Guten Tag,
Wir sind am aufsetzen einer virtuellen Firewall und machen erste Erfahrungen mit dem ESXi 5.
In einer virtuellen Maschine möchten wir eine PFsense Firewall laufen lassen (Firewall basierend auf FreeBSD) Nun haben wir aber ein Problem, welches wir bis jetzt nicht lösen konnten:
Pfsense lässt sich problemlos in der VM installieren. Ebenfalls ist es möglich von der PFsense FW auf externe Ressourcen zuzugreifen. Aber es ist nicht möglich von einer externen Workstation auf die virtuelle PFsense Firewall zuzugreifen. D.h wir können nicht auf die Webumgebung zugreifen.
Der VM Server ist von externer Stelle in beide Richtungen erreichbar. Die virtuelle PF Installation kommt ebenfalls problemlos raus. Aber rein geht es nur bis zum VM Server.
Wahrscheinlich sehen wir vor lauter Bäumen den Wald nicht, auf jedenfalls haben wir mittlerweile keine Ahnung wo der entsprechende Fehler leigen könnte.
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Probleme mit IP Routing und PFsense Firewall in VM
-
Sven_B1982
- Member
- Beiträge: 206
- Registriert: 09.09.2010, 14:12
Wir gehen davon aus, weil ein Weg funktioniert, das die Weiterleitung des physischen Adapters zum virtuellen korrekt konfiguriert ist. Wenn Nein würden nach unserem Wissen beide Wege nicht gehen.
Eine zusätzliche Verständnisfrage: Mal angenommen der ESX hätte die Adresse192.168.199.20/24.
Unserem VM WAN Interface im pf haben wir die Adresse 192.168.199.21/24 gegeben.
Wie weiss ein externer Router/Switch, das die Adresse 192.168.199.21 eine VM ist auf dem Server 192.168.199.20? Das die Kommunikation aus der VM zur Workstation funktioniert, ist darauf zurückzuführen das auf dem ESX ein entsprechender Gateway vermerkt ist.
Wir stehen hier irgendwo mächtig auf dem Schlauch und ich befürchte das die Lösung simpel ist und wir viel zu weit denken.
Eine zusätzliche Verständnisfrage: Mal angenommen der ESX hätte die Adresse192.168.199.20/24.
Unserem VM WAN Interface im pf haben wir die Adresse 192.168.199.21/24 gegeben.
Wie weiss ein externer Router/Switch, das die Adresse 192.168.199.21 eine VM ist auf dem Server 192.168.199.20? Das die Kommunikation aus der VM zur Workstation funktioniert, ist darauf zurückzuführen das auf dem ESX ein entsprechender Gateway vermerkt ist.
Wir stehen hier irgendwo mächtig auf dem Schlauch und ich befürchte das die Lösung simpel ist und wir viel zu weit denken.
-
Tschoergez
- Moderator
- Beiträge: 3476
- Registriert: 23.02.2005, 09:14
- Wohnort: Burgberg im Allgäu
- Kontaktdaten:
Hi!
Ich denke nicht, dass das problem mit der netzwerkkonfiguration auf dem ESX zu tun hat.
Weiß denn Euer Standard-Gateway der Workstation, über welche Route das Netz zu erreichen ist?
Setzt Ihr einen physikalischen Switch oder einen Router ein?
Der ESX ist kein Server aus Netzwerksicht, sondern ein (v)Switch, an dem sowohl das Management als auch die VMs hängen > irgendwelche Mac-Filter oder so auf dem phys. Switch?
Viele Grüße,
Jörg
Ich denke nicht, dass das problem mit der netzwerkkonfiguration auf dem ESX zu tun hat.
Weiß denn Euer Standard-Gateway der Workstation, über welche Route das Netz zu erreichen ist?
Setzt Ihr einen physikalischen Switch oder einen Router ein?
Der ESX ist kein Server aus Netzwerksicht, sondern ein (v)Switch, an dem sowohl das Management als auch die VMs hängen > irgendwelche Mac-Filter oder so auf dem phys. Switch?
Viele Grüße,
Jörg
-
MarroniJohny
- Profi
- Beiträge: 681
- Registriert: 20.10.2011, 17:55
Firewall auf ESXi Installation
Hi
Ich bin auch Neuling mit ESXi, hatte aber das gleiche Problem.
