Das Forum wurde aktualisiert. Wurde höchste Zeit. Wenn etwas nicht funktioniert, bitte gerne hier jederzeit melden.

Management Netzwerk auf anderen Vswitch verlegen

Moderatoren: Dayworker, continuum, Tschoergez, irix

Member
Beiträge: 51
Registriert: 03.07.2013, 12:06

Management Netzwerk auf anderen Vswitch verlegen

Beitragvon mcdaniels » 28.10.2015, 18:56

Hallo!
Dank der Hilfsbereitschaft hier in diesem Forum konnte ich heute u.a. meinen Hetznerserver mit ESXI 5.5 + pfsense zum Laufen bringen.

Auch mein VPN läuft, sodass ich eigentlich nun (bei aufgebauter VPN Verbindung) per LAN IP auf den vSphereClient komme.

Ich habe mir einen neuen Vswitch erstellt, einen VMKernelport drangehängt und den Verwaltungsverkehr aktiviert + eine entspr. IP aus dem LAN (fix) vergeben.

Danach habe ich das Managementnetzwerk, dass auf der offiziellen IP "gelauscht" hat gelöscht. (reicht das, denn funktionieren tut es per Client).

Sollte man das anders lösen, oder ist das ok so?

Vielen Dank!
LG

Experte
Beiträge: 1955
Registriert: 23.02.2012, 12:26

Beitragvon ~thc » 28.10.2015, 21:22

Ja - das sieht erst mal gut aus.

Eventuell muss man die Management-Dienste (oder den ESXi) neu starten, damit die vmk0 wirklich inaktiv wird. Da bin ich mir nicht sicher.

Vorsicht: Ohne automatisch startende pfSense-VM ist das Management nicht erreichbar.

Jenseits von Gut & Böse
Beiträge: 11465
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Beitragvon irix » 28.10.2015, 21:37

IIRC macht die Checkbox [ ] Management einzig und alleine dem ESXi bekannt worueber er sein HA Heartbeats senden soll. Die Dienste binden sich wohl an alle VMKs Ports.

Gruss
Joerg

Member
Beiträge: 51
Registriert: 03.07.2013, 12:06

Beitragvon mcdaniels » 29.10.2015, 07:45

Hallo,
Vorsicht: Ohne automatisch startende pfSense-VM ist das Management nicht erreichbar.


Danke für die Info, ich hab aber gleich nachdem es funktioniert hat die pfSense-VM in den Autostart geworfen.

Dennoch ist diese Konfiguration zwar "sicher", sollte aber pfSense nicht mehr starten, hat man sich aus dem ESXI ausgesperrt. SSH ist natürlich auch zu.

Dann hilft wohl nur noch eine kostenpfichtige Remotesitzung (zumindest in dieser Konfig bei Hetzner).

@irix: Danke für die Information.

LG
Daniel

Jenseits von Gut & Böse
Beiträge: 11465
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Beitragvon irix » 29.10.2015, 08:11

Unter Host->Configuration->Security Profile erreichst du die FW des ESXi und man koennte hinterlegen von welcher IP/Subnetz du div. Services nur ansprechen kannst.

Gruss
Joerg

Member
Beiträge: 51
Registriert: 03.07.2013, 12:06

Beitragvon mcdaniels » 29.10.2015, 09:26

Hi,

würde es hier reichen, die Regel für den vSphereClient (902,443) anzupassen?

LG
Daniel

Jenseits von Gut & Böse
Beiträge: 11465
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Beitragvon irix » 29.10.2015, 10:12

Die und SSH(22/tcp) aber ich wuerde das vorher mal lokal testen wollen. Bei der Gelegenheit kann man auch einfach mal 2 VMKs machen in unterschiedlichen Subnetzen und macht dann einen NMAP Portscan und guckt mal was antwortet bzw. ob man sich per SSH/Browser/Client gleichwertig verbinden kann. Ich bin der Meinung das dem so ist.

