Monowall in VMWARE

[mister-man]

Hallo!
Ich weiß das dies hier kein Monowallforum ist, aber ich stelle trotzdem einmal die Frage, da sich hir ja auch viele Netzwerkesxperten tummeln.

Ich habe einen VMWARE Server 2 und habe darauf eine MonowallVM laufen. Diese soll als DHCP Server im Virtuellen Lan agieren (was bereits funktioniert) und als Firewall für die VMs nach außen.

IP Adressen Übersicht:
Heimnetz: 192.168.11.0 \24 (Bright)
Virtuelles Netz 1 (HostOnly): 192.168.50.0 \24
Virtuelles Netz 2 (HostOnly): 192.168.51.0 \24

Die Kommunikation zwischen VNetz1 und VNetz2 klappt einwandfrei.
Die Kommunikation von VNet1 und VNet2 ins Internet klappt auch, da der WAN Port der VM ja via DHCP eine IP und ein Gateway erhalten haben.

Nun komm ich zu meinem Problem.
Ich kann nicht auf einen Server der im VNet1 liegt (192.168.50.100) von meinem Heimnetz aus zugreifen (192.168.11.x).
Zu machen wäre dies, wenn ich in dem Router eine Statische Route in die beiden Netze lege, aber dies ist zwar in meinem Heimnetz möglich, aber in anderen Netzen in dem Ich keinen Routerzugriff habe nicht.
Ist es möglich dass die Monowall sich selber über das WAN Interface den PC bekannt macht, oder gibt es eine andere Möglichkeit dies zu lösen an dem Server oder mit einer VM??

Hir dann nochmal ein Bild zum leichteren Verständniss:



Ich bedanke mich im vorraus MfG

[continuum]

Hi
ich verwende selber die monowall als VM werde aber aus deinem screenshot nicht schlau - soll die rote Mauer die monowall sein ?

verwendest du wirklich 2 hostonly networks oder ist vmnet2 ein "guestonly" network ?

[mister-man]

Hallo!
Die Rote mauer ist die Monowall, hätte ich vill dabei schreiben sollen.
Die beiden Netzwerke sollen GustOnly sin, aber soweit ich weiß, kann der VMWARE Server das nicht oder? Deswegen nehme Ich Hostonly.
Wenn es anders seien sollte berichtige mich bitte.
Hoffe die Infos helfen meine Frage zu beantworten.

MfG

[continuum]

Hat dein Host irgendwelche Firewalls am laufen ?
Was fuer einen Host verwendest du ueberhaupt ?

[mister-man]

Sorry!
Mein Host ist eine OpenSuse 10.3 und die Firewall ist zur Zeit deaktivirt (testsystem, das soll aber nicht so bleiben.
Die Firewall ist die Stand Suse.

MfG

Edit1:
Ach so und aus Sicht der Monowall ist mein Heimnetz der WAN Adapter, der Lan und DMZ (Opt1) ist ein HostOnly (GastOnly)

[continuum]

Hmm - bei einem Windows-host geht das ...

Hast du der VM erlaubt die nics im promiscous mode zu betreiben ?

[mister-man]

Oh mein Gott, wo ist denn wohl diese einstellung, ich mach mich mal auf der Suche.
Wenn ich mich nicht Ihre, ist das dafür, das die VM alles an Netzwerkverkehr mitliest.
Könnte das Problem lösen, wird sie dadurch aber nicht entloslangsamm?

Edit1:
Also irgentwie finde ich da nichts zu Promiscous, wo muss ich das denn einstellen in der VM??
Nicht am Host??

[mister-man]

Wollt mich mal so wieder in diesem Artikel melden, hat jemand eine Idee zur Frage??

MfG

[continuum]

Guck mal bei mir unter vmx > network > advanced

[mister-man]

Hi!
Also ich hab dies auf deiner seite gefunden und es so verstanden, das ich dies einfügen muss!
ethernet0.noPromisc = "FALSE"

Ich versuch es mal.

Edit1:
Hmm nun startet die VM nicht mehr, obwohl ich die Benutzerrechte wie im VMWARE Artikel beschriben ist auf 666 für das VMNET0 gestellt habe, dies ist auch meine Bright in der Mono!

[mister-man]

Leider habe ich das Problem mit der nicht startenen VM noch nicht lösen können.
Habe ich denn etwas vergessen??!!!!
Soweit ich weiß müssen die Benutzerrechte doch nur umgestellt werden für vmnet0 oder nicht??

MfG

[continuum]

Sorry - mit Linux habe ich das noch nie gemacht.

Vielleicht braucht der user der VM auch Rechte auf /dev/eth0 oder was auch immer das bei dir ist ?

[mister-man]

Okay, aber trotzdem danke.
Falls ein Linuxnutzer Zeit hat, dies eben zu Simolieren wäre ich dankbar.
Denn ich versuche schon seit ein Paar tagen dies zum laufen zu bekommen.

MfG

[elgato319]

hmm

Ich zeune das Pferd mal anders herum auf.
Du sagst wenn du statische Router anlegen tust würde es zwar gehen, aber du hättest Probleme in den "anderen Netzen"

Zu machen wäre dies, wenn ich in dem Router eine Statische Route in die beiden Netze lege, aber dies ist zwar in meinem Heimnetz möglich, aber in anderen Netzen in dem Ich keinen Routerzugriff habe nicht.

Man müsste auf der Monawall und deinem normalen Router nur sowas wie RIP (Routing Protokoll) aktivieren.
Dann sollte doch auch der Zugriff möglich sein solange die Firewall es nicht blockt.

[mister-man]

Genau so stelle ich mir das vor, der Server komt in ein Netz, startet, das eigene Netz des Servers ist im Lan verfügbar, ohne das ich jedesmal 2 Stunden hinter dem Netzwerkadmin hinterherrenne, das er ne Route legt.
Noch größer ist das Prob, wenn kein DHCP vorhanden ist dann die Roete auf jeden Rechner legen??
Das ist blöd.

Die Idee hört sich gut an, doch wie setze ich sie um??

[elgato319]

Zu Routen:

Selbst wenn kein DHCP im Netz aktiv ist, so wirst du doch wohl einen Standard-Gateway definiert haben auf den Hosts.

Nur der Gateway benötigt die entsprechenden Route damit er weiss wohin mit den Paketen.

Hinter deiner Monowall liegen ja zwei Netze (eigentlich drei wenn man das "wan" netz mit berücksichtigt). Auf diese können die Maschienen im Netz zugreifen weil die Monowall zu allen Netzen direkt verbunden ist und damit auch Routen angelegt hat.

Die Rechner in deinem realen physikalischen Netz können natürlich nichts von den virtuellen Netzen wissen. Dafür ist der Gateway zuständig. Du müsstest also deinen realen Router zwei statische Routen anlegen. Jeweils für beide Netze die in der VM abgebildet werden.

[mister-man]

Ja, das ist mir bekannt, das ich aus dem Physikalischen Netz eine Route ins virtuelle Netz brauche, aber dies will ich gerade umgehen, gibt es da eine Möglichkeit?
Denn leider wandert der Server öfters auf verschiedene Veranstalltungen.
Deswegen ist mir es nicht immer möglich diese Route zu legen.

MfG

[elgato319]

Ein Router wird sich ja in den meisten Fällen schon RFC konform verhalten. Ist ja auch gut so

Um Routen automatisch zu entdecken könntest du ein Routing Protokoll verwenden wie z.b. RIP.
Dann würden sich die Routen alle automatisch aktualisieren.

[mister-man]

Hoert sich sehr sehr interessant an, doch die große frage ist, wie mache ich dies. Denn leider hoert da mein Netzwerkkenntniss auf.

MfG

Ja und dder Router sollte sich natürlich immer RFC komform verhalten.

[elgato319]

Also anscheinen kann die monowall kein rip von sich aus. nur statische routen.
http://m0n0.ch/wall/features.php

du könntest für dein lokales vm-netz natürlich eine statische route eintragen und für deinen echten router rip aktivieren. sofern er es denn beherrscht.

alternativ zu monowall könntest du auch pfsense als virtuelel firewall verwenden. dort könntest du auch rip verwenden.

was großartig konfigurieren müsstst du dort auch nicht. einfach aktivieren. die deamons übernehmen den rest.

[mister-man]

Habe mittlerweile eine Phion firewall installiert, habe Sie auch als Hardware im einsatz und bin davon begeistert.
Da dies eine Firewall ist, die ich zu den Professionellen zählen würde, sollte die es können. Ich mache mich mal im Handbuch nach Rip auf die Suche.

Falls jemand erfahrungen mit Phion hat, kann er gerne Tips posten.

MfG

[christian_]

die grafik im ersten post ist mal geil
einfach nen riesen pc mit kleinen pcs drin


hab das in einem anderen post auch schon gefragt, aber frage es hier auch nochmal zusaetzlich

welche internet geschwindigkeiten habt ihr und wieviel cpu auslastung bei voller leitungs ausnutzung ?
merkt ihr unterschiede bei den ping zeiten ?
welche nachteile koennte es haben einen router in einer vmware zu betreiben ?