Host only - Verständnisfrage

[HunterBKC]

Hallo zusammen,

ich habe vor eine virtuelle Testumgebung (bestehend aus einem SBS2003 und einem W2k3-DC) zu konfigurieren, die auf keinen Fall eine Verbindung in unser LAN erhalten darf.

Hierfür habe ich auf unserer Firewall ein eigenes Subnetz konfiguriert, sodass zumindest der Host eine Verbindung ins Internet herstellen kann.

Auf dem Host sollen oben genannte Guests (es handelt sich dabei um Klone aus unserer Produktivumgebung) in ihrem bekannten Subnet laufen.

Nun habe ich vor diese Guests als "Host only" zu konfigurieren, da ich lt. Handbuch doch mit dieser Konfiguration mein Vorhaben verwirklichen könnte. Nämlich das die Guests bei dieser Konfig in ihrem Netz bleiben.

Dies habe ich doch richtig verstanden, oder?

Des Weiteren würde mich interessieren, ob es möglich ist, bspw. Port 80, 53 und 443 für diese Umgebung freizugeben.

Danke und Gruß

Hunter

[mbreidenbach]

Host-Only heißt:
Die VMs in diesem Subnetz können miteinander kommunizieren.
Die VMs können mit dem Host kommunizieren.
Die VMs können NICHT mit anderen Systemen im Netz kommunizieren.

[HunterBKC]

Hi!

Erstmal danke für die Antwort!

Ok. So habe ich es dann auch verstanden.

Würde es denn eine Möglichkeit geben, eine Freigabe für besagte Ports zu konfigurieren?

Gruß

Hunter

[continuum]

was meinst du denn genau mit Freigabe in diesem Zusammenhang - ich denke die VMs sollen nicht im Netzwerk auftauchen ?

[HunterBKC]

Ich möchte es bspw. den Guests ermöglichen via HTTP auf´s Internet zu zugreifen, d.h es soll lediglich Port 80 freigegeben sein.

Wenn ich die Beschreibung lese, kann man dies wohl über Routing auf dem Host erreichen.

Gruß

Hunter

[continuum]

Aha - das hat ja nun mit Freigaben absolut nichts zu tun ...

reicht dir denn nicht vmnet8 ?
damit koennen die Gaeste ueber den Host ins Inet sind aber trotzdem im lokalen Netzwerk nicht zu erreichen

[HunterBKC]

Da gebe ich dir recht, ich hatte mich falsch ausgedrückt.

Heißt das nur über Port 80, oder könnten sie alle Ports, bswp. auch 25 usw. nutzen?

Ich könnte es natürlich an der Firewall entsprechend konfigurieren, dachte halt, man kann es mit dem angesprochenen Routing auf Host-Seite realisieren.

Gruß

Hunter

[rprengel]

Ich möchte es bspw. den Guests ermöglichen via HTTP auf´s Internet zu zugreifen, d.h es soll lediglich Port 80 freigegeben sein.

Wenn ich die Beschreibung lese, kann man dies wohl über Routing auf dem Host erreichen.

Gruß

Hunter

Setz die ein weiteres System mit 2 Karten auf. Einmal bridged und einmal host only.
Darauf packt du eine Firewall deiner Wahl (Ipcop/ Astaro oder was auch immer) und schon hast du ein sauberes Konstrukt.

Gruß

[HunterBKC]

Das hört sich doch gut an, so werde ich es machen.

Vielen Dank!

Gruß

Hunter

[rprengel]

Das hört sich doch gut an, so werde ich es machen.

Vielen Dank!

Gruß

Hunter

Noch als Tip:
Wenn du nach der Installation deine Firewall nicht erreichen kannst kann es sein das die virtuellen Netzwerkkarten falsch rum zugeordnet sind. Das sollte sich durch ein einafches tauschen der Karten bridged zu host only und umgekehrt lösen lassen.
Falls du eine fertige virtuelle Maschine benutzt kann es noch sein das die Netwzerkkarten warum auch immer zicken. Hier hilft häufig die Karten zu löschen und neu anzulegen.
Falls MAC-Adressen benötig werden: Die finden sich in der vmx-Datei des Systems.

Gruß

[HunterBKC]

Ok, danke. Ich habe mich für die IPcop-Lösung entschieden, da Freeware. Diese werde ich dann auf einer neuen VM installieren und entsprechend konfigurieren.

Gruß

Hunter

[rprengel]

Ok, danke. Ich habe mich für die IPcop-Lösung entschieden, da Freeware. Diese werde ich dann auf einer neuen VM installieren und entsprechend konfigurieren.

Gruß

Hunter

Astaro ist für privat use auf frei bzw. es gibt eine funktional reduzierte Version für den geschäftlichen Einsatz kostenlos.

Gruß

[HunterBKC]

Hört sich ja noch besser an

Wir haben eine Astaro Hardware-Appliance, von daher wäre ich schon mit der Konfig vertraut.

Gruß

Hunter

[rprengel]

Hört sich ja noch besser an

Wir haben eine Astaro Hardware-Appliance, von daher wäre ich schon mit der Konfig vertraut.

Gruß

Hunter

http://www.astaro.org/astaro-gateway-pr ... iness-use/
Nutze ich bei Kunden um definierte Systeme die raus ins Netz müssen zu schützen und als
Reserve-VPN wenn das normale VPN-System mal klemmt.
Das normale surfen läuft über einen Squid.

Gruß

[HunterBKC]

Ich stehe bei der Konfig leider etwas auf dem Schlauch...

Auf einer VM habe ich die Astaro installiert und zwei Netzwerk-Adapter (1x bridged und 1x Custom) hinzugefügt. Bei der Einrichtung habe ich der Astaro die IP 192.168.178.100 gegeben.

Die Custom-Einstellung (VMnet9) ist wie folgt:
Nur Host-only ausgewählt (Connect VMs internally in a private network)
Unter Subnet-IP habe ich folgendes eingetragen: 192.168.178.0 255.255.255.0

Auf einer weiteren VM habe ich Ubuntu installiert (im Ubuntu habe ich dem LAN-Adapter die 192.168.178.101 zugewiesen) und den Custom-Adapter (VMnet9) hinzugefügt.

Starte ich nun beide VMs und versuche über die Ubuntu-VM die Astaro zu erreichen (Ping auf die 192.168.178.100), erhalte ich keine Antwort.

Nehme ich bei der Astaro den Bridged-Adapter raus, klappt das auch mit dem Ping und ich komme auf das Webinterface der Astaro.

Wo liegt denn hier der Fehler? Der Bridged-Adapter soll ja schließlich für´s WAN genutzt werden.

Gruß

Hunter

[HunterBKC]

Habe ich die Antwort evtl. überlesen?

Noch als Tip:
Wenn du nach der Installation deine Firewall nicht erreichen kannst kann es sein das die virtuellen Netzwerkkarten falsch rum zugeordnet sind. Das sollte sich durch ein einafches tauschen der Karten bridged zu host only und umgekehrt lösen lassen.