Ich hatte das Management Network am Router angeschlossen und somit die Firewall über RED installiert. Die Firewall muss aber über das GREEN Interface installiert werden. So wie ich das sehe, ist das bei Dir auch das Problem.
edit:
Ja, hier hast Du den ESXi am WAN. Den ESXi bitte ins LAN nehmen... Für das Szenario brauchst Du aber mindestens 2 NICs (da Du die Firewall nicht über RED administrieren kannst).
An der ESXi Konsole habe ich dazu eine gewünschte GREEN Adresse konfiguriert. Dem vSphere Client hatte ich auch eine Adresse im gleichen Range (GREEN) gegeben. Den Host und den Client hatte ich direkt mit einem Netzwerkkabel verbunden, alles am vSwitch0. Als Gateway fungierte da wahrscheinlich noch der Client (eventuell DHCP Dienst auf dem Client aktivieren). Zur der Zeit hatte ich also kein Internet am Client und in den VMs, nur der Host war erreichbar. Dann habe ich die Firewall installiert.
Ist die Installation erfolgreich, sollte nun das Web Interface der FW erreichbar sein (auf GREEN). In der FW Konfiguration sollte man nun RED, ORANGE und BLUE konfigurieren können (zumindest bei der Endian FW ist das so). Dann hat der Client auch Internet, wenn die FW gestartet ist.
Ich habe auch zwei, drei Tage gebraucht, um das nachvollziehen zu können...
Kann sein, das ich damit falsch liege, dann einfach meinen Post ignorieren.
grüsse
Ich bin auch Neuling mit ESXi, hatte aber das gleiche Problem.
Ich hatte das Management Network am Router angeschlossen und somit die Firewall über RED installiert. Die Firewall muss aber über das GREEN Interface installiert werden. So wie ich das sehe, ist das bei Dir auch das Problem.
myxir hat geschrieben:Eine zusätzliche Verständnisfrage: Mal angenommen der ESX hätte die Adresse192.168.199.20/24.
Unserem VM WAN Interface im pf haben wir die Adresse 192.168.199.21/24 gegeben.
edit:
Ja, hier hast Du den ESXi am WAN. Den ESXi bitte ins LAN nehmen... Für das Szenario brauchst Du aber mindestens 2 NICs (da Du die Firewall nicht über RED administrieren kannst).
An der ESXi Konsole habe ich dazu eine gewünschte GREEN Adresse konfiguriert. Dem vSphere Client hatte ich auch eine Adresse im gleichen Range (GREEN) gegeben. Den Host und den Client hatte ich direkt mit einem Netzwerkkabel verbunden, alles am vSwitch0. Als Gateway fungierte da wahrscheinlich noch der Client (eventuell DHCP Dienst auf dem Client aktivieren). Zur der Zeit hatte ich also kein Internet am Client und in den VMs, nur der Host war erreichbar. Dann habe ich die Firewall installiert.
Ist die Installation erfolgreich, sollte nun das Web Interface der FW erreichbar sein (auf GREEN). In der FW Konfiguration sollte man nun RED, ORANGE und BLUE konfigurieren können (zumindest bei der Endian FW ist das so). Dann hat der Client auch Internet, wenn die FW gestartet ist.
Ich habe auch zwei, drei Tage gebraucht, um das nachvollziehen zu können...
Kann sein, das ich damit falsch liege, dann einfach meinen Post ignorieren.
grüsse
Das Problem hatte ich auch mal.
Erstelle dazu mal testweise eine AllowAll Regel für WAN
Bild: http://oi44.tinypic.com/2ykga5g.jpg
Wenn dann ein Ping klappt, kannst Du nach und nach nur das erlauben, was gewollt ist.
MfG
Hape
Erstelle dazu mal testweise eine AllowAll Regel für WAN
Bild: http://oi44.tinypic.com/2ykga5g.jpg
Wenn dann ein Ping klappt, kannst Du nach und nach nur das erlauben, was gewollt ist.
MfG
Hape
-
slimriffer
- Member
- Beiträge: 1
- Registriert: 29.12.2011, 16:28
Zurück zu „vSphere 5 / ESXi 5 und 5.1“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste