ESXi 6.0 DMZ aufbauen

[TWART016]

Hallo Support,

ich habe einen Intel NUC mit einer NIC. Ist es möglich damit eine DMZ aufzubauen?

Mein Ziel ist folgendes
Intern: 2-3 VM's
DMZ: VPN, private Cloud, 2-3 weitere Linux Server

Ist das mit einem ESXi Host mit einer NIC möglich?

Oder was wird benötigt? Firewall als VM auf NUC, 2. NIC, …?


Gruß
TWART016

[rprengel]

Hallo Support,

ich habe einen Intel NUC mit einer NIC. Ist es möglich damit eine DMZ aufzubauen?

Mein Ziel ist folgendes
Intern: 2-3 VM's
DMZ: VPN, private Cloud, 2-3 weitere Linux Server

Ist das mit einem ESXi Host mit einer NIC möglich?

Oder was wird benötigt? Firewall als VM auf NUC, 2. NIC, …?


Gruß
TWART016

Grunsätzlich ja
Die physikalische Karte sorgt für die Anbindung ans Internet, alles weitere läuft mit virtuellen Netzen.
Ob dein ESX Host das stemmen kann ist ein anderes Thema.
ALs Firewall empfehle ich ipcop oder eine Sophos UTM.
Gruss

[TWART016]

Hallo Support,
Grunsätzlich ja
Die physikalische Karte sorgt für die Anbindung ans Internet, alles weitere läuft mit virtuellen Netzen.
Ob dein ESX Host das stemmen kann ist ein anderes Thema.
ALs Firewall empfehle ich ipcop oder eine Sophos UTM.
Gruss

Genügt also eine SW Firewall, oder wird eine zweite NIC unbedingt benötigt?
Firewall meist du sicherlich virtuell? Der gesamt Traffic muss dann über die FW laufen, wie konfiguriert man das für die Clients?
Die hier?
https://www.sophos.com/de-de/products/f ... ition.aspx

16GB RAM müsste kein Problem sein, ein aktueller i5 genügt hoffentlich. Oder was meinst du mit der Performance?

[rprengel]

Genügt also eine SW Firewall, oder wird eine zweite NIC unbedingt benötigt?
Firewall meist du sicherlich virtuell? Der gesamt Traffic muss dann über die FW laufen, wie konfiguriert man das für die Clients?
Die hier?
https://www.sophos.com/de-de/products/f ... ition.aspx

16GB RAM müsste kein Problem sein, ein aktueller i5 genügt hoffentlich. Oder was meinst du mit der Performance?

Hallo,
eine physikalische Karte reicht.
Dazu packst du dann noch 2 virtuelle Netzwerkkarten für eine DMZ und das interne Netz. Was gerne passiert das die Netzwerkarten in den VMs verwechselt werden und sich Einsteiger wurdern warum nichts geht.
Der UTM Link passt. Bis 50 IPs frei. Nur darauf aichte das bei der Installtion die richtige Karte als externes Devoce ausgewählt wird.
Die Werte des Systems sollten für eine erste Runde erst mal reichen wenn du nicht richtig Last erzeugst.
Vorschlag:
Bau eine UTM mit 2 Karten . Extern und intern. Dann setzt du eine kleine Linux-Büchse auf und sorgst dafür das du mit ihr surfen kannst.
Wenn das klappt baust du in der UTM eine weitere virtuelle Karte Karte als DMZ interface ein und setzt da eine weiter kleine Linux-Büchse für Tests rein.

Gruss

[TWART016]

eine physikalische Karte reicht.
Dazu packst du dann noch 2 virtuelle Netzwerkkarten für eine DMZ und das interne Netz. Was gerne passiert das die Netzwerkarten in den VMs verwechselt werden und sich Einsteiger wurdern warum nichts geht.

Wie muss das im vSphere Client konfiguriert werden? 2.Netzwerk mit eigenem Switch und angegebenen NIC? Werden VLANs benötigt? GIbt es dazu eine Anleitung? Wie kann später die Regeln zwischen den Maschinen konfiguriert werden. Mit VMWare Funktionen oder virtuelle Firewall?

Der UTM Link passt. Bis 50 IPs frei. Nur darauf aichte das bei der Installtion die richtige Karte als externes Devoce ausgewählt wird.
Die Werte des Systems sollten für eine erste Runde erst mal reichen wenn du nicht richtig Last erzeugst.
Vorschlag:
Bau eine UTM mit 2 Karten . Extern und intern. Dann setzt du eine kleine Linux-Büchse auf und sorgst dafür das du mit ihr surfen kannst.
Wenn das klappt baust du in der UTM eine weitere virtuelle Karte Karte als DMZ interface ein und setzt da eine weiter kleine Linux-Büchse für Tests rein.

UTM mit 2 Karten, also 2 virtuelle oder 2 Hardware?
Ist die richtige Karte für die UTM die DMZ? Muss die Firewall nicht auch die interne für den Zugriff besitzen oder wird die Firewall nur von außen nach innen konfiguriert. Ist intern-intern auch ein Regelsatz möglich? Wenn ja, was muss am Netzwerk angepasst werden?

[rprengel]

eine physikalische Karte reicht.
Dazu packst du dann noch 2 virtuelle Netzwerkkarten für eine DMZ und das interne Netz. Was gerne passiert das die Netzwerkarten in den VMs verwechselt werden und sich Einsteiger wurdern warum nichts geht.

Wie muss das im vSphere Client konfiguriert werden? 2.Netzwerk mit eigenem Switch und angegebenen NIC? Werden VLANs benötigt? GIbt es dazu eine Anleitung? Wie kann später die Regeln zwischen den Maschinen konfiguriert werden. Mit VMWare Funktionen oder virtuelle Firewall?

Der UTM Link passt. Bis 50 IPs frei. Nur darauf aichte das bei der Installtion die richtige Karte als externes Devoce ausgewählt wird.
Die Werte des Systems sollten für eine erste Runde erst mal reichen wenn du nicht richtig Last erzeugst.
Vorschlag:
Bau eine UTM mit 2 Karten . Extern und intern. Dann setzt du eine kleine Linux-Büchse auf und sorgst dafür das du mit ihr surfen kannst.
Wenn das klappt baust du in der UTM eine weitere virtuelle Karte Karte als DMZ interface ein und setzt da eine weiter kleine Linux-Büchse für Tests rein.

UTM mit 2 Karten, also 2 virtuelle oder 2 Hardware?
Ist die richtige Karte für die UTM die DMZ? Muss die Firewall nicht auch die interne für den Zugriff besitzen oder wird die Firewall nur von außen nach innen konfiguriert. Ist intern-intern auch ein Regelsatz möglich? Wenn ja, was muss am Netzwerk angepasst werden?

Fang doch einfach mal an und probiere ein wenig herum. Das ist eine gute Einsteigerübung und hilft dir dein Wissen zu vertiefen.
Habe gestern einem Praktikanten dein Setting als Aufgabe mit gegeben. Lies eine wenig, überlege ein wenig und teste ein wenig. So lernt man eine ganze Menge.
Zur Firewall:
Alles wird erst mal innerhalb der VMs geregelt und jedez Netzwerk bekommt eine eigene Konfiguration im ESX, egal ob mit einer physikalischen Karte oder nicht.

Gruss

[TWART016]

Fang doch einfach mal an und probiere ein wenig herum. Das ist eine gute Einsteigerübung und hilft dir dein Wissen zu vertiefen.
Habe gestern einem Praktikanten dein Setting als Aufgabe mit gegeben. Lies eine wenig, überlege ein wenig und teste ein wenig. So lernt man eine ganze Menge.
Zur Firewall:
Alles wird erst mal innerhalb der VMs geregelt und jedez Netzwerk bekommt eine eigene Konfiguration im ESX, egal ob mit einer physikalischen Karte oder nicht.

Dann spiele ich mal ein bisschen herum wenn ich mal wieder Zeit habe
Würde das auch ohne Firewall, nur mit VMWare Einstellungen funktionieren?

Ist auch eine Bild bzw. Tonausgabe von einem Host aus möglich, wenn der Server per HDMI an einen TV angeschlossen ist? Ziel ist das Nutzen von Kodi (XMBC) oder eines Musikservers, z.B. Logitech Media Server.

[Dayworker]

Zu Bild- und Tonausgabe bei Direktanschluß am ESXi-Server sage ich JEIN. Du müßtest dafür PCI- oder PCIe-HW per PCI-Passthrough bzw VMdirectPathIO an das Gast-OS durchreichen. Passthrough ist aber mit einigen Einschränkungen verbunden und zudem müssen dafür sowohl die HW als auch SW gut zusammenspielen. Speziell das Durchreichen einer Graka an ein Gast-OS ist jedoch die ganz hohe Schule, die meist komplett scheitert. Selbst mit Server-HW kann das genauso scheitern, wie du in meinem Thread Testprojekt: ESXi als Workstation benutzen nachlesen kannst. Mit etwas Glück kann man zumindest einen Raidcontroller per Passthrough durchreichen und der arbeitet nachher auch fehlerfrei.

Da du jetzt auch noch mit einem i5 ums Eck kommst, dürfte eher keine Server-HW sondern eher ein sogenanntes Whitebox-System zum Einsatz kommen und das kann zusätzlich für Probleme sorgen. Desktop-HW wird in aller Regel eben nicht auf einwandfreie Funktion für PCI-Passthrough getestet, da das für normalen Desktop- sprich Office-Einsatz einfach nicht gebraucht wird.



[add]
Kodi kann jedoch meines Wissens auch ins Netzwerk streamen und diesen Stream könntest du dann wiedergeben.

[TWART016]

Da du jetzt auch noch mit einem i5 ums Eck kommst, dürfte eher keine Server-HW sondern eher ein sogenanntes Whitebox-System zum Einsatz kommen und das kann zusätzlich für Probleme sorgen. Desktop-HW wird in aller Regel eben nicht auf einwandfreie Funktion für PCI-Passthrough getestet, da das für normalen Desktop- sprich Office-Einsatz einfach nicht gebraucht wird.

Bildausgabe ist eigentlich nur optional, da habe ich technisch andere Möglichkeiten. Hört sich nicht einfach an und ist für den Produktiveinsatz nicht zu gebrauchen.

Soundausgabe wäre jedoch nicht schlecht. Ist es möglich über HDMI Audiosignale weiterzuleiten (an AVR), optional per Klinke?

[Dayworker]

Der HDMI-Anschluß muß ja von irgendwoher mit Signalen versorgt werden und dieses Gerät müßtest du dann per PCI-Passthrough durchreichen. Wenn du mit Klinke oder Optisch arbeiten willst, müßtest du den Soundchip durchreichen.

[MightyDetail]

Falls alle Stricke reißen kaufst du dir eine USB Soundkarte und reichst sie einer VM durch. Das sollte zu 99% funktionieren.

[TWART016]

Ich habe jetzt ein wenig rumprobiert, es will aber nicht so klappen.

Stelle ich für die virtuellen Netzwerkadapter VM Network und DMZ 2 unterschiedliche VLANs ein, funktioniert die Kommunikation nicht mehr. Muss ich das über die UTM realisieren, oder geht es auch ohne? Von den IPs wurde ansonsten nichts geändert.

[~thc]

Könntest du mal mit einem Diagramm (Screenshot, ASCII-Art im "Code"-Block oder Handzeichnung) und einem Screenshot der ESXi-Netzwerkkonfiguration erläutern, was du eigentlich erreichen willst?

[rprengel]

Ich habe jetzt ein wenig rumprobiert, es will aber nicht so klappen.

Stelle ich für die virtuellen Netzwerkadapter VM Network und DMZ 2 unterschiedliche VLANs ein, funktioniert die Kommunikation nicht mehr. Muss ich das über die UTM realisieren, oder geht es auch ohne? Von den IPs wurde ansonsten nichts geändert.

Hallo,

wieso Vlans?
Bau einfach ein einfaches Netz Schritt für Schritt auf.
Nach jedem Schritt testen ob die Systeme per ping auf die IP erreichbar sind.
Per IP damit du nicht durch DNS Probleme auf eine falsche Spur gelockt wird,

Gruss

[mbreidenbach]

Ich habe jetzt ein wenig rumprobiert, es will aber nicht so klappen.

Stelle ich für die virtuellen Netzwerkadapter VM Network und DMZ 2 unterschiedliche VLANs ein, funktioniert die Kommunikation nicht mehr. Muss ich das über die UTM realisieren, oder geht es auch ohne? Von den IPs wurde ansonsten nichts geändert.

Was heißt 'IP nicht geändert ?' Das sind getrennte Subnetze und irgendwer muß dazwischen routen und das ist (falls man nicht NSX einsetzt) jedenfalls nicht der ESXi. VLANs kann man zur Trennung von Subnetzen einsetzen wenn man z.B. mehrere Subnetze auf einem Netzwerkswitch haben möchte; ich hab da 3 im Lab und da sind VLANs praktisch und das spart dann ja auch physikalische NICs im ESXi wenn man zum Switch VLAN Trunk machen kann.

Funktioniert bei mir mit Sophos UTM ganz gut. Kann aber auch IPCOP oder irgendwas anderes sein; hatte da früher mal eine SuSE mit handgeklöppelten IPTABLES.

[Santa]

Der Sinn einer DMZ ist ja gerade, daß eben nicht alles dorthin geroutet, sondern gefiltert und ggf. genattet wird.
Eine Sophos oder UTM hat bei Defaultinstallagion midestens drei Netzwerke (extern/intern/DMZ bzw. red/green/orange, ggf noch blue für WLAN) und macht genau das.

[TWART016]

Ich habe jetzt ein bisschen getestet.

