IPCop in VMWare - Netzwerk geht erst nach Host-Standby

[Grummbeerbauer]

Hallo,

ich benutze den freien VMWare Server, um einen IPCop (die Linux-Software-Firewall) auf meinem Windows-XP-Rechner zu betreiben. Ziel der Übung ist es, bei Bedarf einen ganzen Rechnerpark über eien DSL-Leitung ins Internet zu bekommen, ohne dafür einen dedizierten Rechner abstellen zu müssen (der Host ist ein altes Notebook und eh meist an).
Ich habe also in meiner virtuellen Maschine drei Netzwerkkarten (rot, orange, grün, wobei ich orange nicht benutze) alle mit bridged an das physische Netzwerk des Hosts gekoppelt. Eine der Karten nutze ich für die Verbindung zum DSL-Modem. Die VM ist auf automatischen Start konfiguiert.

Ich habe jetzt folgendes Problem: wenn ich den Host neu starte, startet die VM und ich kann mich auch über die Server-Console mit ihr verbinden. Der IPCop läuft. Allerdings ist routet er nicht, das Webinterface geht auch nicht. Vom IPCop selbst kann ich wunderbar beliebige Internetserver anpingen. Ein Neustart des IPCop in der VM bringt nichts.
Klingt soweit noch nach irgendeinem Fehler in meiner Netzwerkkonfiguration beim IPCop oder den Clients... und jetzt kommts:
Wenn ich dann entnervt das Notebook in Standby oder Ruhezustand schicke und es später wieder darauf aufwecke, funktioniert alles wie erwartet. IPCop routet, Webinterface da!

Kann mir irgendjemand einen Tipp geben, woran es liegen könnte? Irgendein Problem mit dem automatischen Start von VMWare und der Konnektierung der virtuellen Netzwerkkarten zum Host? Oder was ganz anderes? Bin für jeden Vorschlag dankbar.

[WaLu]

Du hast kein Problem mit VMware sondern mit dem Verständniss wie eine Firewall funkioniert. Siehe hier: http://de.wikipedia.org/wiki/Firewall

Eine Firewall soll das was sich hinter ihr befindet schützen. Im Fall des IPCop das "grüne" Netzwerk.

Internet-----Modem-----eth1(Notebook)eth0-----Restliches Netz

Das "rote" Netzwerk symbolisiert die böse Seite (Internet).

Du, baust aus einer "BrandMauer" eine Drehtür wo jeder dran vobeigehen kann wenn Du rot und grün (wo sich der Schutz zwischen befindet) symbolisch in den gleichen Switch steckst.
Du hast KEINEN SCHUTZ MEHR! Sorry, aber das kann man nicht groß genug schreiben.

Eine dedizierte Firewall ist immer noch die sicherste Lösung.

Wenn es denn unbedingt das Notebook und dann noch in einer VM-umgebung sein muss,
dann besorge Dir wenigstens noch einen zweiten Netzwerkadapter.
Entweder als Pcmcia oder als USB. Kostet heute nicht mehr die Welt..
Frag doch mal ebay nach "usb|pcmcia ethernet" -> ca. 10 - 20 Euronen.


Du bridged die "rote" Seite des IPCops auf die eine Netzwerkkarte und die "grüne" Seite auf die andere Netzwerkkarte.
Die "rote" Netzwerkkarte mit einem Crossoverkabel an das DSL-Modem.
Die "grüne" Netzwerkkarte kommt an den Switch mit den restlichen Rechnern.
Jetzt noch das TCP/IP Protokoll des Hosts für die "rote Karte" entfernen und Du kannst über "grün" halbwegs sicher mit dem Host Surfen gehen.
Fertig.


Gruß
WaLu

[Grummbeerbauer]

:roll: Du hast kein Problem mit VMware sondern mit dem Verständniss wie eine Firewall funkioniert. Siehe hier: http://de.wikipedia.org/wiki/Firewall

Ich habe sehr wohl ein Verständnis, wie eine Firewall funktioniert. Das eine Firewall in einer VM natürlich prinzipiell unsicherer ist (weil die Firewall über "rot" kompromitiert werden kann und es evtl. dank diverser Bugs in VMWare dann möglich ist, dass man aus der virtuellen Maschine ausbricht). Ich wollte hier aber keine Diskussion über die Sicherheits dieses Ansatzes führen.
Denn wenn die Firewall kompromitiert wird, kommt der Angreifer so oder so ins lokale Netz... ob das Ding ein stromfressender Alt-PC ist, oder in einer VM läuft.

