itallrounder
Goto Top

Routing mit virtueller Hyper-V PFSense

Hallo mit einander,

ich hatte ja letztens bereits eine Frage gestellt bezüglich einer VPN Site to Site. Das steht soweit aber ich bin gerade etwas ratlos...

Hier mal eine Übersicht der Netzwerke:
fc6d1aa5cc9a7b6ee20c17bd0ee4d550


Mein Problem ist das beide Hosts nun über die öffentliche WAN IP der PFSense lauschen und surfen.
Wenn ich nun also was auf dem Host herunterlade, geht das ganze über einen virtuellen Switch, auf die PFSense von dort aus über einen anderen v-Switch und dann über eine dedicated nic.


Hier mal die IP Configs:

Host 01:


Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : srv2host01
Prim„res DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein

Ethernet-Adapter vEthernet (10.20.1.0 24):

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Hyper-V-Adapter - virtuelles Ethernet #3
Physische Adresse . . . . . . . . : 00-15-5D-3A-8C-00
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 10.20.1.130(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 10.20.1.1
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter vEthernet (11.22.33.0 27):

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Hyper-V-Adapter - virtuelles Ethernet #2
Physische Adresse . . . . . . . . : 0C-C4-7A-44-0F-4C
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 11.22.33.130(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.224
Standardgateway . . . . . . . . . : 11.22.33.129
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter Ethernet 2:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) I350 Gigabit Network Connection #2
Physische Adresse . . . . . . . . : 0C-C4-7A-44-0F-4D
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.{0E0078F6-E673-442C-AC5F-A888F7EA427C}:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja

Tunneladapter 6TO4 Adapter:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2002:4f85:3a82::4f85:3a82(Bevorzugt)
Standardgateway . . . . . . . . . : 2002:c058:6301::1
2002:c058:6301::c058:6301
DHCPv6-IAID . . . . . . . . . . . : 452984832
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-13-31-70-0C-C4-7A-44-0F-4C
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert

Tunneladapter Teredo Tunneling Pseudo-Interface:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2001:0:5ef5:79fb:83b:5b4e:b07a:c57b(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe80::83b:5b4e:b07a:c57b%16(Bevorzugt)
Standardgateway . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . : 469762048
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-13-31-70-0C-C4-7A-44-0F-4C
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert

Tunneladapter isatap.{297FEB71-F4B1-4558-AE4B-486EFCE76CA7}:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #3
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja


und der Host 02:


Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : srv2host02
Prim„res DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . :

Ethernet-Adapter vEthernet (10.30.1.0 24):

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Hyper-V-Adapter - virtuelles Ethernet #4
Physische Adresse . . . . . . . . : 00-15-5D-78-98-64
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 10.30.1.140(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 10.30.1.1
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter Ethernet 1 -Host:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : 2-Anschluss-Gigabit-Netzwerkverbindung Intel(R) 82576
Physische Adresse . . . . . . . . : 00-25-90-19-59-20
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 11.22.33.140(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.224
Standardgateway . . . . . . . . . : 11.22.33.129
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{02E838F8-D58D-4DDB-B729-0B2AB719716F}:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja

Tunneladapter 6TO4 Adapter:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2002:4f85:3a8c::4f85:3a8c(Bevorzugt)
Standardgateway . . . . . . . . . : 2002:c058:6301::1
2002:c058:6301::c058:6301
DHCPv6-IAID . . . . . . . . . . . : 603979776
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1A-A2-71-15-00-25-90-19-59-20
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert

Tunneladapter Teredo Tunneling Pseudo-Interface:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2001:0:5ef5:79fb:86c:88f4:b07a:c571(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe80::86c:88f4:b07a:c571%17(Bevorzugt)
Standardgateway . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . : 721420288
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1A-A2-71-15-00-25-90-19-59-20
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert

Tunneladapter isatap.{4C7DB6E6-A5BA-4652-8BB3-9ABDD1D9D2E4}:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #6
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja


Ich stehe gerade etwas auf dem Schlauch....
Eingesetzt wird:
Windows Server 2012R2 mit Hyper-V und PFSense latest Patch 2.24 (?)

