Hetznerserver ESXI 5.5 nur eine NIC Router VM

[mcdaniels]

Hallo zusammen,
ich muss zugeben, dass ich bei diesem Thema wirklich anstehe. Vermutlich habe ich ein Verständnisproblem, oder ich habe die Funktionsweise der virtuellen NIC nicht korrekt verstanden.

Grundsätzlich habe ich einen Hetznerserver, der neben der IP, die bei Bestellung zugewiesen wurde noch eine zusätziche IP und ein zusätzliches Subnet zur Verfügung hat.

Das Subnet ist lt. Hetzner statisch auf die IP geroutet, die bei der Bestellung des Server zugeordnet worden ist.

Nun wollte ich mir im ESXI eine Router-VM erstellen und habe festgestellt, dass ich es trotz diverser Tutorials nicht verstehe.

Ich habe ja nur eine NIC (physisch) im Server. An der liegt momentan das Managementnetzwerk an vswitch0 (ich weiß, das ist so unsicher) + die IP die bei Bestellung vergeben wurde.

Damit nun aber zb Pfsense funktioniert, braucht man ja 2 NICs? (LAN und WAN)
Konfiguriert man hier dann einfach einen 2ten Switch ohne physischer NIC?

In diesem tollen Artikel (https://virtpro.eu/vmware-esxi-firewall-pfsense/) steht: Wir weisen die zuvor im ESXi angelegten vSwitches entsprechend zu.

Ja, aber wie konfiguriere ich eben diese VSwitches korrekt? Und wo vergebe ich nun welche IP?

Vielleicht könnt ihr mir hier weiterhelfen?

Danke!
LG
Daniel

[~thc]

Du hast nur eine physische NIC (vmnic0). Du hast zwei WAN-IPs, die Hetzner darauf leitet. An einer WAN-IP hängt das Management (vmk0). Die zweite ist ungenutzt.

Du willst eine Router-VM einrichten. Dann brauchst du zwei vNICs in der VM - diese müssen aber nicht zwingend an verschiedenen vSwitches (also an verschiedenen pNICs) hängen. Außerdem darfst du auch vSwitche erstellen, die keine pNIC haben (isolierter vSwitch).

Überleg dir also, welches Konstrukt das virtuelle Netz haben soll und wie die Verbindung zum WAN laufen soll.

[mcdaniels]

Hallo,
danke für deine Antwort.

Was ich nicht verstehe ist: Ich hänge das external Net (dass die zweite IP in pfsense bekommt) an einen Vswitch der keine Nic bekommt. Will ich dann von pfsense zb etwas im Internet anpingen, bekomme ich keine Antwort.

Ohne Nic kann ich ja auch nur keine Antwort bekommen, oder?

LG

[~thc]

Du hängst die pfSense-VM z.B. mit einer vNIC an den vSwitch0 und mit einer vNIC an einen isolierten vSwitch (vSwitch1). Der ersten vNIC gibst du die zweite WAN-IP. Ja, nicht wundern, an der einzigen pNIC deines Servers hängt jetzt eine VM mit einer IP und das Management mit der anderen IP.

[mcdaniels]

Ok danke, jetzt hab ich - wie du erwähnt hast- eine IP für das Management und die zweite IP für das "WAN" des pfsense.

Theoretisch gesehen bräuchte ich ja dann gar keine weiteren offiziellen IPs, wenn mir der pfsense dann eh ein NAT macht und kann die VMs dann an isolierte Switches hängen.

Pfsense muss dann halt auch an diesen isolierten Switches hängen. (LANPort)

Hoffe, ich liege richtig.

LG

[~thc]

Ja, das wird so funktionieren.

Ein Management-Port direkt im Internet ist nicht wirklich sicher. Du kannst das Management auch an einen isolierten vSwitch hinter der pfSense stellen und den Zugriff auf das virtuelle LAN (am isolierten Switch) z,B. per VPN regeln.

[mcdaniels]

Hi,
danke für deine Hilfe.

Ich habe vor ein VPN für das Management aufzuziehen.

Sollte ja auch per pfSense möglich sein.

Vielen Dank nochmals!

LG

[mcdaniels]

Hallo nochmals,
müssten sich 2 VMs die an einem isolierten Switch hängen (ohne NIC) anpingen können?
LG
Daniel

[JustMe]

Wenn sie im selben logischen Netzwerksegment liegen, schon.

Und selbstverstaendlich darf keine Firewall in den VMs ICMP requests/answers blockieren.