Eine Firewall soll das was sich hinter ihr befindet schützen. Im Fall des IPCop das "grüne" Netzwerk.

Internet-----Modem-----eth1(Notebook)eth0-----Restliches Netz

Das "rote" Netzwerk symbolisiert die böse Seite (Internet).

Du, baust aus einer "BrandMauer" eine Drehtür wo jeder dran vobeigehen kann wenn Du rot und grün (wo sich der Schutz zwischen befindet) symbolisch in den gleichen Switch steckst.
Du hast KEINEN SCHUTZ MEHR! Sorry, aber das kann man nicht groß genug schreiben.

Ich glaube an der Erklärung merkt man, dass du nichts über Netzwerktechnologie weißt. Schonmal was vom OSI-Schichtemodell gehört?
Wenn man nämlich nur wie du es tust (phyische oder virtuelle) Netzwerkkabel betrachtet, kann man natürlich zu einem derartigen Schluss kommen, aber so einfach ist es nicht:

Der IPCop verbindet sich über das DSL-Modem mit einer PPPOE-Verbindung zum Provider... die potentiell "bösen" IP-Pakete sind also in Ethernet-Frames verpackt und wissen nichts von dem (logischen wie phyischen) Ethernet-Netzwerk (virtuelle Switch von VMWare das sie auf dem Weg zum IPCop passieren. Dort werden die IP-Pakte ausgepackt, auf die IPs des LANs umgeNATet und an die richtigen Rechner umverteilt... oder auch nicht, wenn sie von einer Firewall-Regel gefiltert werden.

Eine dedizierte Firewall ist immer noch die sicherste Lösung.

Siehe oben... ob eine virtuelle, reale Software- oder Hardware- Firewall kompromittiert wird, ist völlig gleich.

Wenn es denn unbedingt das Notebook und dann noch in einer VM-umgebung sein muss,
dann besorge Dir wenigstens noch einen zweiten Netzwerkadapter.
Entweder als Pcmcia oder als USB. Kostet heute nicht mehr die Welt..
Frag doch mal ebay nach "usb|pcmcia ethernet" -> ca. 10 - 20 Euronen.


Du bridged die "rote" Seite des IPCops auf die eine Netzwerkkarte und die "grüne" Seite auf die andere Netzwerkkarte.
Die "rote" Netzwerkkarte mit einem Crossoverkabel an das DSL-Modem.
Die "grüne" Netzwerkkarte kommt an den Switch mit den restlichen Rechnern.
Jetzt noch das TCP/IP Protokoll des Hosts für die "rote Karte" entfernen und Du kannst über "grün" halbwegs sicher mit dem Host Surfen gehen.
Fertig.

Nicht nötig, siehe oben.

Irgendeinen Vorschlag zu meinem eigentlichen Problem (eine halbtote, diskonnektierte VM, die nach dem Ruhezustand plötzlich funktioniert)?

[MSueper]

Hallo,
verifiziere mal, ob der Account auf dem XP-Host, unter dem die IPCop-VM läuft, zur Gruppe __VMWare__Users__ (oder so ähnlich gehört). Wenn dem nicht so ist, verschluckt sich das System manchmal an den Netzeinstellungen.
Martin

[Grummbeerbauer]

@MSueper

Ich melde mich relativ spät zurück... konnte mich ne Weile nicht um den Router kümmern (und nach Standby läuft er ja...). Jedenfalls habe ich die VM jetzt unter einem Account gestartet, der in der VMWARE_USERS-Gruppe ist. hat leider nix gebracht. Sonst irgendwelche Vorschläge? Vielleicht sollte ich mich einfach mal nach einem Update für VMWare umsehen.

Gruß

GBB