18
Routing zwischen VMWare Netzwerk und Firmennetz
Hallo zusammen,
ich bitte vorab um Verzeihung, falls dieses Thema schon behandelt wurde. Ich habe mir viel angesehen, jedoch nicht was meinem Szenario entspricht gefunden.
Folgende Situation:
Firmennetzwerk: (z.B. 215.80.160.x)
In diesem Firmennetzwerk steht ein VMWare 2.0 Server-Host (openSUSE 10.3) mit der IP 215.80.160.20
DHCP / DNS / ADS sind Windows Server
Internet-Router ist ein Debian Linux (Standard Gateway: 215.80.160.5)
Auf dem VMWare Server Host möchte ich nun ein komplettes Netz aus virtuellen Maschinen mit einem privaten Adressbereich betreiben (192.168.0.x)
Die virtuellen Maschinen müssen jedoch für die Clients im 215.80.160.x Netz alle samt Diensten und DNS-Namen erreichbar sein.
Umsetzen möchte ich das deshalb so, weil unsere IP Adressen langsam knapp werden, und ich damit viele IPs des Firmennetzes einsparen könnte.
Kann mir jemand den ein oder anderen Denkanstoß geben ob und wie ich das anstellen könnte?
Ich hoffe ich habe hakbwegs verständlich geschildert wie das Netzwerk aussieht.
Danke
ich bitte vorab um Verzeihung, falls dieses Thema schon behandelt wurde. Ich habe mir viel angesehen, jedoch nicht was meinem Szenario entspricht gefunden.
Folgende Situation:
Firmennetzwerk: (z.B. 215.80.160.x)
In diesem Firmennetzwerk steht ein VMWare 2.0 Server-Host (openSUSE 10.3) mit der IP 215.80.160.20
DHCP / DNS / ADS sind Windows Server
Internet-Router ist ein Debian Linux (Standard Gateway: 215.80.160.5)
Auf dem VMWare Server Host möchte ich nun ein komplettes Netz aus virtuellen Maschinen mit einem privaten Adressbereich betreiben (192.168.0.x)
Die virtuellen Maschinen müssen jedoch für die Clients im 215.80.160.x Netz alle samt Diensten und DNS-Namen erreichbar sein.
Umsetzen möchte ich das deshalb so, weil unsere IP Adressen langsam knapp werden, und ich damit viele IPs des Firmennetzes einsparen könnte.
Kann mir jemand den ein oder anderen Denkanstoß geben ob und wie ich das anstellen könnte?
Ich hoffe ich habe hakbwegs verständlich geschildert wie das Netzwerk aussieht.
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 108735
Url: https://administrator.de/contentid/108735
Printed on: April 23, 2024 at 10:04 o'clock
18 Comments
Latest comment
Frage vorweg bevor man ins Eingemachte geht:
Ist das Netzwerk 215.80.160.0 auf dich/euch registriert ??
Das ist, wie du sicher selber weisst, eine oeffentliche IP Adresse die dem US Department of Defense gehoert ( US Verteidigungsministerium)
Whois Abfrage sagt dies:
OrgName: DoD Network Information Center
OrgID: DNIC
Address: 3990 E. Broad Street
City: Columbus
StateProv: OH
PostalCode: 43218
Country: US
Es ist kein RFC 1918 IP Netz (Privates IP Netz) !!!
Sofern du also nicht zum US DoD gehoerst ist gerade DIESE IP Adresse hoechst problematisch zu verwenden und du solltest dir wirklich tiefgreifende Gedanken machen ob du dieses IP Netzwerk wirklich fuer ein privates Firmennetz in D verwenden willst obwohl euch oeffentlich dieses IP Netzwerk nicht gehoert !!!
Gerade im Hinblick auf die Brisanz des wirklichen Besitzers.
Abgesehen von diesem mehr als problematischen Umfeld ist das aber kein Problem wenn du die VmWare als Hostnetzwerk einrichtest und auf dem Linux Server die Option IP Forwarding im Systemsetting (YAST) aktivierst, dann kannst du zwischen den Adaptern routen und erreichen was du willst !
Ist das Netzwerk 215.80.160.0 auf dich/euch registriert ??
Das ist, wie du sicher selber weisst, eine oeffentliche IP Adresse die dem US Department of Defense gehoert ( US Verteidigungsministerium)
Whois Abfrage sagt dies:
OrgName: DoD Network Information Center
OrgID: DNIC
Address: 3990 E. Broad Street
City: Columbus
StateProv: OH
PostalCode: 43218
Country: US
Es ist kein RFC 1918 IP Netz (Privates IP Netz) !!!
Sofern du also nicht zum US DoD gehoerst ist gerade DIESE IP Adresse hoechst problematisch zu verwenden und du solltest dir wirklich tiefgreifende Gedanken machen ob du dieses IP Netzwerk wirklich fuer ein privates Firmennetz in D verwenden willst obwohl euch oeffentlich dieses IP Netzwerk nicht gehoert !!!
Gerade im Hinblick auf die Brisanz des wirklichen Besitzers.
Abgesehen von diesem mehr als problematischen Umfeld ist das aber kein Problem wenn du die VmWare als Hostnetzwerk einrichtest und auf dem Linux Server die Option IP Forwarding im Systemsetting (YAST) aktivierst, dann kannst du zwischen den Adaptern routen und erreichen was du willst !
Oha :D
Also die genannte IP war ein Beispiel.
Ich wolte hier aus paranoischen Gründen nicht unbedingt unseren tatsächlichen IP Adressbereich (welcher auch auf uns registirert ist) posten.
Wir sind damit auch seit 10 Jahren im Einsatz.
Das ich eine DoD IP genannt habe ist purer Zufall ;)
Also die genannte IP war ein Beispiel.
Ich wolte hier aus paranoischen Gründen nicht unbedingt unseren tatsächlichen IP Adressbereich (welcher auch auf uns registirert ist) posten.
Wir sind damit auch seit 10 Jahren im Einsatz.
Das ich eine DoD IP genannt habe ist purer Zufall ;)
Erfahrene Netzwerker nutzen dann fuer solche Beschreibungen RFC 1918 IP Adressen um genau das o.a. zu vermeiden 
http://de.wikipedia.org/wiki/Private_IP-Adresse
Ansonsten gilt das fuer VMware geschriebene...
http://de.wikipedia.org/wiki/Private_IP-Adresse
Ansonsten gilt das fuer VMware geschriebene...
So als Denkanstoß, ich würde da simples Routing vorschlagen... spricht etwas dagegen?
Der VMware Host routet zwischen LAN und VMnet.
Damit die LAN Clients auf das VMnet Zugriff haben, muss deren Gateway die Route zum VMnet via VMware Host kennen.
Die VMware Clients müssen/sollten den VMware Host als Gateway haben.
Mehr braucht es eigentlich nicht.
Der VMware Host routet zwischen LAN und VMnet.
Damit die LAN Clients auf das VMnet Zugriff haben, muss deren Gateway die Route zum VMnet via VMware Host kennen.
Die VMware Clients müssen/sollten den VMware Host als Gateway haben.
Mehr braucht es eigentlich nicht.
Erstmal danke für das Feedback.
Ich verteile jetzt per DHCP eine statische Route für die LAN Clients, welche ihnen sagt, wohin sie z.B: bei Aufruf der Adresse 192.168.0.10 gehen müssen (zum VMware Host).
Wenn ich nun aus dem Firmennetz einen Ping mache, gelange ich bis zum VMWare Host, jedoch nicht zum VM-Gastsystem (zumindest scheint es so).
Wenn ich umgekehrt einen Pink vom VM-Gastsystem z.B. auf den Exchange Server im Firmennetz mache bekomme ich sofort korrekte replys. Somit scheint an dieser Stelle alles ok zu sein.
Ich bin also nah dran, aber irgendwas fehlt noch..
Der Logik nach müsste ich dem VMWare Host jetzt noch sagen, was er mit Anfragen an das Netz 192.168.0.0 machen soll, oder?
Port Forwarding ist aktiv, bisher ist es mir jedoch nicht gelungen, hier eine funktionierende Route zu setzen.
Ich verteile jetzt per DHCP eine statische Route für die LAN Clients, welche ihnen sagt, wohin sie z.B: bei Aufruf der Adresse 192.168.0.10 gehen müssen (zum VMware Host).
Wenn ich nun aus dem Firmennetz einen Ping mache, gelange ich bis zum VMWare Host, jedoch nicht zum VM-Gastsystem (zumindest scheint es so).
Wenn ich umgekehrt einen Pink vom VM-Gastsystem z.B. auf den Exchange Server im Firmennetz mache bekomme ich sofort korrekte replys. Somit scheint an dieser Stelle alles ok zu sein.
Ich bin also nah dran, aber irgendwas fehlt noch..
Der Logik nach müsste ich dem VMWare Host jetzt noch sagen, was er mit Anfragen an das Netz 192.168.0.0 machen soll, oder?
Port Forwarding ist aktiv, bisher ist es mir jedoch nicht gelungen, hier eine funktionierende Route zu setzen.
An deiner Annahme ist schonmal etwas falsch. Ein Ping ist Bidirektional. Wenn du von den VMs aus einen Host im Firmen-LAN erreichen kannst, kann (zumindest dieser Host) auch die VMs erreichen.
Was du gemacht hast, hat aber mit Routing nichts zu tun, du hast NAT verwendet. Damit geht es nicht.
Du musst das VMnet zu einem "Host Only" Netzwerk machen. Dann muss dein VMware Host so konfiguriert werden, dass er die Pakete routen kann. Dazu müssen, wie du schon erkannt hast, die VMs diese Route haben:
0.0.0.0 via 192.168.0.1 (IP des Host Only Adapters am VMware Server)
Die Clients im Firmennetz haben diese Route:
0.0.0.0 via 215.80.160.5
Und dein Router (215.80.160.5) bekommt zusätzlich diese Route
192.168.0.0/24 via 215.80.160.20
Mehr muss nicht gemacht werden.
Was du gemacht hast, hat aber mit Routing nichts zu tun, du hast NAT verwendet. Damit geht es nicht.
Du musst das VMnet zu einem "Host Only" Netzwerk machen. Dann muss dein VMware Host so konfiguriert werden, dass er die Pakete routen kann. Dazu müssen, wie du schon erkannt hast, die VMs diese Route haben:
0.0.0.0 via 192.168.0.1 (IP des Host Only Adapters am VMware Server)
Die Clients im Firmennetz haben diese Route:
0.0.0.0 via 215.80.160.5
Und dein Router (215.80.160.5) bekommt zusätzlich diese Route
192.168.0.0/24 via 215.80.160.20
Mehr muss nicht gemacht werden.
Nochmal danke,
mit der Host Only Konfiguration kann ich die VMs nun auch vom Firmennetz aus erreichen.
Jedoch bekommt die VM noch keine Verbindung ins Firmennetz, da ist beim VM Host schluss..
Ich schau aber auch selber nochmal weite rund gebe bescheid, wenn alles klappt.
Bis dahin freue ich mich natürlich über Tips ;)
mit der Host Only Konfiguration kann ich die VMs nun auch vom Firmennetz aus erreichen.
Jedoch bekommt die VM noch keine Verbindung ins Firmennetz, da ist beim VM Host schluss..
Ich schau aber auch selber nochmal weite rund gebe bescheid, wenn alles klappt.
Bis dahin freue ich mich natürlich über Tips ;)
Ah, heute klappt nun alles in beide Richtungen, hat wohl etwas länger gedauert bis die neue Konfiguration Wikung hatte.
Problem vor allem durch die letzte Anmerkung von RoterFruchtZwerg gelöst.
Danke euch!
Problem vor allem durch die letzte Anmerkung von RoterFruchtZwerg gelöst.
Danke euch!
Ich nutze einfach mal dieses Thema hier, da mein "neues" Problem auf dieses Szenario aufbaut.
Was ich nun erreichen möchte ist, dass ein OpenVPN Host mit den virtuellen Maschinen kommunizieren kann. Also ein Routing zwischen 3 Netzwerken.
Ich habe also
Windows Client (OpenVPN) IP 10.0.8.0 - OpenSUSE VMWare Server (Firmennetz 216.x.x.x) - Virtuelle Maschine (VM Host Only Netz 192.168.200.0)
Ich gelange bereits vom OpenVPN Client zum VMWare Server, kann diesen mit Ping und SSH erreichen, doch leider komme ich nicht bis zu einer der virtuellen Maschinen durch. Auch umgekehrt kann der VMWare Server mit dem OpenVPN Client kommunizieren, jedoch keine VM.
Was übersehe ich? Wäre für Hilfe wiedereinmal dankbar!
Was ich nun erreichen möchte ist, dass ein OpenVPN Host mit den virtuellen Maschinen kommunizieren kann. Also ein Routing zwischen 3 Netzwerken.
Ich habe also
Windows Client (OpenVPN) IP 10.0.8.0 - OpenSUSE VMWare Server (Firmennetz 216.x.x.x) - Virtuelle Maschine (VM Host Only Netz 192.168.200.0)
Ich gelange bereits vom OpenVPN Client zum VMWare Server, kann diesen mit Ping und SSH erreichen, doch leider komme ich nicht bis zu einer der virtuellen Maschinen durch. Auch umgekehrt kann der VMWare Server mit dem OpenVPN Client kommunizieren, jedoch keine VM.
Was übersehe ich? Wäre für Hilfe wiedereinmal dankbar!
Welche IP hat der VPN Server auf den sich die Clients einwählen?
Das ist unser äußeres Gateway 216.60.161.253 (etwas abgewandelt ;) )
Also nicht der selbe, den wir zuvor mit 215.80.160.5 bezeichnet hatten?
Was hast du denn an Konfiguration (bezüglich Routing) ergänzt?
Was hast du denn an Konfiguration (bezüglich Routing) ergänzt?
Die 5 ist das Internet-Gateway für die internen Clients. Von außen gehen die VPN Clients über die 253.
Zum Routing, hier habe ich eigentlich überhaupt nichts geändert. Ich habe die VPN Clients lediglich so konfiguriert, dass sie für auch das private VMWare Netz über den VPN Tunnel gehen, und sich nicht einen Server im www suchen.
Da VMWare Server (216.60.161.18) bis zum VPN Client (10.0.8.x) durchkommt und umgekehrt vermute ich das Problem an der VMWare Server konfiguration, denn es fehlt ja eigentlich nur noch das Stück vom VMWare Server zur virtuellen Maschine.
Nur verstehe ich nicht, warum der VMWare Server das VPN Netz erreicht, die dort laufenden VMs jedoch nicht. Ich habe ja auch keine speziellen Routing settings gemacht, damit die VMs ins Firmennetz kommen.
Zum Routing, hier habe ich eigentlich überhaupt nichts geändert. Ich habe die VPN Clients lediglich so konfiguriert, dass sie für auch das private VMWare Netz über den VPN Tunnel gehen, und sich nicht einen Server im www suchen.
Da VMWare Server (216.60.161.18) bis zum VPN Client (10.0.8.x) durchkommt und umgekehrt vermute ich das Problem an der VMWare Server konfiguration, denn es fehlt ja eigentlich nur noch das Stück vom VMWare Server zur virtuellen Maschine.
Nur verstehe ich nicht, warum der VMWare Server das VPN Netz erreicht, die dort laufenden VMs jedoch nicht. Ich habe ja auch keine speziellen Routing settings gemacht, damit die VMs ins Firmennetz kommen.
Zitat von @Cardinal:
Die 5 ist das Internet-Gateway für die internen Clients. Von außen gehen die VPN Clients über die 253.
Die 5 ist das Internet-Gateway für die internen Clients. Von außen gehen die VPN Clients über die 253.
Aber handelt es sich dabei um die selbe Maschine mi 2 Schnittstellen oder um zwei Maschinen? Das ist wichtig...
Wenn es zwei verschiedene Maschinen sind, erkläre bitte genau wie die miteinander verbunden sind.
Da VMWare Server (216.60.161.18) bis zum VPN Client (10.0.8.x) durchkommt und umgekehrt vermute ich das Problem an der VMWare
Server konfiguration, denn es fehlt ja eigentlich nur noch das Stück vom VMWare Server zur virtuellen Maschine.
Nur verstehe ich nicht, warum der VMWare Server das VPN Netz erreicht, die dort laufenden VMs jedoch nicht. Ich habe ja auch keine
speziellen Routing settings gemacht, damit die VMs ins Firmennetz kommen.
Server konfiguration, denn es fehlt ja eigentlich nur noch das Stück vom VMWare Server zur virtuellen Maschine.
Nur verstehe ich nicht, warum der VMWare Server das VPN Netz erreicht, die dort laufenden VMs jedoch nicht. Ich habe ja auch keine
speziellen Routing settings gemacht, damit die VMs ins Firmennetz kommen.
Wenn du Pings verwendest, hast du keine Ahnung davon was wie weit kommt. Ein Ping muss ja immer bis zum Ziel und dann wieder zurück. Relevant um zu entscheiden, wie weit etwas "kommt" ist aber nur ein Teil des weges.
Daher versuch bitte nicht so viel in deine Pings hinein zu interpretieren. Es kann durchaus sein, dass der VPN Client bis in die VM kommt, aber die VM eben nicht mehr bis zum VPN.
Erstmal Danke für dein schnelles Feedback! 
Es handelt sich um eine Maschine mit mehreren Netzwerkschnittstellen, unter anderem eben die 5 und die 253, außerdem noch die DMZ-Schnittstelle.
Mit letzterem hast du natürlich recht. Ich hatte bisher nicht die Muße das ganze mit einem Sniffer zu verfolgen, weil ich relativ sicher bin, dass das Ganze am VMWare Sevrer hakt (aber villeicht mach ich da auch einen Denkfehler).
Es handelt sich um eine Maschine mit mehreren Netzwerkschnittstellen, unter anderem eben die 5 und die 253, außerdem noch die DMZ-Schnittstelle.
Mit letzterem hast du natürlich recht. Ich hatte bisher nicht die Muße das ganze mit einem Sniffer zu verfolgen, weil ich relativ sicher bin, dass das Ganze am VMWare Sevrer hakt (aber villeicht mach ich da auch einen Denkfehler).
Okay, da es sich um die selbe Maschine handelt, ist die externe IP faktisch nicht relevant, weil die VPN-Clients ja über die VPN-IP an diesen angebunden sind. Und nur diese ist für das Routing relevant.
Gehn wir es doch mal ab... Du pingst eine VM, z.B. 192.168.0.7 vom VPN-Client mit der IP 10.0.8.8.
Der VPN-Client hat 10.0.8.1 (Annahme das sei die VPN-IP des VPN-Servers) als Default-Gateway oder zumindest als Gateway für 192.168.0.0/24. Das Paket kommt also zum VPN-Server/Gateway eures Netzes.
Dieser hat von der früheren Konfiguration die Route 192.168.0.0/24 via 215.80.160.20, sendet das Paket also weiter an den VMware Host.
Dieser hat routing aktiviert (von früher), und kennt das Netz 192.168.0.0/24 von seine VMWare LAN Adapter. Er leitet das Paket also an die VM weiter.
Die VM bekommt jetzt ein Paket mit dem Absender 10.0.8.8 den sie nicht zuweisen kann.
Die Antwort sendet sie also an ihren default-Gateway, was 192.168.0.1 (der VMware Host) ist.
Dieser bekommt das Paket und kann 10.0.8.8 als Ziel ebenfalls nicht verarbeiten und schickt das Paket daher zu seinem Default-Gateway was 215.80.160.5 und damit gleichzeitig der VPN-Server ist.
Dieser empfängt das Paket und kennt seinerseits das Netz 10.0.0.0/8 und müsste das Paket daher dem Client 10.0.8.8 zustellen können.
Meiner Meinung nach wäre eine Kommunikation also durchaus möglich.
Besteht die Möglichkeit, dass der VPN-Server evtl. NAT betreibt? Oder Pakete filtert?
Da ich keinen offensichtlichen Konfigurationsfehler erkennen kann, würde ich doch vorschlagen, Wireshark auszupacken und genauer hin zu sehen
Gehn wir es doch mal ab... Du pingst eine VM, z.B. 192.168.0.7 vom VPN-Client mit der IP 10.0.8.8.
Der VPN-Client hat 10.0.8.1 (Annahme das sei die VPN-IP des VPN-Servers) als Default-Gateway oder zumindest als Gateway für 192.168.0.0/24. Das Paket kommt also zum VPN-Server/Gateway eures Netzes.
Dieser hat von der früheren Konfiguration die Route 192.168.0.0/24 via 215.80.160.20, sendet das Paket also weiter an den VMware Host.
Dieser hat routing aktiviert (von früher), und kennt das Netz 192.168.0.0/24 von seine VMWare LAN Adapter. Er leitet das Paket also an die VM weiter.
Die VM bekommt jetzt ein Paket mit dem Absender 10.0.8.8 den sie nicht zuweisen kann.
Die Antwort sendet sie also an ihren default-Gateway, was 192.168.0.1 (der VMware Host) ist.
Dieser bekommt das Paket und kann 10.0.8.8 als Ziel ebenfalls nicht verarbeiten und schickt das Paket daher zu seinem Default-Gateway was 215.80.160.5 und damit gleichzeitig der VPN-Server ist.
Dieser empfängt das Paket und kennt seinerseits das Netz 10.0.0.0/8 und müsste das Paket daher dem Client 10.0.8.8 zustellen können.
Meiner Meinung nach wäre eine Kommunikation also durchaus möglich.
Besteht die Möglichkeit, dass der VPN-Server evtl. NAT betreibt? Oder Pakete filtert?
Da ich keinen offensichtlichen Konfigurationsfehler erkennen kann, würde ich doch vorschlagen, Wireshark auszupacken und genauer hin zu sehen
Das Ablaufen der Route von deiner Seite hat mich nun zur Lösung geführt!
Genau das war nicht gegeben. Es gab nie einen Routingeintrag von unserem Gateway bzw. dem VPN Server zum 192er Netz. Die internen Clients erhalten per DHCP eine statische Route und erreichen so ihr Ziel.
Ich habe also auf dem VPN Server die Route 192.168.0.0/24 via 215.80.160.20 hinzugefügt, und nun klappts
Und wiedermal vielen Dank! =)
Zitat von @RoterFruchtZwerg:
...Dieser hat von der früheren Konfiguration die Route 192.168.0.0/24 via 215.80.160.20, sendet das Paket also weiter an den
VMware Host....
...Dieser hat von der früheren Konfiguration die Route 192.168.0.0/24 via 215.80.160.20, sendet das Paket also weiter an den
VMware Host....
Genau das war nicht gegeben. Es gab nie einen Routingeintrag von unserem Gateway bzw. dem VPN Server zum 192er Netz. Die internen Clients erhalten per DHCP eine statische Route und erreichen so ihr Ziel.
Ich habe also auf dem VPN Server die Route 192.168.0.0/24 via 215.80.160.20 hinzugefügt, und nun klappts
Und wiedermal vielen Dank! =)
Hehe, bitte ;)
Siehste, wenn man das mal Schritt für Schritt durchspielt, wird es ganz einfach.
Siehste, wenn man das mal Schritt für Schritt durchspielt, wird es ganz einfach.
