Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Probleme mit Monowall bei VMWare?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: christian87

christian87 (Level 1) - Jetzt verbinden

10.08.2011, aktualisiert 18.10.2012, 6404 Aufrufe, 10 Kommentare

Hallo Community, aus aktuellem Anlass hab ich ein Problem, in dem es um Monowall in Verbindung mit VMWare geht.

Also, nun zur Ausgangssituation: Ich möchte in einem kleinen Unternehmen ein Gäste WLAN einrichten, dass eine Benutzeranmeldung hat.
Da bin ich hier auf den Seiten auf Monowall gestoßen. Ich hab also einen virtuellen PC mit WinXP und eine mit Monowall aufgesetzt.
Die VM mit Monowall hat 2 NICs, wovon eine im "VMNet3" mit der IP 192.168.0.3/24 ist. Im gleichen Netzt ist der XP-PC mit der IP 192.168.0.2/24
Der zweite Netzweradapter der Monowall ist als "Bridget" mit der IP 192.168.168.205/24 eingerichtet und hängt so in einem Netzt mit dem örtlichen Router, mit der IP 192.168.168.230

Bei Monowall hab ich die WAN-Einstellungen folgendermaßen vorgenommen: IP: 192.168.168.205/24 und Gateway 192.168.168.230...also der Router und es werden auch LANs zugelassen, habe also das Häkchen aus der Option ganz unten entfernt, diese zu blocken.
Bei dem XP-PC ist als Standardgateway die IP 192.168.0.3/24 von Monowall angegeben.

Nun zum Problem:

1x hat das bisher schon mit der Passwortabfrage über Captive Portal funktioniert, mit genau diesen Einstellunge. 3 Minuten später ging's nicht mehr???!!!
Der Router und die 2. NIC von Monowall sind dann auch vom XP-PC nicht mehr per PING erreichbar?

Danke schonmal im vorraus
Christian
Mitglied: aqui
10.08.2011, aktualisiert 18.10.2012
Dir ist klar das der Host PC auch 2 physische NICs haben muss ?? Ist das bei dir der Fall ??
Mit nur einer physischen NIC ist eine Installation von Monowall in einer VM nicht möglich !! (Keine physische Trennung der LAN / WAN Ports möglich !)
Logisch gesehen ist die Verbindung dann so:

(Internet)===Router----192.168.168.0----NIC-1===Bridged----WAN Port(VmNIC)_Monowall_LAN Port(VmNIC)----Bridged===NIC-2---lokales LAN 192.168.0.0 /24--PC

Generell sollte man immer von der Installation einer Firewall in einer VM aus Sicherheitsgründen absehen !
Besser (und preiswerter in Bezug auf Stromkosten bei Dauerbetrieb) ist ein dediziertes Gerät wie hier beschrieben:
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Bitte warten ..
Mitglied: christian87
11.08.2011 um 07:31 Uhr
Bei mir gestaltet es sich aber so, dass nur 1 NIC bridged ist und der LAN-NIC von Monowall und der des PC im virtuellen VMNet 2 sind.
In etwa so:

(Internet)===Router---192.168.168.0---NIC-1===Bridged---WAN Port(VmNIC)_Monowall_LAN Port(VmNIC)---VmNet2===NIC-2---lokales LAN 192.168.0.0--PC

...und eben diese Konfiguration hat 1x funktioniert, ich hab danach nichts verändert, aber der WAN-Port war dann nicht mehr zu erreichen???
Bitte warten ..
Mitglied: aqui
11.08.2011 um 12:13 Uhr
OK, du hast also das LAN Interface der Monowall mit in der VM an einem separaten VM Adapter so wie hier in der Alternative mit dem virtualisierten Rechner dargestellt:

90d51a028d00925b249e137b85785ddb - Klicke auf das Bild, um es zu vergrößern

und den "PC" auch virtualisiert und dessen virtuelle NIC per Bridge Mode an eben diesen VM Adapter gehängt.
Wichtig ist dabei zu prüfen das es keinerlei interne Verbindung zwischen den beiden VM Adaptern gibt, andernfalls kann es zu solchen Effekten kommen.
Ferner solltest du ganz sicher prüfen das die VM Adapter auch den richtigen LAN bzw. WAN Interfaces der Monowall zugewiesen sind.
Das kannst du in der Monowall GUI machen in den Adapter Einstellunge und dir dort die Mac Adressen notieren.
Diese vergleichst du mit den VM Adaptern im Host und prüfst ob die korrespondieren zu den entsprechenden IP Netzen.

