cnewbee
Goto Top

Netzwerkroutingproblem Mein VMWare Gast W2003 Web u. Mailserver ist vom Internet aus nicht erreichbar das Hostsystem ist ein w2008R2 mit 2 NICs 1 fuer LAN 1 fuer WAN

Hallo alle zusammen - ist mein erster Beitrag, hoffe, das Problem ist nicht zu trivial und hoffe auf eine Lösung/Antworten/Ideen für folgende Konfiguration und das damit zusammenhängende Problem:

Ausgangsbasis:
Windows Server 2008 R2 mit VMware Workstation 7 = Host und einer VM = Gast mit W2003.
2 Netzwerkkarten (Broadcom) / 1 x für das interne Netzwerk (LAN) / 1 x für das externe Netzwerk WAN
Voraussetzung für die IP-Konfiguration: Nur feste IP-Adressen (interne = beliebig viele und externe nur 3)

Hostkonfiguration:
Netzwerkkarte 1 = LAN: IP-Adresse: 192.168.0.30 und .31 als Gateway und DNS wird nichts eingetragen
Netzwerkkarte 2 = WAN: IP-Adresse 213.167.87.96 - .96 Subnetz: 255.255.255.248 Gateway: 213.167.87.93 DNS1: 213.167.18.98 und 213.167.17.98

Gastkonfiguration in der VM:
Netzwerkkarte 1 = LAN gebridged: IP-Adresse: 192.168.0.30 und .31 als Gateway und DNS wird nichts eingetragen
Netzwerkkarte 2 = WAN gebridged: IP-Adresse 213.167.87.96 - .96 Subnetz: 255.255.255.248 Gateway: 213.167.87.93 DNS1: 213.167.18.98 und 213.167.17.98

In der VM läuft ein Mail- und Webserver. Alle Firewalls von beiden Host und Gast sind ausgeschaltet. In der VM kommen keine Pakete an. Wie muß ich Host und Gast konfigurieren, damit der Gast ans Internet angebunden ist und der Webserver läuft? Wo ist mein Denkfehler?

Anmerkung: Aktuell läuft noch ein W2K-Server mit der "Hostkonfiguratio" einwandfrei - dieser soll aber virtualisiert werden - nur ohne die Netzwerkverbindung geht das nicht....
Danke vorab für hilfreiche Inputs.

Content-Key: 134277

Url: https://administrator.de/contentid/134277

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: Mike-M
Mike-M 25.01.2010 um 13:10:11 Uhr
Goto Top
Frage: haben Host und Gast die gleichen IP's ?

Mike
Mitglied: cnewbee
cnewbee 25.01.2010 um 13:24:40 Uhr
Goto Top
Hallo Mike, ja so habe ich das konfiguriert. Beim LAN kann ich dem Host und dem Gast unterschiedliche Adressen geben, das funktioniert auch. z.B. LAN-Host: 192.168.0.30 + .31 und LAN-Gast 192.168.0.32 + .33 Aber wie soll ich das für die begrenzten 3 wichtigen WAN-Adressen machen? Die Gast-VM soll auf alle drei IP-Adressen hören? Wie müßte die Konfig sein, damit das funktioniert? Eine Idee?
Mitglied: Mike-M
Mike-M 25.01.2010 um 13:30:37 Uhr
Goto Top
Hi cnewbee,

hilf mir mal weiter. Ich stehe da ein bisschen auf dem Schlauch. Was ist eigentlich bei dir zwischen dem Server und dem Internet?

Mike
Mitglied: cnewbee
cnewbee 25.01.2010 um 13:46:17 Uhr
Goto Top
Hi Mike, zwischen Server und Internet ist ein Router, den ich aber nicht weiter konfigurieren kann/will (mir fehlen die Daten zu dem Gerät). An diesen angeschlossen steht im Moment noch der alte w2K-Server mit der Netzwerkkonfig wie oben beschrieben 1 LAN-Nic und ein 1 WAN-Nic. Ich will "einfach " nur die beiden Netzwerkkabel von dem alten Server an den neuen HOST-Server stecken und dann sollte es laufen - tuts leider nicht. Es muß etwas zwischen dem W2008-Server und der VM liegen, was das Ganze blockiert/behindert. Vielleicht lassen wir mal die LAN-Konfig raus - und konzentrieren und nur auf die WAN-Schnittstelle. Wie müßte ich diese konfigurieren, damit nicht mein Host-System auf den Gedanken kommt etwas machen zu müssen sondern möglichst alle drei IP-Adressen die VM-Gast-Maschine erreichen. Zur not könnte ich eine IP-Adresse für den Host "opfern". Habe ich auch schon getestet - nichts kommt in der VM an. Konfig hier war:

Host: Netzwerkkarte 2 = WAN:
IP-Adresse 213.167.87.96
Subnetz: 255.255.255.248
Gateway: 213.167.87.93
DNS1: 213.167.18.98 und 213.167.17.98

Gast: Netzwerkkarte 2 = WAN gebridged:
IP-Adresse 213.167.87.97 + .98
Subnetz: 255.255.255.248
Gateway: 213.167.87.93
DNS1: 213.167.18.98 und 213.167.17.98

Ich verstehe nicht, warum die Pakete nicht durchgehen....???
Mitglied: Mike-M
Mike-M 25.01.2010 um 14:01:59 Uhr
Goto Top
Hi,

bei einem 248 Netz hast du schon mal 6 IPAdressen zur Verfügung. Dann, musst du nach meinem Verständniss, intern nicht auf externe IP's zugreifen. Das macht der Router, der dir von aussen, die Firewall dementsprechen konfiguriert, den Verkehr regelt. Ich verstehe immer noch nicht, warum du an deinem Server die IP's

IP-Adresse 213.167.87.97 + .98
Subnetz: 255.255.255.248
Gateway: 213.167.87.93

Wobei die Range bei 255.255.255.248 mit dem GW nich passen kann.

213.167.87.88 - 213.167.87.95 oder
213.167.87.96 - 213.167.87.103

Du hast bei einer IP 97 oder 98 ein GW 93 das in einer anderen Range sitzt. Aber da bin ich nicht der absolute Fachmann.

einstellen willst. Soviel ich verstanden habe, hast du intern einen Exchange laufen, der dir deine Mails hostet. Wie kommst du also einfach so mit deinem Server auf die öffentliche IP?

Mike
Mitglied: cnewbee
cnewbee 25.01.2010 um 14:21:32 Uhr
Goto Top
Sorry hatte ich vergesse zu erwähnen - die anderen IP-Adressen sind vom Router entsprechend anderen Servern zugewiesen. Was ie IP-Adressen angeht so habe ich die nochmals nachgeschaut:
Der Router = Gateway hat die 213.167.87.93 die .94-96 hat mein Mail- und internetserver (Domino)
Die DNS-Server sind 213.167.67.18 (DNS1) und 213.167.68.18 (DNS2). Der alte Server funktioniert einfach mit diesen Einstellungen - bei der neuen Kombi aus Host und Gast bekomme ich das nicht hin. Frage: wie müßte der Host-Nic2 konfiguriert sein, damit er der VM-Gast den gesamten IP-Verkehr weiterreicht? und wie die VM-Gast-Nic, die im Moment bridged ist?
cnewbee
Mitglied: Mike-M
Mike-M 25.01.2010 um 14:40:53 Uhr
Goto Top
So wie du das beschreibst,sitzt du mit einem Bein direkt im Internet. Was ich nicht glauben kann.

Internet --> 213.167.87.93 Router --> LAN 192.168.0.30 + .31 (Mail Server usw.)

So ungefähr sollte es aussehen. (DMZ einmal außen vor gelassen). Was du da jetzt vor hast kann ich leider nicht nachvollziehen. Du musst einmal auf deinem Router schauen, wie die Regeln NAT, D-NAT usw. eingestellt sind.

Dann kannst du dir von Haus aus die zweite Netzwerkkarte sparen, und der Verkehr zwischen WAN und LAN wird sicherer.

Mike
Mitglied: cnewbee
cnewbee 25.01.2010 um 15:31:56 Uhr
Goto Top
Ja der Server steht quasi mit einem Bein im Internet. Im Router sind aber nur die Ports eingestellt, die der Mail und Webserver bedient (Firewall-Regeln). In meinem Host und Gastsystem habe ich die Firewall deshalb komplett ausgeschaltet.

Aktuell ist die Konfig so:
Internet --> 213.167.87.93 Router --> 213.167.87.94 WAN an Nic2 W2K Mail-Webserver <- 192.168.0.30 LAN an Nic1

So soll sie zukünftig sein:
Internet --> 213.167.87.93 Router --> 213.167.87.94 WAN an Nic2 W2K8 -> Gebridged (geroutet) auf 213.167.87.95 +.96 VM W2k3 Mail-Webserver an Nic2 der VM <- 192.168.0.31 LAN an Nic1 der VM
Mitglied: Mike-M
Mike-M 25.01.2010 um 15:37:25 Uhr
Goto Top
Mal ganz ehrlich. Du willst mich veräppeln. Warum macht man sowas?

Mike
Mitglied: cnewbee
cnewbee 25.01.2010 um 15:51:32 Uhr
Goto Top
Was meinst Du?
Die Firewalls auf den Servern (Host und Gast) habe ich nur ausgeschaltet, damit diese nicht den Netzwerkverkehr zur VM behindern können - was ja mein eigentliches Problem ist.

Die Pakete gehen aktuell nicht durch den W2k8-Server zur VM durch und ich verstehe nicht warum. Die Konfiguration wie sie jetzt mit dem w2k-Server ist, habe ich nicht zu verantworten - will da auch nichts daran ändern - nur den Server durch eine VM ablösen und den Betrieb so weiter laufen lassen.

Sicher hast Du recht, daß man das ganze in dem von Dir o. beschriebenen Sinne vereinfachen könnte - nur aktuell habe ich keinen Zugriff auf den Router....
Mitglied: Mike-M
Mike-M 25.01.2010 um 16:06:33 Uhr
Goto Top
Der Router = Gateway hat die 213.167.87.93 die .94-96 hat mein Mail- und internetserver (Domino)

Das kann so nicht stimmen. du kommst von 96 nicht auf das GW 93 mit der augenblicklichen Konfiguration. Vor allem wenn ich jetzt nicht den Überblick verloren habe, haben Host und Gast die gleichen IP's. Kann auch nicht funktionieren.

Mike
Mitglied: cnewbee
cnewbee 25.01.2010 um 16:13:55 Uhr
Goto Top
So ist aktuell die Konfig:

213.167.87.93 = Gateway
213.167.87.94 = FTP-Server
213.167.87.95 = Mail-Server
213.167.87.96 = Web-Server

Zukünftig sollte sie so sein:

213.167.87.93 = Gateway
213.167.87.94 = Host-System
213.167.87.95 = Gast-VM Mail-Server
213.167.87.96 = Gast-VM Web-Server

Aber die IP-Pakete wollen nicht zum Gastsystem und ich kann mir die Ursachen nicht erklären. Was kann man da auf dem Host oder dem Gast testen, um die Ursache zu finden?
Mitglied: Mike-M
Mike-M 25.01.2010 um 16:36:41 Uhr
Goto Top
Nochmal:

bring zuerst einmal deine Umgebung in Einklang. Du hast eine Subnetmask von 255.255.255.248 ein Gateway 213.167.87.93 . Das Netz hat eine Range von 213.167.87.88 - 213.167.87.95. Wobei die 213.167.87.88 die Netzwerkadresse ist und die 213.167.87.95 die Broadcastadresse ist. Somit kannst du für deine Klients 213.167.87.89 - 213.167.87.94 verwenden. Somit ist z.b. dein Gast WEB Server aussen vor. Dein Mail Server belegt die Broadcastadresse.

Was ist nun die Adresse von deiner VMware Maschiene? Nehmen wir mal an, Daß es die 192.168.0.30 ist. Sonderbar ist schon mal das GW mit der 31. Was ist die Subnet mask.? Ich gehe davon aus, wenn es sich um ein kleines bis mittleres Netzwerk handelt ist es 255.255.255.0 Somit kannst du vor deine VM's schon mal nicht die 192.168.0.30 verwenden.

Ich weiß jetzt nicht aus dem Kopf wie du die zweite Netzwerk Karte mit 213.167.87.94 so einfach unterbringst. Aber du musst zumindestens eine route setzen damit du auf den Host kommst.

Aber wie gesagt, die Konfiguration ist Irrsinn . Du ladest dir nur Ärger auf.

Mike
Mitglied: aqui
aqui 25.01.2010 um 19:04:38 Uhr
Goto Top
Abgesehen das so eine Konstellation wirklich Blödsinn ist, denn wer exponiert schon einen Server direkt im Internet, hätte man sich die ganze hektische Tipperei sparen können bei nur einem intelligenten Blick auf deine IP Adressierung im öffentlichen Subnetz. Mike-M hat da absolut Recht....daran scheitert es schon grundsätzlich !!

Du hast eine Subnetzmaske mit 29 Bits, also folglich 255.255.255.248 wie du oben ja selber schreibst. Damit ergeben sich dann folgende IP Netze bzw. Adressierungsmöglichkeiten:

Netzwerk: 213.167.87.88, Gültiger IP Adressbereich: 213.167.87.89 bis 213.167.87.94, Broadcast Adresse: 213.167.87.95

.95 und .96 sind also vollkommen ungültige IP Adressen in diesem Subnet denn die .95 ist eine Broadcast IP die gar nicht vergeben werden darf. Ebenso nicht die .96, denn das ist die Netzwerk IP des darauf folgenden IP Netzes mit folgenden Daten:

Netzwerk: 213.167.87.96, Gültiger IP Adressbereich: 213.167.87.97 bis 213.167.87.102, Broadcast Adresse: 213.167.87.103

Fazit: bevor du hier weitermachst kläre erstmal genau deine IP Adressierung in deinem öffentlichen IP Segment !!!
Dann können wir mal weitermachen hier. (Vermutlich löst das schon das Problem ?!)