VMware-Forum

Hallo allerseits,
ich möchte für den privaten Gebrauch eine Firewall Virtualisieren um auf der selben Kiste an einer virtuellen Netzwerkkarte eine DMZ mit lokalem Mailserver zu betreiben. Den Sicherheitsaspekt habe ich bedacht, jedoch wiegen die Stromkosten für einen extra PC im privaten Umfeld höher als das die Lösung nicht "lupenrein" ist.

Der Rechner hat 2 Netzwerkkarten
eth1 -> vmnet0 -> zum DSL
eth0 -> vmnet2 -> zum internen Netz
hostonly -> vmnet3 -> virtuelle DMZ

Mit der Konfiguration und einer Untangle Firewall hab ich mein Glück versucht, jedoch kann ich weder aus der DMZ ins Internet funken, noch aus dem lokalem Netz zur DMZ. Die DMZ kann einzig und alleine den Untangle anpingen.

Meine Frage an alle die etwas ähnliches schon mal gemacht haben.
Muß die virtuelle Netzwerkkarte für die virtuelle DMZ "hostonly" oder "nat" sein?
Und muß ich dann für den Server eine IP aus dem Bereich wählen den Vmware für die Virtuelle Karte gewählt hat (also wenn VMware 172.16.219.0 vergeben hat z.B. die 172.16.219.1 für den Mailserver) oder kann ich da ein eigenes Klasse C Netz wählen, hauptsache es ist anders als mein internes?

Vielen Dank allen die mir dabei helfen können
Gruß
Burelli

Hallo!
Du kannst die VM-Net plätze wie virtuelle Switches betrachten. Es gelten die gleichen regeln für ein Netzwerkaufbau als würdest du dies mit Hardwaremäßig von einander getrennten Servern machen.
Somit nutze ein nicht benutzten Switch (vmnet)!

MfG

Hallo mister-man
Danke für Die Antwort.

Nur eine Nachfrage: Muß die vmnet für die virtuelle DMZ "hostonly" oder "nat" sein? Wenn ich das Vmwarekonzept richtig verstanden habe wohl "hostonly" oder?

Gruß

Hier die Übersetzungen der Modi:

„Use bridged networking“: Mit dieser Standardvorgabe verhält sich der virtuelle PC im Netz wie ein eigenständiger PC mit eigener Netzwerkkarte. Im Netz muss sich für die Internet-Verbindung beispielsweise ein DSL-Modem, ein Switch, ein Access Point oder ein PC („Internetverbindungsfreigabe“) vorzugsweise mit automatischer Vergabe von IP-Nummern per DHCP befinden. Ihr Gast-System konfigurieren Sie entsprechend den Einstellungen der anderen PCs im Netzwerk.

„Use network address translation (NAT)“: Ist diese Option aktiv, teilen sich Host- und Gast-Rechner die Netzverbindung. Die virtuelle Maschine bekommt ihre IP-Nummer vom VMware DHCP-Server, ist vom übrigen Netzwerk aus nicht erreichbar und kann eine vom Host-PC aufgebaute Internet-Verbindung (DSL, ISDN, Modem) mitbenutzen.

„Use host-only networking“: Mit dieser Einstellung können Sie nur zwischen Host- und Gast-System eine Netzwerkverbindung aufbauen, beispielsweise für den Datenaustausch. Eine Verbindung des Gast-Systems über den Host zum Internet ist nicht möglich.

Bedeutet du musst Nat wählen und du hast ein kleines virtuelles Netzwerk.

Hallo Burelli,

kennst Du diese Seite?:
http://www.vmaschinen.de/cgi-bin/vmware.cgi?netzwerk

Gruss
Herbert

Dank euch zweien für die Antworten,

die Seite von Sven Ahnert kannte ich zwar, aber es war Ewigkeiten her das ich mir das mal genauer angesehen hatte. Das hab ich nun nachgeholt und bin jetzt in der Zwickmühle.

Also NAT wie mister-man es vorschlägt sollte es nach meinem jetzigen Verständnis gerade nicht sein. Denn die IP die da geteilt wird, ist ja die des Wirtsystems. Das Wirtsystem soll ja aber unsichtbar in den Hintergrund verschwinden und nur die VMs hosten, von denen eine VM als Firewall per "bridged networking" an beide reellen Netzwerkkarten gebunden ist. Eine weitere VM soll als xy-Server per virtueller Netzkarte in der DMZ der Firewall laufen. Das an die DMZ gebundene Vmware Interface müsste also "host-only" sein. Bleibt ja nichts anderes mehr übrig.

Aber bei dem Aufbau kann ich weder die VM in der DMZ erreichen, noch von der DMZ-VM aus das Internet.

Rein hypotetisch aber sollte der Aufbau doch so funktionieren und die Firewall das Routing übernehmen? Liegt es also wahrscheinlich nur an der Firewall-Software und deren Einstellungen?

Vielleicht könnt ihr ja nochmal sagen ob ihr das prinzipiell auch so sehen würdet. Und vielleicht hat ja Jemand hier etwas änliches schonmal gebaut und kann seine Erfahrungen damit schildern.

Bsten dank und Gruß
Burelli


###EDIT###
Hat sich erledigt. Es lag (und liegt) an der Untangle Lösung. Mit Endian und einem Mailserver an einem host-only Nic in der DMZ luppts

Hallo

Ich benutze VMware Server 1.0.7 und Endian 2.1 .
Ich habe in einer VM die Endian laufen (mit 2 NICs) und möchte in einer 2ten VM ebenfalls einen DMZ Host einrichten . Leider klappt dies nicht . Sobald ich eine dritte Karte in die Endian hänge , wählt diese sich nicht mehr ein .

Kannst du deine genauen Netzwerk Einstellungen für die Endian VM und die DMZ VM hier posten ?

Brauche ich eine dritte NIC im Hostsystem ?


viele Grüße
tkbeat

OK Problem geloest .

Ich habe die NIC 3 der Endian VM an einen unbenutzten vswitch5 gehengt ...ebenso die NIC der DMZ VM . In der Endian habe ich die DMZ eingerichtet .

Problem war das in der DMZ ein falsches Gateway (das normale von GREEN und nicht das DMZ Gateway ORANGE ) angegeben war .

Nun funktioniert es wie geplant .