Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

ESXi Host - Cisco Router - internes LAN (IP forwarding cisco Router)

Frage Virtualisierung

Mitglied: StrongOne

StrongOne (Level 1) - Jetzt verbinden

05.03.2011 um 15:29 Uhr, 7261 Aufrufe, 3 Kommentare

Servus zusammen!

Ich hab hier mal ein, wie ich finde, kniffliges Problem.

Eckdaten:

HP DL 385 G1 Server mit ESXi 4.1.

3x LAN
6xVMs
3x vSwitche

Aufbau:

Internetverbindung ist an der 1. LAN-Karte angeschloßen. Diese wird vom ESXi auf den 1 vSwitch gelenkt. Am vSwitch ist eine VM mit Endian Firewall konfiguriert auf der OpenVPN eingerichtet ist und 2x virtuelle LAN-Karten besitzt.

Die zweite virtuelle LAN - Karte vom Endian geht auf den 2 vSwitch, wo noch eine VM mit WSUS drauf hängt. Am 2 vSwitch ist noch eine physische LAN-Karte angebunden, welche zu eine physischen Cisco 2600 Router geht (dies ist die DMZ).

vom cisco Router geht die Verbindung an einen cisco Switch.
Cisco Switch sind die Clients und ESXi (3.vSwitch) angeschlossen.
Am 3. vSwitch sind die virtullen Server für das interne LAN.

Somit sind drei LANs vorhanden. LAN1 (internet) LAN2(DMZ) LAN3(internes LAN).

Hoffe das Grundgerüst ist erst mal gut verständlich.

Mit der OpenVPN Verbindung gelangt man in die DMZ. Um Verbindung in der DMZ zur WSUS VM und zum Cisco Router zu erhalten, musst der Promiscuous-Modus beim vSwitch 2 aktiviert werden.

Weiter ist beim Cisco - Router ein NAT konfiguriert um das interne LAN von der DMZ abzuschotten.

Dies sollten nun alle wichtigen Eckdaten sein.

Mein Problem ist nun folgendes:

Ich möchte gerne mich mit der OpenVPN-Verbindung in die DMZ einwählen und dann per IP forwarding des Cisco-Routers an einen Server (WTS) im internen LAN anmelden.

Die Open-VPN Verbindung in die DMZ läuft ohne Probleme.

Beim Cisco-Router habe ich weiter die Konfiguration

01.
ip nat inside source static tcp <WTS-IP> 3389 <IP-von der OpenVPN-Verbindung> 3389
eingerichtet.

Versuche ich nun per mstsc eine Verbindung zum WTS aus der DMZ herzustellen, schreit der Cisco-Router duplicated Adress und die MAC.

Nun hänge ich an der Stelle und weiß groß keinen Weg weiter.

Beim vSwitch habe ich schon die option MAC-Adressänderungen abgelehnt. (kein Erfolg)

Bei cisco habe ich schon von einer Funktion HSRP gelesen, kann damit aber noch nicht viel anfangen.

Vllt. schaffen wir es gemeinsam eine Lösung zu finden.

Gruß und Dank.
Mitglied: aqui
05.03.2011 um 21:12 Uhr
Dein Static NAT Kommando auf dem Cisco ist falsch ! Dort muss die IP des Cisco Interfaces (oder eine freie aus dem Subnetz) stehen, denn das ist deine virtuelle Zieladresse für den WTS Server ! D.h. diese musst du als Ziel für den WTS angeben.
Dadurch das du NAT machst achtet der Cisco auf eingehende Verbindungen an diese IP und leitet sie dann weiter.
Wenn du das änderst klappt es auf Anhieb !
Nebenbei gesagt hättest du das in 5 Minuten auch selber rausbekommen hättest du nur einmal des Debugging für IP NAT auf dem Cisco eingeschaltet !
Eigentlich ist es auch völlig unsinnig und kontraproduktiv hier NAT zu machen. Besser und sinnvoller wäre ein transparentes Routing und entsprechende Accesslisten auf beiden Interfaces um die DMZ zu schützen.
Bitte warten ..
Mitglied: StrongOne
05.03.2011 um 22:46 Uhr
Sehr arogante Hilfestellung!

Aber danke trotzdem für den Denkanstoss. War wahrscheinlich ein Denkfehler auf meiner Seite. Aber werde ich erst noch testen.
Bitte warten ..
Mitglied: aqui
06.03.2011 um 16:53 Uhr
Was ist daran denn bitte arrogant ?? Sorry, aber auf der Cisco Webseite ist doch alles explizit erklärt:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...
Erste Anlaufstelle ist dann doch die Doku des Herstellers, oder ?
Und zum Troubleshooting bietet doch Cisco all diese hilfreichen Debug Kommandos wenn man es denn so löst wie du was wirklich etwas umständlich ist und dir doch erhebliche Fussfallen stellt in die du ja auch prompt getappt bist.
Warum das arrogant sein soll weisst wohl nur du...aber nungut. Quis ullam pro beneficiis deberi putat gratiam?
Bitte warten ..
Ähnliche Inhalte
Server-Hardware
Planung Esxi Host (1)

Frage von Juckie zum Thema Server-Hardware ...

Virtualisierung
ESXI-Host mit Nadelöhr: Netzwerkkarten (4)

Frage von MadSquirrel zum Thema Virtualisierung ...

Router & Routing
VoIP hinter Cisco Router (23)

Frage von PharIT zum Thema Router & Routing ...

Vmware
gelöst ESXi Host not responding (6)

Frage von chhadm zum Thema Vmware ...

Neue Wissensbeiträge
Entwicklung

Exploit Development

Anleitung von burhanudinn123 zum Thema Entwicklung ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(1)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Netzwerkprotokolle
Leiten "dumme" Switches VLAN-Tags mit durch? (17)

Frage von coltseavers zum Thema Netzwerkprotokolle ...

Router & Routing
gelöst Linksys wrt1200ac v2 mit dd-wrt: keine vlan-einstellungen im GUI (15)

Frage von Pixi123 zum Thema Router & Routing ...

E-Business
Wo tragt ihr eure privaten Termine ein? (13)

Frage von honeybee zum Thema E-Business ...

Windows Server
Terminalserver starten willkürlich neu (12)

Frage von thaefliger zum Thema Windows Server ...