Wenn man an den FW Regeln schraubt dann dokumentiere dir dies und mal vorher schlau machen ob und wie man die von der Kommandozeile im Notfall wieder resetet oder entfernt.

Gruss
Joerg

Member
Beiträge: 51
Registriert: 03.07.2013, 12:06

Beitragvon mcdaniels » 29.10.2015, 10:47

Hallo,
ok werde ich mir anschauen.

Was ich mir gerade überlegt habe bzw. gerade getestet habe.

1 Managementnetzwerk mit einer LAN IP (auf einem vSwitch) das per VPN erreichbar ist und
1 Managemeentnetzwerk das auf der offiziellen IP lauscht (auf einem vSwitch) scheitert wohl daran, dass man nur einen Gateway angeben kann und sollte.

Sonst hätte man ja per Firewall für bestimmte IPs vom Internet her das Management aufmachen können und für den Einstieg mittels dynamischer IP Openvpn verwenden können.

Wird wohl u.U. auf das hier raus laufen: http://kb.vmware.com/selfservice/micros ... Id=2001426

LG

Experte
Beiträge: 1955
Registriert: 23.02.2012, 12:26

Beitragvon ~thc » 29.10.2015, 16:45

mcdaniels hat geschrieben:1 Managementnetzwerk mit einer LAN IP (auf einem vSwitch) das per VPN erreichbar ist und
1 Managemeentnetzwerk das auf der offiziellen IP lauscht (auf einem vSwitch) scheitert wohl daran, dass man nur einen Gateway angeben kann und sollte.


Nicht unbedingt. Ich habe mehrere VPNs im Bridge-Mode laufen, die ermöglichen auch Geräte ohne Gateway-Eintrag zu warten - man ist im Bridge-Modus quasi selbst ein reguläres Mitglied des Subnetzes und kann mit allen kommunizieren.

Member
Beiträge: 51
Registriert: 03.07.2013, 12:06

Beitragvon mcdaniels » 29.10.2015, 20:38

Hi,
bridged VPN ok. Aber: Wenn mir da wieder die VM Ausfällt die das macht (zb PfSense), hab ich absolut keinen Zugriff mehr auf den ESXI, wenn das Managementnetzwerk eben nicht von extern erreichbar ist. Das ist nämlich der Punkt.

Wie "sicher" ist es eigentlich wenn man (wie ich momentan testweise) den vSphere Client + den SSH Server per ESXI Firewall nur für bestimmte IPs zugänglich macht?

Es müsste eine Variante geben a.) von extern erreichbar (unabhängig von der VM) und b.) möglichst sicher.

Man muss also damit leben, dass wenn die VM ausfällt die das VPN zur Verfügung stellt, keine normaler Zugriff mehr auf den ESXI möglich ist?

LG

Experte
Beiträge: 1955
Registriert: 23.02.2012, 12:26

Beitragvon ~thc » 30.10.2015, 09:01

Ich hatte letztens den einmaligen Effekt, dass nach dem Einspielen eines ESXi-Patches die Management-Dienste nicht korrekt starteten. Ohne KVM-Sitzung wäre ich also an diesen Host überhaupt nicht mehr herangekommen.

Wir hatten hier im Forum auch schon Berichte von gehackten Servern mit leer geräumtem Datastore, deren Management im Internet hing (mit komplexem Kennwort).

Wenn du den IP-Bereich einschränkst, verkleinerst du die Angriffsfläche zwar erheblich, aber ich fahre eine solche Firewall-Konfiguration seit Jahren und habe auch schon böse Überraschungen erlebt, wenn der Provider dich plötzlich auf einen anderen IPv4-Bereich schiebt...

Fazit: Die Management-Dienste gehören nicht ins Web und mit den Nachteilen muss man sich irgendwie arrangieren.


Zurück zu „vSphere 5.5 / ESXi 5.5“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast