hi
ich mochte gerne, dass jede Art von erzeugten IP-Paketen, bzw. Netztraffic im allgemeinen, aus meinen virtuellen Maschinen, in einen bestimmten explizit festgelegten VPN-Tunnel geleitet werden.
Der VPN-Tunnel wird auf dem Host-Betriebssystem aufgebaut, auf dem es auch der VMWare Player läuft bzw. Workstation. Hab dazu versucht die VM-Adapter in den NEtzwerkeinstellungen auf den angelegten VPN-Adapter zu bridgen.....das hat nicht funktioniert.
gibts da ne Möglichkeit das zu erreichen? Ich will, dass meine Netzwerkdaten aus meinen Virtuellen Maschinen garanteirt in ein virtuelles NEtzwerk geleitet werden (via VPN) und nicht versehntlich über einen Adapter ins tatsächliche Internet. Darauf hoffen das die Standardeinstellungen nicht verändert wird, reicht mir da nicht....ich muss das irgendwie "garantiert" erreichen.
hab es nicht geschafft, dass durch Einstellungen an den Netzadapern hinzukriegen. Geht das überhaupt? Wenn ja, jemand ne Idee wie?
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
VMWare Datenkommunikation in VPN-Tunnel?
-
souljumper
- Member
- Beiträge: 9
- Registriert: 07.10.2009, 19:24
-
souljumper
- Member
- Beiträge: 9
- Registriert: 07.10.2009, 19:24
innerhalb einer virtuellen Maschie können mit Virtualisierungslösungen wie OpenVZ o.ä. beliebig viele "Rechner" dargestellt werden. Ich sag mal im Regelfall so 10 Rechner, die dann ein Netz darstellen. Und diese sollen mit anderen netzten kommunizieren können, die auf die gleiche weise in virtuellen maschinen laufen.
in der virtuellen maschine läuft eine linxu distribution (suse, ubuntu, ...), das host-system wird Windows XP oder Vista sein.
>Kann die VPN nicht direkt vom Gast aufgebaut werden ?
Technisch ja, aber man kann ja nicht garantieren, dass sämtlicher Netzverkehr garantiert über die VPN-Verbindung vom Gast läuft?! (oder doch?)
Baut man eine VPN-Verbindung auf, wird im OS ja ein zusätzlicher Netzadapter angelegt, der den Tunnel realisiert. D.h. es gibt dann den normalen Netzadapter, der immernoch mit dem Host-System ganz normal kommunizieren kann und die VPN-Verbindung die alles in den Tunnel shcickt.
wenn der benutzer in der virtuellen maschinen dann den "normalen" Netzadapter explizit verwendet, und dadurch daten ins öffentliche netz (internet) kommen, ist das für micht ein K.O. Kriterium. Das darf nicht passieren. Ich kann leider auch nicht garantieren, dass der Benutzer weiß was er da tut......weswegen ich sichertellen möchte, dass aller netztraffic aus meiner VM sicher in dem VPN-Tunnel landet und auf keinem anderen Netzadapter.
in der virtuellen maschine läuft eine linxu distribution (suse, ubuntu, ...), das host-system wird Windows XP oder Vista sein.
>Kann die VPN nicht direkt vom Gast aufgebaut werden ?
Technisch ja, aber man kann ja nicht garantieren, dass sämtlicher Netzverkehr garantiert über die VPN-Verbindung vom Gast läuft?! (oder doch?)
Baut man eine VPN-Verbindung auf, wird im OS ja ein zusätzlicher Netzadapter angelegt, der den Tunnel realisiert. D.h. es gibt dann den normalen Netzadapter, der immernoch mit dem Host-System ganz normal kommunizieren kann und die VPN-Verbindung die alles in den Tunnel shcickt.
wenn der benutzer in der virtuellen maschinen dann den "normalen" Netzadapter explizit verwendet, und dadurch daten ins öffentliche netz (internet) kommen, ist das für micht ein K.O. Kriterium. Das darf nicht passieren. Ich kann leider auch nicht garantieren, dass der Benutzer weiß was er da tut......weswegen ich sichertellen möchte, dass aller netztraffic aus meiner VM sicher in dem VPN-Tunnel landet und auf keinem anderen Netzadapter.
Mein Vorschlag:
Schalte Deine VMs ins HostOnly Netzwerk.
Zusätzlich nimmst Du eine weitere VM als Firewall. Der gibst Du zwei Interfaces: HostOnly und das Bridged Interface des Host.
Auf der Firewall erstellst Du jetzt einen VPN Tunnel. Mit entsprechenden Paketfilterregeln und einer Blackhole Route (Falls der Tunnel nicht aktiv sein sollte) kannst Du mit hoher Sicherheit davon ausgehen, dass kein Traffic "einfach so" ins Internet geht, vorausgesetzt, die User spielen nicht an der Netzwerkkonfig herum.
hth
Chregu
Schalte Deine VMs ins HostOnly Netzwerk.
Zusätzlich nimmst Du eine weitere VM als Firewall. Der gibst Du zwei Interfaces: HostOnly und das Bridged Interface des Host.
Auf der Firewall erstellst Du jetzt einen VPN Tunnel. Mit entsprechenden Paketfilterregeln und einer Blackhole Route (Falls der Tunnel nicht aktiv sein sollte) kannst Du mit hoher Sicherheit davon ausgehen, dass kein Traffic "einfach so" ins Internet geht, vorausgesetzt, die User spielen nicht an der Netzwerkkonfig herum.
hth
Chregu
-
Dayworker
- King of the Hill
- Beiträge: 13657
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Da du mit Linux in der VM arbeiten willst, ist das mit den Netzwerkadaptern doch gar kein Problem. Du legst als root einmal die Verbindungen fest und diese sollten sich dann als Normalo auch nicht mehr umstellen lassen.
Ich würde die VMs auch in ein ungenutztes vmnetX als Host-only ohne Verbindung zum Host einsperren und deren komplette Kommunikation über einen VPN-Tunnel in einer weiteren VM lösen.
Ich würde die VMs auch in ein ungenutztes vmnetX als Host-only ohne Verbindung zum Host einsperren und deren komplette Kommunikation über einen VPN-Tunnel in einer weiteren VM lösen.
-
souljumper
- Member
- Beiträge: 9
- Registriert: 07.10.2009, 19:24
also in der VM soll der Benutzer schon root sein, der soll darin schon mit voller "gewalt" arbeiten können, ohne das was davon unkontrolliert nach außen gelangt.
das mit der zusätzlichen vm als firewall bzw. "Gefängnis" ist ne möglichkeit, da muss da user dann halt von bleiben. den gedanken werd ich mal weiter verfolgen - danke dafür.
bieten VMware denn irgendwelche programmierschnittstellen, um z.b. den Netzverkehr der VM "abzufangen" oder ähnliches? Im ernstfall würd auch Programmierung eine Option sein um das zu realiseren.
das mit der zusätzlichen vm als firewall bzw. "Gefängnis" ist ne möglichkeit, da muss da user dann halt von bleiben. den gedanken werd ich mal weiter verfolgen - danke dafür.
bieten VMware denn irgendwelche programmierschnittstellen, um z.b. den Netzverkehr der VM "abzufangen" oder ähnliches? Im ernstfall würd auch Programmierung eine Option sein um das zu realiseren.
-
Dayworker
- King of the Hill
- Beiträge: 13657
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Wenn die User root sein sollen, können sie eh überall rumspielen. Da bleibt dann nur ein ungenutztes, nicht eingerichtetes!, vmnetX ohne Host-Zugriff für diese VMs. Wenn dann dort was verstellt wird, sind die VMs nur ohne Netzwerk und auch der Host ist durch die fehlende Verbindung gegen Übergriffe gesichert.
VMware bietet zwar eine dokumentierte Schnittstelle, aber ob du damit auch den Netzwerkverkehr abfangen kannst...
VMware bietet zwar eine dokumentierte Schnittstelle, aber ob du damit auch den Netzwerkverkehr abfangen kannst...
-
souljumper
- Member
- Beiträge: 9
- Registriert: 07.10.2009, 19:24
>VMware bietet zwar eine dokumentierte Schnittstelle
Die Programmierschnittstelle hab ich mir mal angesehen, sieht nach einer API aus, die dem standard Socket-Prinzip folgt. Allerdings bin ich mir jetzt nicht sicher, ob ich damit auch umleiten kann.
Aber um nochmal auf das bridgen der Netzadapter zurückzukommen. Gibt es evtl. Software, die virtuelle Router erstellt? Ich sag mal, wenn ich sagen könnte route mir VMnetX Adapter uf VPN-Tunnel Adapter, dann wäre das ja eig. das was ich will.
Die Programmierschnittstelle hab ich mir mal angesehen, sieht nach einer API aus, die dem standard Socket-Prinzip folgt. Allerdings bin ich mir jetzt nicht sicher, ob ich damit auch umleiten kann.
Aber um nochmal auf das bridgen der Netzadapter zurückzukommen. Gibt es evtl. Software, die virtuelle Router erstellt? Ich sag mal, wenn ich sagen könnte route mir VMnetX Adapter uf VPN-Tunnel Adapter, dann wäre das ja eig. das was ich will.
Zurück zu „VMware Workstation und VMware Workstation Pro“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste