Hallo!
Dank der Hilfsbereitschaft hier in diesem Forum konnte ich heute u.a. meinen Hetznerserver mit ESXI 5.5 + pfsense zum Laufen bringen.
Auch mein VPN läuft, sodass ich eigentlich nun (bei aufgebauter VPN Verbindung) per LAN IP auf den vSphereClient komme.
Ich habe mir einen neuen Vswitch erstellt, einen VMKernelport drangehängt und den Verwaltungsverkehr aktiviert + eine entspr. IP aus dem LAN (fix) vergeben.
Danach habe ich das Managementnetzwerk, dass auf der offiziellen IP "gelauscht" hat gelöscht. (reicht das, denn funktionieren tut es per Client).
Sollte man das anders lösen, oder ist das ok so?
Vielen Dank!
LG
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Management Netzwerk auf anderen Vswitch verlegen
Hallo,
Danke für die Info, ich hab aber gleich nachdem es funktioniert hat die pfSense-VM in den Autostart geworfen.
Dennoch ist diese Konfiguration zwar "sicher", sollte aber pfSense nicht mehr starten, hat man sich aus dem ESXI ausgesperrt. SSH ist natürlich auch zu.
Dann hilft wohl nur noch eine kostenpfichtige Remotesitzung (zumindest in dieser Konfig bei Hetzner).
@irix: Danke für die Information.
LG
Daniel
Vorsicht: Ohne automatisch startende pfSense-VM ist das Management nicht erreichbar.
Danke für die Info, ich hab aber gleich nachdem es funktioniert hat die pfSense-VM in den Autostart geworfen.
Dennoch ist diese Konfiguration zwar "sicher", sollte aber pfSense nicht mehr starten, hat man sich aus dem ESXI ausgesperrt. SSH ist natürlich auch zu.
Dann hilft wohl nur noch eine kostenpfichtige Remotesitzung (zumindest in dieser Konfig bei Hetzner).
@irix: Danke für die Information.
LG
Daniel
-
- King of the Hill
- Beiträge: 12944
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Die und SSH(22/tcp) aber ich wuerde das vorher mal lokal testen wollen. Bei der Gelegenheit kann man auch einfach mal 2 VMKs machen in unterschiedlichen Subnetzen und macht dann einen NMAP Portscan und guckt mal was antwortet bzw. ob man sich per SSH/Browser/Client gleichwertig verbinden kann. Ich bin der Meinung das dem so ist.
Wenn man an den FW Regeln schraubt dann dokumentiere dir dies und mal vorher schlau machen ob und wie man die von der Kommandozeile im Notfall wieder resetet oder entfernt.
Gruss
Joerg
Wenn man an den FW Regeln schraubt dann dokumentiere dir dies und mal vorher schlau machen ob und wie man die von der Kommandozeile im Notfall wieder resetet oder entfernt.
Gruss
Joerg
Hallo,
ok werde ich mir anschauen.
Was ich mir gerade überlegt habe bzw. gerade getestet habe.
1 Managementnetzwerk mit einer LAN IP (auf einem vSwitch) das per VPN erreichbar ist und
1 Managemeentnetzwerk das auf der offiziellen IP lauscht (auf einem vSwitch) scheitert wohl daran, dass man nur einen Gateway angeben kann und sollte.
Sonst hätte man ja per Firewall für bestimmte IPs vom Internet her das Management aufmachen können und für den Einstieg mittels dynamischer IP Openvpn verwenden können.
Wird wohl u.U. auf das hier raus laufen: http://kb.vmware.com/selfservice/micros ... Id=2001426
LG
ok werde ich mir anschauen.
Was ich mir gerade überlegt habe bzw. gerade getestet habe.
1 Managementnetzwerk mit einer LAN IP (auf einem vSwitch) das per VPN erreichbar ist und
1 Managemeentnetzwerk das auf der offiziellen IP lauscht (auf einem vSwitch) scheitert wohl daran, dass man nur einen Gateway angeben kann und sollte.
Sonst hätte man ja per Firewall für bestimmte IPs vom Internet her das Management aufmachen können und für den Einstieg mittels dynamischer IP Openvpn verwenden können.
Wird wohl u.U. auf das hier raus laufen: http://kb.vmware.com/selfservice/micros ... Id=2001426
LG
mcdaniels hat geschrieben:1 Managementnetzwerk mit einer LAN IP (auf einem vSwitch) das per VPN erreichbar ist und
1 Managemeentnetzwerk das auf der offiziellen IP lauscht (auf einem vSwitch) scheitert wohl daran, dass man nur einen Gateway angeben kann und sollte.
Nicht unbedingt. Ich habe mehrere VPNs im Bridge-Mode laufen, die ermöglichen auch Geräte ohne Gateway-Eintrag zu warten - man ist im Bridge-Modus quasi selbst ein reguläres Mitglied des Subnetzes und kann mit allen kommunizieren.
Hi,
bridged VPN ok. Aber: Wenn mir da wieder die VM Ausfällt die das macht (zb PfSense), hab ich absolut keinen Zugriff mehr auf den ESXI, wenn das Managementnetzwerk eben nicht von extern erreichbar ist. Das ist nämlich der Punkt.
Wie "sicher" ist es eigentlich wenn man (wie ich momentan testweise) den vSphere Client + den SSH Server per ESXI Firewall nur für bestimmte IPs zugänglich macht?
Es müsste eine Variante geben a.) von extern erreichbar (unabhängig von der VM) und b.) möglichst sicher.
Man muss also damit leben, dass wenn die VM ausfällt die das VPN zur Verfügung stellt, keine normaler Zugriff mehr auf den ESXI möglich ist?
LG
bridged VPN ok. Aber: Wenn mir da wieder die VM Ausfällt die das macht (zb PfSense), hab ich absolut keinen Zugriff mehr auf den ESXI, wenn das Managementnetzwerk eben nicht von extern erreichbar ist. Das ist nämlich der Punkt.
Wie "sicher" ist es eigentlich wenn man (wie ich momentan testweise) den vSphere Client + den SSH Server per ESXI Firewall nur für bestimmte IPs zugänglich macht?
Es müsste eine Variante geben a.) von extern erreichbar (unabhängig von der VM) und b.) möglichst sicher.
Man muss also damit leben, dass wenn die VM ausfällt die das VPN zur Verfügung stellt, keine normaler Zugriff mehr auf den ESXI möglich ist?
LG
Ich hatte letztens den einmaligen Effekt, dass nach dem Einspielen eines ESXi-Patches die Management-Dienste nicht korrekt starteten. Ohne KVM-Sitzung wäre ich also an diesen Host überhaupt nicht mehr herangekommen.
Wir hatten hier im Forum auch schon Berichte von gehackten Servern mit leer geräumtem Datastore, deren Management im Internet hing (mit komplexem Kennwort).
Wenn du den IP-Bereich einschränkst, verkleinerst du die Angriffsfläche zwar erheblich, aber ich fahre eine solche Firewall-Konfiguration seit Jahren und habe auch schon böse Überraschungen erlebt, wenn der Provider dich plötzlich auf einen anderen IPv4-Bereich schiebt...
Fazit: Die Management-Dienste gehören nicht ins Web und mit den Nachteilen muss man sich irgendwie arrangieren.
Wir hatten hier im Forum auch schon Berichte von gehackten Servern mit leer geräumtem Datastore, deren Management im Internet hing (mit komplexem Kennwort).
Wenn du den IP-Bereich einschränkst, verkleinerst du die Angriffsfläche zwar erheblich, aber ich fahre eine solche Firewall-Konfiguration seit Jahren und habe auch schon böse Überraschungen erlebt, wenn der Provider dich plötzlich auf einen anderen IPv4-Bereich schiebt...
Fazit: Die Management-Dienste gehören nicht ins Web und mit den Nachteilen muss man sich irgendwie arrangieren.
Zurück zu „vSphere 5.5 / ESXi 5.5“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 9 Gäste