Bedenke zusätzlich das der WAN Port aus dem 192.168.168.0 /24 Netz nicht zu erreichen ist, denn die Firewall blockt alle Zugriffe auf den WAN Port so wie es für einen Firewall üblich ist.
Wenn du den WAN Port pingen willst oder was auch immer musst du zwingend in den Firewall Regeln dieses auch erlauben ! Der WAN Port blockiert per Default alle Zugriffe wie es sein soll bei einer FW !!
Ferner solltest du in den Monowall Settings am WAN Port das Blocking von RFC 1918 IP Netzen abschalten. (Haken setzen). Da du ein RFC 1918 IP Netz auf dem WAN Port benutzt ist das essentiell wichtig !
Wenn man diese Punkte bedenkt sollte alles problemlos funktionieren.
Bitte warten ..
Mitglied: christian87
11.08.2011 um 13:40 Uhr
Also:
Der Aufbau, den du da aufzeigst entspricht dem, was ich konfiguriert hab!

Welche "internen Verbindungen zw. den Adaptern"? 1 Adapter (WAN)ist "bridged" auf die NIC von meinem Laptop und die "LAN-NICs" sind VmNet2....und wenn ich bei der Vm "Monowall" die Adaptereinstellungen vertausche bekomme ich keine Verbindung mehr mit dem PC...also gibt's da wohl keine interne Verbindung.

Somit ist auch geprüft, ob LAN/WAN richtig zugewiesen sind, denn wenn nicht, wäre auch kein PING im LAN vom virtuellen XP-PC auf die LAN-NIC von Monowall möglich oder???
Das Blocking hab ich auch ausgestellt.

Deshalb frag ich mich ja die ganze Zeit, warum das nicht geht?! Ich schreib nochmal ganz fix die genau Konfiguration auf, hab nämlich alles nochmal neu gemacht und die Adressen haben sich en bissl geändert, aber ist grundsätzlich das Gleiche geblieben:

Monowall: IP-LAN: 192.168.0.1 in VmNet2
IP-WAN: 192.168.168.249-->Bridged ins reelle LAN
Gateway: 192.168.168.230 (Router im reellen LAN)

(Internet)===Router(192.168.168.230)===NIC-WAN(192.168.168.249)/Gateway(192.168.168.230)---Monowall---NIC-LAN(192.168.0.1)===PC(192.168.0.2)/Gateway(192.168.0.1)

virtueller PC: IP-LAN:192.168.0.2
Gateway: 192.168.0.1
DNS-Server: 192.168.168.230
Mit der Konfiguration bekomme ich von der XP-Vm kein Ping auf den Router im reellen Netz, also auch kein I-Net, lediglich die NIC der Monowall im LAN ist von der XP-Vm erreichbar. Von Monowall geht der Ping in !BEIDE! Netze...

Weiterhin ist wie oben beschrieben das Blocken von LAN-Zugriffen in den WAN-Optionen deaktiviert und wie gesagt, 1x hat das ja schon alles gegeht...aber nur 1x???
Bei den Firewall-Regeln ist nicht festgelegt, weder bei WAN, noch bei LAN.
Bitte warten ..
Mitglied: aqui
11.08.2011 um 17:16 Uhr
Wichtig ist das die VmNet2 Karte im Host Modus arbeitet ! Damit ist sie im Host Rechner bzw. dessen physischer NIC isoliert, kann also nur so als Punkt zu Punkt Verbindung zw. LAN Port und virtuellem PC arbeiten. Das musst du in jedem Falle sicherstellen !
Das LAN Interface der FW .0.1 sollte vom virtuellen PC aus pingbar sein !
Sonst ist deinen IP Adressierung korrekt mit einer einzigen Ausnahme dem DNS-Server: 192.168.168.230. Normalerweise ist die FW DNS Proxy und die .0.1 sollte DNS sein.
Denk dran das wenn du die IP Adresse am WAN Port NICHT per DHCP vom Router beziehst sondern statisch einträgst, das du in der FW auch den DNS Server also die Router IP statisch konfigurieren musst ! letztlich ist das aber erstmal fürs Ping testen nackter IPs nicht relevant.
Hast du den virtuellen PC mal in den DHCP Modus versetzt um zu sehen ob die FW einen korrekte IP Adresse vergibt ?!
Kannst du den WAN Port .168.249 vom LAN pingen ?
Hast du mal ins Firewall Log gesehen ob dort irgendwelche Blockings angezeigt werden ?
Bitte warten ..
Mitglied: christian87
12.08.2011 um 09:19 Uhr
Also...wie soll ich denn die VmNet2 Karte in den Host-Modus bringen??? "VmNet 2 "ist doch schon ein eigenes, geschlossenes Netzwerk und es gibt doch beim VmWare Workstation nur die Möglichkeiten "Host-Only", NAT,Bridged und dann diese virtuellen VmNet 2-9 oder so...

Das LAN Interface der FW also die 192.168.0.1 ist problemlos pingbar.

Der virtuelle PC hat auch schon problemlos im DHCP-Modus gearbeitet, ja, hab ich gestern mal probiert.

Auf den WAN Port kann ich dann nicht mehr pingen...hab iwie das Gefühl, das die Weiterleitung zw. den Adaptern im virtuellen Netz und dem Bridged nicht funktioniert??? Also quasi die Weiterleitung zw. den 2 NICs in der Monowall.

Ich hab gestern auch mal probehalber 2 Firewall-Regeln erstellt, so, dass sie alles durchlassen, 1x für den LAN-Port und 1x für den WAN-Port....hab also die Regel "Pass" gemacht und überall "any"...somit sollte ja alles durchgelassen werden.
Bitte warten ..
Mitglied: aqui
12.08.2011 um 18:55 Uhr
Kannst du dann mit dieser any to any Regel am WAN Port den WAN Port anpingen ?
Das würde dann bedeuten von den jeweiligen Netzwerk an LAN und WAN wäre die FW erreichbar !
Das würde dann im Umkehrschluss auch bedeuten das in der VM intern irgendwas mau ist und nicht funktioniert.
Gibts ggf. in den FW Logs irgendwelche Besonderheiten ?
Wenn du über das Terminal in der MW in die FreeBSD Shell gehst und dir mit demsg die Bootmessages ansiehst kannst du da was fehlerhaftes entdecken ?
Bitte warten ..
Mitglied: mrtux
15.08.2011 um 00:36 Uhr
Hi !

Ich habe schon vor längerer Zeit eine kleine Testumgebung mit Virtual Box aufgebaut und das hat völlig problemlos (und auf Anhieb) geklappt...

Die Monowall hängt mit ihrem WAN Port (per fester IP und Bridging) am lokalen Netz und die Testnetze wurden als interne virtuelle Netze eingerichtet. Die Monowall verhält sich dabei so, als wäre sie auf einem ALIX Board. Ein virtuelles Netzwerk verwende ich für Tests mit dem Captive Portal und ein weiteres virtuelles Netz als LAN um die Firewallregeln zu testen. Per Portforward (und Freigabe in der FW) ist über den WAN Port sogar die Administration von einem beliebigen Rechner aus dem lokalen Netzwerk (also ausserhalb des VB Gastgebers) über die GUI der Mono möglich....

Was mit VB klappt, sollte eigentlich auch mit VMWare möglich sein, da ich zudem auch noch das offizielle VMWare Image (von der Monowall Homepage) verwendet habe...

mrtux
Bitte warten ..
Mitglied: christian87
15.08.2011 um 02:26 Uhr
ich kann leider selbst mit dieser Regel den WAN-Port nicht pingen...bin langsam echt ratlos...vorallem, weil's 1x funktioniert hat...werd's evtl. mal mit virtual Box probieren...

es geht immer nur der PING auf den LAN-Port...darüberhinaus ist nichts möglich
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(1)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows 7
gelöst Sind euch verstärkte Probleme bei Windows 7 Updates aufgefallen? (4)

Frage von RadioHam zum Thema Windows 7 ...

Cloud-Dienste
gelöst OwnCloud 8 Probleme mit Vorschaubildern auf Mobilgeräten (1)

Frage von zeroblue2005 zum Thema Cloud-Dienste ...

Vmware
VMware ESXi für Schulen? (3)

Frage von mrserious73 zum Thema Vmware ...

Windows 10
gelöst VPN Verbindung Probleme (7)

Frage von Yeter2 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (10)

Frage von 1410640014 zum Thema Backup ...