Mein derzeitiger Aufbau:

UTM: 192.168.178.100
Client 1: 192.168.178.35, VLAN1, Internal
Client 2: 192.168.1.36, VLAN10, DMZ

Von Internal komme ich in die DMZ. Vom DMZ Client kann ich jedoch nicht mal das GW 192.168.1.1 pingen.

Im Live Log bei der Firewall kommen nur drops nach extern, aber kein internet Traffic. Firewall Regeln funktionieren auch nicht. Testen bringt nichts, da auch im Log nichts auftaucht. Selbst eine any any Regel greift nicht.

Bei der Installation der UTM kam der Hinweis, dass 2 NICs notwendig sind, um die Firewall zu benutzen.

Alle Clients sowie die UTM haben im ESX die Nettwerkkarte von der DMZ.

Wo kann der Fehler liegen?

[rprengel]

Ich habe jetzt ein bisschen getestet.

Mein derzeitiger Aufbau:

UTM: 192.168.178.100
Client 1: 192.168.178.35, VLAN1, Internal
Client 2: 192.168.1.36, VLAN10, DMZ

Von Internal komme ich in die DMZ. Vom DMZ Client kann ich jedoch nicht mal das GW 192.168.1.1 pingen.

Im Live Log bei der Firewall kommen nur drops nach extern, aber kein internet Traffic. Firewall Regeln funktionieren auch nicht. Testen bringt nichts, da auch im Log nichts auftaucht. Selbst eine any any Regel greift nicht.

Bei der Installation der UTM kam der Hinweis, dass 2 NICs notwendig sind, um die Firewall zu benutzen.

Alle Clients sowie die UTM haben im ESX die Nettwerkkarte von der DMZ.

Wo kann der Fehler liegen?

Hallo,
der Fehler liegt im mangelsen Wissen und fehlender Sytstematik.
Die UTM braucht 2 Netzwerkkarten um als Firewall zu funktionieren. Eine raus ins Internet und eine zweite für die Verbindung nach innen. ARbeitest du nur mit virtuellen System reicht eine echte Netzwerkkarte für die Anbindung ans Internet und der Rest ist dann virtuell.
Du brauchts keine Vlans sondern virtuelle Swichte und Pings auf die Astaro kommen nicht zurück da die UTM die per default blockt.
Also Schritt virtuelle UTM
Schritt 2 ein virtuelles System auf dem gleichen ESX Host das als internes System fungiert. Wenn das System surfen kann Schritt 3 Astaro mit einer zusätzlichen dritten auch virtuellen Netzwerkkarte ausstatten und im letzen Schritt dann ein System für die DMZ aufsetzten.
DIe Astaro UTM blockt von Haus aus erst mal einiges ab du kannst per Webinterface uaf der Astaro bzw. remote per ssh testen ob die Astaro selber alle Systeme per IP anpingen kann.
Ist halt nichts triviales und braucht schon ein gesundes Wissen und den Biss viel zu lernen und zu testen:
Gruss

[TWART016]

Ich habe jetzt ein bisschen getestet.
der Fehler liegt im mangelsen Wissen und fehlender Sytstematik.

Das denke ich auch

Arbeitest du nur mit virtuellen System reicht eine echte Netzwerkkarte für die Anbindung ans Internet und der Rest ist dann virtuell.
Du brauchts keine Vlans sondern virtuelle Swichte und Pings auf die Astaro kommen nicht zurück da die UTM die per default blockt.

Genau das ist das Ziel.
Wenn ich einen neuen Switch (vSwitch1) anlege kann ich jedoch keine NIC mehr hinterlegen, da sie bereits "verbraucht" ist.
Somit kann keine Verbindung ins Netz aufgebaut werden.

[rprengel]

Ich habe jetzt ein bisschen getestet.
der Fehler liegt im mangelsen Wissen und fehlender Sytstematik.

Das denke ich auch

Arbeitest du nur mit virtuellen System reicht eine echte Netzwerkkarte für die Anbindung ans Internet und der Rest ist dann virtuell.
Du brauchts keine Vlans sondern virtuelle Swichte und Pings auf die Astaro kommen nicht zurück da die UTM die per default blockt.

Genau das ist das Ziel.
Wenn ich einen neuen Switch (vSwitch1) anlege kann ich jedoch keine NIC mehr hinterlegen, da sie bereits "verbraucht" ist.
Somit kann keine Verbindung ins Netz aufgebaut werden.

Hallo,
du musst nicht unbedingt eine Netzwerkkarte zuweisen. Einfach weiter klicken im Dialog.
Ach ja:
Das "Das denke ich auch " statt hier herum zu pampen weil nichts geht wird den einen oder anderen hier dazun bringen deine Fragen sehr aufmerksam zu beobachten.
Ich schicke dir noch eine PM
Gruss