich have den ESXI4 Host auf einem Server installiert, der über 2 Netzwerkkarten verfügt.
Eine Netzwerkkarte ist für das lokale interne Netz konfiguriert (10.10.x.x/255.255.0.0). Über diese ist auch der Host über den vSphere Client ansprechbar.
Die zweite Netzwerkarte habe ich für unseren DMZ-Bereich konfiguriert (111.110.109.x/255.255.255.128).
(Über Konfiguration / Netzwerk die vSwitche konfiguriert)
Ich habe testweise 2 Clients mit Win2003 Server installiert, für das jeweilige Netz einen.
Die Kommunikation mit dem Client im lokalen Netz funktioniert einwandfrei, aber der Client in der DMZ ist nicht erreichbar. Sowohl vom lokalen Netz als auch von anderen Clients in der DMZ.
Der Client selber aber kann immerhin Server in der DMZ ping-technisch erreichen.
Auf den Clients ist keine lokale Firewall aktiviert.
Wo muss man denn noch was einstellen, damit auch der DMZ-Client fehlerfrei funktioniert? Oder muss ich dafür lizensieren?
Ich bin noch im Thema Virtualisierung mit VMWare, sollte ich umständlich oder gar falsch ausgedrückt haben, bitte ich um Nachsicht.
Knud
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
VMWare mit 2 NIC in unterschiedlichen Netzen?
Hi,
ich gehe mal davon aus, das ihr keine VLANs habt sondern hier zwei unterschiedliche Segemente auf - im besten Fall - zwei Switchs habt.
Du legst zwei vSwitchs. vSwitch 1 mit dem Managmentport. Dieser vSwitch weist du die entsprechende NIC zu. der zweiten vSwitch weist du einfach nur die NIC für das DMZ zu. fertig. Alles weiter muss euer Router machen.
Gruß Peter
ich gehe mal davon aus, das ihr keine VLANs habt sondern hier zwei unterschiedliche Segemente auf - im besten Fall - zwei Switchs habt.
Du legst zwei vSwitchs. vSwitch 1 mit dem Managmentport. Dieser vSwitch weist du die entsprechende NIC zu. der zweiten vSwitch weist du einfach nur die NIC für das DMZ zu. fertig. Alles weiter muss euer Router machen.
Gruß Peter
genau das hab ich eigentlich auch erwartet gehabt.
Beide Netze (inside und DMZ) sind im VLAN 1, also Default.
Die beiden Netze sind über Core-Switch und Firewall verbunden.
Meine IP hat ins DMZ die komplette Range erlaubt (permit ip ...)
Meine IP kann den DMZ-Client nicht erreichen (Ping)
Die IP eine anderen DMZ-Clients kann den DMZ-Client nicht erreichen.
Der DMZ-Client kann andere DMZ-Clients erreichen.
Für mich scheint es, als ob der DMZ-Client eingehende Verbindungen ablehnt bzw. nicht an den Client weitergereicht werden. Kann das sein?
Da ich keine Attachments anhängen konnte, hier Links zu Screenshots:
http://www.pictureupload.de/originals/p ... mware1.jpg
http://www.pictureupload.de/originals/p ... mware2.jpg
Beide Netze (inside und DMZ) sind im VLAN 1, also Default.
Die beiden Netze sind über Core-Switch und Firewall verbunden.
Meine IP hat ins DMZ die komplette Range erlaubt (permit ip ...)
Meine IP kann den DMZ-Client nicht erreichen (Ping)
Die IP eine anderen DMZ-Clients kann den DMZ-Client nicht erreichen.
Der DMZ-Client kann andere DMZ-Clients erreichen.
Für mich scheint es, als ob der DMZ-Client eingehende Verbindungen ablehnt bzw. nicht an den Client weitergereicht werden. Kann das sein?
Da ich keine Attachments anhängen konnte, hier Links zu Screenshots:
http://www.pictureupload.de/originals/p ... mware1.jpg
http://www.pictureupload.de/originals/p ... mware2.jpg
Das interne Netz hängt direkt am Core-Switch, die DMZ hängt an einem eigenen DMZ-Switch, der dann an der Firewall hängt. Die Firewall hat natürlich auch ein Beinchen direkt am Core-Switch hängen.
Wenn ich einem Standalone PC eine DMZ-IP gebe und am DMZ-Switch anschließe, dann kann ich den sofort anpingen, aus dem internen Netz und aus DMZ.
Die entsprechenden Einstellungen/Berechtigungen sind in der Firewall bereits gesetzt.
Folgende Tests habe ich jetzt nochmal durchgeführt.
Egal von wo, ob vom Inside oder aus der DMZ, der DMZ-Client ist nicht über ping zu erreichen.
Der DMZ-Client kann andere DMZ-Clients anpingen.
Der DMZ-Client kann meine IP anpingen, als auch alle anderen IPs im Inside, die volle Zugriffsberechtigung in die DMZ haben
Alle anderen Adressen im Inside kann er nicht anpingen.
In der Firewall habe ich einen Packet Trace durchgeführt, der in beide Richtungen (mein PC <-> DMZ-Client) anzeigt, dass die Verbindung erlaubt ist.
Wenn ich einem Standalone PC eine DMZ-IP gebe und am DMZ-Switch anschließe, dann kann ich den sofort anpingen, aus dem internen Netz und aus DMZ.
Die entsprechenden Einstellungen/Berechtigungen sind in der Firewall bereits gesetzt.
Folgende Tests habe ich jetzt nochmal durchgeführt.
Egal von wo, ob vom Inside oder aus der DMZ, der DMZ-Client ist nicht über ping zu erreichen.
Der DMZ-Client kann andere DMZ-Clients anpingen.
Der DMZ-Client kann meine IP anpingen, als auch alle anderen IPs im Inside, die volle Zugriffsberechtigung in die DMZ haben
Alle anderen Adressen im Inside kann er nicht anpingen.
In der Firewall habe ich einen Packet Trace durchgeführt, der in beide Richtungen (mein PC <-> DMZ-Client) anzeigt, dass die Verbindung erlaubt ist.
Hi,
wenn du hier zwei getrennte Switchs im Einsatz hast, dann scheint mir hier eher euer Routing nicht sauber zu sein. Da die Netze vom ESX sauber getrennt sind. Steckt doch mal einen Windows Rechner, mit der IP der DMZ VM, auf diesen Port der DMZ Switch und schau was du von dort erreichen kannst.
Gruß Peter
wenn du hier zwei getrennte Switchs im Einsatz hast, dann scheint mir hier eher euer Routing nicht sauber zu sein. Da die Netze vom ESX sauber getrennt sind. Steckt doch mal einen Windows Rechner, mit der IP der DMZ VM, auf diesen Port der DMZ Switch und schau was du von dort erreichen kannst.
Gruß Peter
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste