7
Hyper-V Clients benötigen Internetzugriff mit nur einer phys. Netzwerkkarte und public-IP
Guten Tag,
meine aktuelle Situation sieht wie folgt aus:
Ich habe für Testzwecke aktuell zwei Server, einer davon steht bei mir Zuhause und einer ist ein angemieteter Root-Server. Als Betriebssysteme kommen im Folgenden nur Win Server 2012 zum Einsatz.
Der lokale Server ist als Domaincontroller konfiguriert und für mein Heimnetzwerk zuständig, der Root-Server ist per VPN an diesen Domaincontroller angebunden.
Nun möchte ich auf diesem Root-Server per Hyper-V einen Webserver, einen Exchange-Server und einen SQL-Server einrichten.
Der Webserver soll - natürlich - online erreichbar sein, genauso wie der Exchange-Server.
Der SQL-Server braucht nur intern von allem Servern erreichbar sein, was allerdings das VPN mit einschließt. Ob er dazu eine Internetverbindung haben muss - genau da bin ich mir eben nicht ganz sicher.
Ich habe bisher folgendes auf dem Root-Server ausprobiert: Die virtuellen Server sind untereinander per virtuellem Switch verbunden, dieser ist aber nur intern. Also erreichen sich die virtuellen Maschinen und der Hyper-V Host untereinander, allerdings hat der Host als einziger die öffentliche Internetverbindung.
Mein Problem dabei ist, dass ich am Host nur eine physikalische Netzwerkkarte und nur eine öffentliche IP zur Verfügung habe.
Wie ist es mir jetzt möglich, dass ich den Web/Exchangeserver von extern erreichen kann und der SQL dann per VPN erreichbar ist?
-> Ich hatte bisher an eine Netzwerkbrücke von der physikalischen Karte auf den virtuellen Switch gedacht, allerdings möchte ich mir nicht (ohne vorher nachzufragen) die Verbindung zum Host kappen, da ich sie dann nicht mehr wiederherstellen kann. Falls dies funktionieren sollte, wäre es auf jeden Fall die von mir bevorzugte Lösung. Die Erreichbarkeit des Web/Exchangeservers nach außen hin müsste ich dann über NAT lösen? Also ist der Host quasi der "Router", der das öffentliche Netz weiterleitet?
-> Weitere öffentliche IP's zu ordern, wäre kein Problem. Geht dies ohne Weiteres mit nur einer Netzwerkkarte, dass ich den virtuellen Maschinen jeweils eine eigene öffentliche IP zuweisen kann? Das wäre auch eine sehr nette Lösung.
-> Ist die Lösung gar ein virtueller Switch mit externer Einstellung, der dann die physikalische Karte mitbenutzt? Wie sieht dann die IP-Einstellung auf den virtuellen Maschinen aus? Wäre das nur mit der vorher genannten Multi-IP-Lösung anwendbar?
Wie gesagt, ich habe es bisher noch nicht ausprobiert, da ich mir ungerne die Verbindung kappen möchte und benötige eigentlich nur den richtigen Denkanstoß, damit ich mir sicher bin, nichts falsch einzurichten. Ich wiederhole noch einmal, es geht mir hier nicht um die optimale Lösung eines Produktivsystems, das ist gar nicht nötig. Es muss nur als Testnetzwerk für eine Weile laufen und erreichbar sein.
Ich hoffe, das war nicht zu viel Input auf einmal,
MfG Fynn
meine aktuelle Situation sieht wie folgt aus:
Ich habe für Testzwecke aktuell zwei Server, einer davon steht bei mir Zuhause und einer ist ein angemieteter Root-Server. Als Betriebssysteme kommen im Folgenden nur Win Server 2012 zum Einsatz.
Der lokale Server ist als Domaincontroller konfiguriert und für mein Heimnetzwerk zuständig, der Root-Server ist per VPN an diesen Domaincontroller angebunden.
Nun möchte ich auf diesem Root-Server per Hyper-V einen Webserver, einen Exchange-Server und einen SQL-Server einrichten.
Der Webserver soll - natürlich - online erreichbar sein, genauso wie der Exchange-Server.
Der SQL-Server braucht nur intern von allem Servern erreichbar sein, was allerdings das VPN mit einschließt. Ob er dazu eine Internetverbindung haben muss - genau da bin ich mir eben nicht ganz sicher.
Ich habe bisher folgendes auf dem Root-Server ausprobiert: Die virtuellen Server sind untereinander per virtuellem Switch verbunden, dieser ist aber nur intern. Also erreichen sich die virtuellen Maschinen und der Hyper-V Host untereinander, allerdings hat der Host als einziger die öffentliche Internetverbindung.
Mein Problem dabei ist, dass ich am Host nur eine physikalische Netzwerkkarte und nur eine öffentliche IP zur Verfügung habe.
Wie ist es mir jetzt möglich, dass ich den Web/Exchangeserver von extern erreichen kann und der SQL dann per VPN erreichbar ist?
-> Ich hatte bisher an eine Netzwerkbrücke von der physikalischen Karte auf den virtuellen Switch gedacht, allerdings möchte ich mir nicht (ohne vorher nachzufragen) die Verbindung zum Host kappen, da ich sie dann nicht mehr wiederherstellen kann. Falls dies funktionieren sollte, wäre es auf jeden Fall die von mir bevorzugte Lösung. Die Erreichbarkeit des Web/Exchangeservers nach außen hin müsste ich dann über NAT lösen? Also ist der Host quasi der "Router", der das öffentliche Netz weiterleitet?
-> Weitere öffentliche IP's zu ordern, wäre kein Problem. Geht dies ohne Weiteres mit nur einer Netzwerkkarte, dass ich den virtuellen Maschinen jeweils eine eigene öffentliche IP zuweisen kann? Das wäre auch eine sehr nette Lösung.
-> Ist die Lösung gar ein virtueller Switch mit externer Einstellung, der dann die physikalische Karte mitbenutzt? Wie sieht dann die IP-Einstellung auf den virtuellen Maschinen aus? Wäre das nur mit der vorher genannten Multi-IP-Lösung anwendbar?
Wie gesagt, ich habe es bisher noch nicht ausprobiert, da ich mir ungerne die Verbindung kappen möchte und benötige eigentlich nur den richtigen Denkanstoß, damit ich mir sicher bin, nichts falsch einzurichten. Ich wiederhole noch einmal, es geht mir hier nicht um die optimale Lösung eines Produktivsystems, das ist gar nicht nötig. Es muss nur als Testnetzwerk für eine Weile laufen und erreichbar sein.
Ich hoffe, das war nicht zu viel Input auf einmal,
MfG Fynn
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 214792
Url: https://administrator.de/contentid/214792
Printed on: April 20, 2024 at 05:04 o'clock
7 Comments
Latest comment
Hi Fynn,
1. Würde ich dir vorschlagen: Installier auf dem vHost im RZ nochmals einen AD. Lizenzen hinterfragen wir hierbei einfach mal nicht (Case:Test)
2. Installier dir eine Firewall (ganz nach gutdünken) auf dem vHost als Zwischenschritt ins Interne Netz
3. "Route" durch diese Firewall den VPN und sonstigen Verkehr.
3.1 Du weisst, worauf du dem SQL Zugriff gewährst
3.2 Du weisst, was worauf Zugriff hat
3.3 Du kannst dem Exchange nur die Portadressbereiche (443) geben, die er braucht
3.4 Du bist insgesamt sicherer.
Viel Erfolg und viel Spaß.
Grüße,
Christian
1. Würde ich dir vorschlagen: Installier auf dem vHost im RZ nochmals einen AD. Lizenzen hinterfragen wir hierbei einfach mal nicht (Case:Test)
2. Installier dir eine Firewall (ganz nach gutdünken) auf dem vHost als Zwischenschritt ins Interne Netz
3. "Route" durch diese Firewall den VPN und sonstigen Verkehr.
3.1 Du weisst, worauf du dem SQL Zugriff gewährst
3.2 Du weisst, was worauf Zugriff hat
3.3 Du kannst dem Exchange nur die Portadressbereiche (443) geben, die er braucht
3.4 Du bist insgesamt sicherer.
Viel Erfolg und viel Spaß.
Grüße,
Christian
Moin,
danke für die schnelle Antwort.
Lizenzen sind natürlich kein Problem, da ich als Student diese per Microsoft Dreamspark eh alle (für Testzwecke) habe und benutzen darf.
Habe ich das jetzt richtig verstanden, dass ich den Root als AD-Controller benutzen soll und gleichzeitig auf diesem alle weiteren Dienste wie SQL, Webserver und Exchange?
Eigentlich wird ja genau das nicht wirklich empfohlen und ich hatte auch schon Probleme damit, Exchange und AD-Controller auf einem Rechner zu betreiben.
Dies war der Grund, nun alles virtuell auf weiteren Maschinen auszulagern, um weitere Probleme zu vermeiden und im Grunde genommen einen Ansatz einer Netzwerkstruktur zu haben (wie sie ja in ähnlicher Form auch physikalisch in größeren Netzen verwendet wird).
[Achja: Der Server im RZ ist kein vHost, sondern eine komplette Maschine, auf der ich dann selber meine vHosts einrichten wollte. Falls ich mich da nicht ganz richtig ausgedrückt haben sollte...]
Ich werde auf alle Fälle mal alle Dienste auf eine virtuelle Maschine packen und schauen, ob es diesmal läuft, nur um sicher zu gehen. Auch wenn das natürlich nicht wirklich die bevorzugte Lösung ist.
MfG Fynn
danke für die schnelle Antwort.
Lizenzen sind natürlich kein Problem, da ich als Student diese per Microsoft Dreamspark eh alle (für Testzwecke) habe und benutzen darf.
Habe ich das jetzt richtig verstanden, dass ich den Root als AD-Controller benutzen soll und gleichzeitig auf diesem alle weiteren Dienste wie SQL, Webserver und Exchange?
Eigentlich wird ja genau das nicht wirklich empfohlen und ich hatte auch schon Probleme damit, Exchange und AD-Controller auf einem Rechner zu betreiben.
Dies war der Grund, nun alles virtuell auf weiteren Maschinen auszulagern, um weitere Probleme zu vermeiden und im Grunde genommen einen Ansatz einer Netzwerkstruktur zu haben (wie sie ja in ähnlicher Form auch physikalisch in größeren Netzen verwendet wird).
[Achja: Der Server im RZ ist kein vHost, sondern eine komplette Maschine, auf der ich dann selber meine vHosts einrichten wollte. Falls ich mich da nicht ganz richtig ausgedrückt haben sollte...]
Ich werde auf alle Fälle mal alle Dienste auf eine virtuelle Maschine packen und schauen, ob es diesmal läuft, nur um sicher zu gehen. Auch wenn das natürlich nicht wirklich die bevorzugte Lösung ist.
MfG Fynn
NEIN! ;) Nochmals einen AD, da ich Annehme der AD1@Home ist wohl auch virtuell (hoffe ich? und nicht direkt neben dem Hyper-V?). Daher: Nochmals eine Maschine auf die dann repliziert wird. Andernfalls provozierst du ein Problem indem du den Exchange gegen deinen HomeAD authentifizieren lässt (man weiss ja nie).
Das heisst dein Netz im RZ sieht so aus
[Root /vHost -> Hyper-V]
-- [Firewall -> SW Firewall deiner Wahl]
-- [AD2 -> AD]
-- [Ex -> Exchange]
-- [SQL ->MSSQL]
Die 4 sind virtuell.
Grüße.
Das heisst dein Netz im RZ sieht so aus
[Root /vHost -> Hyper-V]
-- [Firewall -> SW Firewall deiner Wahl]
-- [AD2 -> AD]
-- [Ex -> Exchange]
-- [SQL ->MSSQL]
Die 4 sind virtuell.
Grüße.
Alles klar, stimmt - ich hatte das völlig falsch interpretiert.
Wobei mir jetzt immer noch die Grundfrage im Kopf herummschwirrt, wie ich die Verbindung nach außen herstelle, da ja sowohl der Hyper-V-Host als auch die VM-Firewall nach außen kommunizieren müssen.
Dabei steht mir aber nach wie vor nur eine Schnittstelle mit einer public-IP zur Verfügung. Einfach die IP auf die Firewall setzen wäre ja einfach, nur wie erreiche ich dann noch das Host-System? Netzwerkbrücke oder zweite IP einrichten fällt mir dazu gerade nur ein, würde das gehen?
Einfach der Firewall-VM den Haupt-Netzwerkadapter zuweisen sollte ja mangels zweiter IP nicht funktionieren, oder?
Wobei mir jetzt immer noch die Grundfrage im Kopf herummschwirrt, wie ich die Verbindung nach außen herstelle, da ja sowohl der Hyper-V-Host als auch die VM-Firewall nach außen kommunizieren müssen.
Dabei steht mir aber nach wie vor nur eine Schnittstelle mit einer public-IP zur Verfügung. Einfach die IP auf die Firewall setzen wäre ja einfach, nur wie erreiche ich dann noch das Host-System? Netzwerkbrücke oder zweite IP einrichten fällt mir dazu gerade nur ein, würde das gehen?
Einfach der Firewall-VM den Haupt-Netzwerkadapter zuweisen sollte ja mangels zweiter IP nicht funktionieren, oder?
Schau mal in deine Nachrichten.
Bei einer Bridge auf den vSwitch benötigst du logischerweise zwingend weitere öffentliche IP Adressen für die VMs an diesem Switch.
Ohne weitere Adressen musst du zwangsweise NAT machen und dann mit Port Forwarding arbeiten an der NAT Schnittstelle. Also alle Mail Ports an die interne IP des Exchange forwarden und TCP 80 und 443 an den Webserver usw. Das klassische Setup was man auch an einem Heimrouter macht wenn man selber Server hostet hinter der NAT Firewall des DSL Routers.
So einfach ist das....sollte man als Student ja eigentlich auch wissen wenn man nicht gerade Ur- und Frühgeschichte studiert ?!
Ohne weitere Adressen musst du zwangsweise NAT machen und dann mit Port Forwarding arbeiten an der NAT Schnittstelle. Also alle Mail Ports an die interne IP des Exchange forwarden und TCP 80 und 443 an den Webserver usw. Das klassische Setup was man auch an einem Heimrouter macht wenn man selber Server hostet hinter der NAT Firewall des DSL Routers.
So einfach ist das....sollte man als Student ja eigentlich auch wissen wenn man nicht gerade Ur- und Frühgeschichte studiert ?!
Zitat von @aqui:
So einfach ist das....sollte man als Student ja eigentlich auch wissen wenn man nicht gerade Ur- und Frühgeschichte studiert
Mal abgesehen davon, dass ich tatsächlich nicht im IT-Bereich studiere und sonst auch wenig mit Netzwerken zu tun habe, bei denen kein selbstverwalteter Router vor den Servern hängt, sondern nur für mich privat ein wenig experimentiere, habe ich mittlerweile auch schon eine Lösung gefunden.So einfach ist das....sollte man als Student ja eigentlich auch wissen wenn man nicht gerade Ur- und Frühgeschichte studiert
In meinem Fall geht es tatsächlich nur mit weiteren IP's, allerdings müssen diese auch zwingend über NAT laufen, da bei meinem Root-Hoster keine Möglichkeit besteht, weitere IP's an andere MAC-Adressen als an die der physikalischen Karte zuzuweisen.
D.h. lautet das Stichwort in diesem Falle Routing und nicht Switching, wie es üblich wäre.
Ich werde mir trotzdem einen anderen Hoster für diesen Zweck suchen, bei dem ich einfach den virtuellen Maschinen eine IP zuweisen kann.