Hoffe es blickt da jemand durch und ich habe nicht allzu viel wirrwar geschrieben.
Schönen Abend noch ;)

Content-Key: 280908

Url: https://administrator.de/contentid/280908

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: aqui
aqui 23.08.2015 um 15:06:57 Uhr
Goto Top
Das 10.40er und das 11.33er Netz sidn auf beiden Seiten gleich. Das geht so nicht bei Site to Site VPNs !
Möglich aber das das ein Missinterpretation ist, denn deine Dokumentation der zu routenden Netze ist sehr unübersichtlich und verwirrend.
Du gibst hier ausschliesslich Host IP Adressen an und keine Netze und man weiss überhaupt nicht was lokal und remote ist und wie die Firewalls verschaltet sind.
Besser wäre hier nochmal du postest eine entsprechend korrekte Layer 3 Skizze aus der das eindeutig hervorgeht. Leider ist es genau Wirrwarr den keiner mehr durchblickt face-sad
Mitglied: ITAllrounder
ITAllrounder 23.08.2015 um 15:36:36 Uhr
Goto Top
90f0a5901c695c027b215cc64003bb08

Hoffe mal die Übersicht ist besser.

Also das 10.40.0.0/24 ist ja lediglich das VPN Netz, sollte dementsprechen bei beiden Geräten gleich sein.
Das 11.22.33.128/27 ist mein /27 WAN Netz aus dem RZ.

Die Windows Firewalls auf beiden Hosts ist vorrübergehend aus.
DIe PFSense leitet soweit auch alles durch (Rule : *.*)

Die Sache ist halt:

Trage ich auf beiden Hostservern, das Gateway vom 10.20.1.1 oder 10.30.1.1 ein bekomme ich von den Hosts auch ne Verbidung auf die 10.20.1.136 (was z.B ein MySQL-Server ist. nehme ich das Gateway aus der Konfig am Host raus, kann ich vom Host nicht mehr auf die VM zugreifen. Von VM zu VM komme ich jedoch. Wenn nun allerdings ein Gateway in der NIC eingetragen ist, nimmt er nicht mehr die "statische" WAN Adresse, die der Host eigentlich hat (11.22.33.130 oder 11.22.33.140), sondern er geht über die 11.22.33.132 / 11.22.33.142 (also die WAN IP der PFSense ins Internet. Weshalb einige Dienste auf den Servern amok laufen und teilweise nicht erreichbar sein.
Mitglied: aqui
aqui 23.08.2015 um 18:04:41 Uhr
Goto Top
OK, das macht die Sache klarer....
Frage welches VPN Protokoll nutzt du ??? Die pfSense supportet ja diverse ??
Die Angabe "VPN 10.40.1.x" lässt vermuten das das OpenVPN ist, st das korrekt ?
Hast du dazu das hiesige Tutorial gelesen ?
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

nehme ich das Gateway aus der Konfig am Host raus, kann ich vom Host nicht mehr auf die VM zugreifen
Das ist ja auch klar ! Wenn die VM im 10.20er bzw. auf der anderen seite im 10.30er Segment ist ist es zwingend, das das Gateway auf die pfSense LAN IP zeigt, denn das ist ja der einzige Weg nach "draußen" logisch das hier pfSense und VM immer in einem Host Netzwerk Segment arbeiten was nach außen isoliert ist.
Du musst dan die Firewall Regeln entsprechend anpassen um auch von extern auf das LAN Segment zugreifen zu können.
Man müsste nur nochmal wissen ob du NAT am "WAN" Port machst oder nicht. Das 11er netz des RZ ist vermutlich kein offiziell zugeteiltes öffentliches IP Netz oder ?
Das 11er Netz gehört offizell dem US department of Defense.:
NetRange 11.0.0.0 - 11.255.255.255
CIDR 11.0.0.0/8
OrgName DoD Network Information Center
OrgId DNIC
Address 3990 E. Broad Street
City Columbus
StateProv OH
PostalCode 43218
Country US

Eine ziemlich dumme Wahl für ein RZ IP Netzwerk...nur mal nebenbei !
Mitglied: ITAllrounder
ITAllrounder 23.08.2015 um 19:37:53 Uhr
Goto Top
Ich nutze OpenVPN.
Das Tutorial habe ich während der Einrichtung genutzt und es war sehr hilfreich.

Also die Server sind jeweils mit 1x 1 Gigabit am Switch geuplinkt.
An diesem Switch ist mein /27 Netz geroutet. Dieses wurde vom RZ vergeben, die haben es von RIPE.
Es handelt sich nicht um Bereich 11.22.33.X sondern um 79.133.XXX.XXX
Da ich ungerne überall all meine IP-Adressen niederschreibe...

Das heißt die IP-Adressen laufen soweit an den PFSense als virtual IP zusammen und von da aus, verteile ich die dann auf die v-Server. Entweder mit 1:1 forwoard oder Portforwarding.
Mitglied: aqui
aqui 24.08.2015 aktualisiert um 12:20:26 Uhr
Goto Top
Nur mal kurz nachgefragt: Hyper V kennt diese Unterscheidung in Host, NAT und Bridged Netzwerke intern nicht wie es bei anderen Hypervisoren üblich ist, oder ?
Dort wird lediglich ein vSwitch erzeugt mit entsprechenden VLANs, richtig ?
Nur um jetzt die interne Hyper V Struktur zu verstehen....
Mitglied: ITAllrounder
ITAllrounder 24.08.2015 um 12:34:36 Uhr
Goto Top
Im Hyper-V sind folgende v-Switche angelegt:

WAN - 79.133.XXX.132 und .142
Diese Netzwerkkarte ist eine Hardware NIC welche nur an die PFSense VM geht.

LAN - 10.20.XX.1 und 10.30.XX.1
Virtueller Switch auf "Internes Netzwerk"

Es sind keine VLAN's angelegt.
Mitglied: aqui
aqui 24.08.2015 aktualisiert um 14:59:03 Uhr
Goto Top
Fährst du die 10er Netze dann mit einer 8 Bit Maske ?
Du wirst doch wohl hoffentlich nicht (sofern das 10er gesubnettet ist) mit 2 IP Segmenten auf einem Layer 2 Switch rumpfuschen, oder ?
Mitglied: ITAllrounder
ITAllrounder 24.08.2015 um 13:17:02 Uhr
Goto Top
Die 10er Netze sind alle /24er Netze als Subnetmask kommt also 255.255.255.0 zum Einsatz.
Die 10er sind demncach nicht gesubnettet. und der Switch vom RZ (Juniper Hardware) ist soweit ich weiß ein Layer3...oder war das auf meine V-Switche bezogen
Mitglied: aqui
aqui 24.08.2015 um 14:58:34 Uhr
Goto Top
Das war auf deine vSwitches bezogen. Wie das RZ die 11er netze überträgt ist erstmal völlig egal solange sich die WAN Ports der pfSense "sehen".
Vergiss aber die Anmerkung, ich hatte eine "Denkblockade" face-smile die 10.20er und 10.30er Netze sind ja jeweils die gegenüberliegenden lokalen LANs face-wink

Mit WAN - 79.133.XXX.132 und .142 meinst du dann deine oben in der Skizze bezeichneten 11.22.33er IPs, richtig ?
Soweit ist das dann infrastrukturtechnisch ok:
  • WAN Switch hält ausschliesslich den WAN Port der pfSense und geht auf das RZ Netz
  • LAN Switch hält intern den LAN Port der pfSense und die jeweils lokale VM
Soweit alles richtig wenn sich beide WAN Ports der Firewalls pingen können.
Wo ist jetzt genau das Problem ?
Mitglied: ITAllrounder
ITAllrounder 24.08.2015 um 15:28:05 Uhr
Goto Top
Genau richtig mit den IP's und der Skizze ;)

Das Problem:

Die Hosts haben jeweils "WAN - 79.133.XX.130" und 79.133.XX.140" als Public IP und als Gateway 79.133.xx.129
Da ich von den Hosts allerdings auf die VM's zugreifen muss/will haben ich jeweile eine vNIC mit 10.20.1.130 und 10.30.1.140 sowie jeweile mit der .1 als Gateway.

Wenn ich nun DIenste wie TeamSpeak, FTP, Webserver etc laufen lasse, lauschen diese Dienste standmäßig auf die 10.20.1.130 oder 10.30.1.140
Außerdem laufen die Downloads vom Host über die ganzen vSwitche durch die PFSense...suboptimal da die Geschwindikeit einbricht.

Wenn ich vom Host aus auf "www.wieistmeineip.de" gehe sehe ich die 79.133.XX.142 statt der 79.133.58.140, was für mich auch ein Problem bei der Traffic auswertung ist.

Ich habe da was von Policy based Routing gehört weiß aber nicht ob man das hier einsetzten kann.
Mitglied: aqui
aqui 24.08.2015 um 15:51:11 Uhr
Goto Top
Die Hosts haben jeweils "WAN - 79.133.XX.130" und 79.133.XX.140" als Public IP und als Gateway 79.133.xx.129
Damit meinst du die Hypervisors selber, oder ? Die VMs sind ja in den 10er Lokalnetzen !
auf die VM's zugreifen muss/will haben ich jeweile eine vNIC mit 10.20.1.130 und 10.30.1.140 sowie jeweile mit der .1 als Gateway.
Warum ? Warum machst du das nicht über die pfSense entweder mit Port Forwarding (unsicher) oder per VPN. Das wäre doch viel sinnvoller.
Wenn ich nun DIenste wie TeamSpeak, FTP, Webserver etc laufen lasse,
WO laufen diese ? Auf den Hypervisor Host selber oder den VMs ?
Außerdem laufen die Downloads vom Host über die ganzen vSwitche durch die PFSense...suboptimal da die Geschwindikeit einbricht.
Richtig, das wäre auch bei PFW und VPN so hängt aber letlich von der Provider Bandbreite ab und der Performance des HyperV Servers...nicht vom Throughput der Firewall denn die ist virtuell und damit nicht Speed gesteuert.
Wenn ich vom Host aus auf "www.wieistmeineip.de" gehe sehe ich die 79.133.XX.142 statt der 79.133.58.140,
Was sind das denn für Adapter ? Sind das weitere NICs in der Hypervisor Maschine oder sind das die IP Adressen der pfSense ?
Ich habe da was von Policy based Routing gehört weiß aber nicht ob man das hier einsetzten kann.
Ja, wäre eine Lösung allerdings ist Winblows hier das Problem da dort nur kein bis sehr rudimentärer Support vorhanden ist face-sad
Der Ansatz ist aber richtig.
Mitglied: ITAllrounder
ITAllrounder 24.08.2015 um 16:31:56 Uhr
Goto Top
Ja damit meine ich die Hypervisors.

Da die VM's im 10.XX Netz sind können Sie untereinander kommunizieren.
Vom Hypervisor zur PFSense ein VPN...interesant aber ich denke etwas op.
In wie fern meinst du Portforwarding?
Aktuell greife ich auf die VM mittles der WAN IP zu.

TeamSpeak Server etc. laufen in einer VM. Da ich dort gerne diverse Ordner backupe, müsste ich über die interne IP (10.XX) vom Hyper-V auf die VM.
Auf dem Host an sich läuft dann nur Hyper-V, xCopy Datensicherung und 2 Gameserver.

Nun ja gehe ich vom Hyper-V über die PFSense und dann erst ins RZ, dann sind da ein paar mehr Hops als wenn ich direkt via WAN NIC#1 gehen würde...

2-Anschluss-Gigabit-Netzwerkverbindung Intel(R) 82576 #1-#4 (Host 02)
Intel(R) I350 Gigabit Network Connection #1 & #2 (Host 01)
Bei Host 02 läuft über NIC#01 das WAN des Hosts, über NIC#02 der ganze Hyper-V kram.
Bei Host 01 hingegen läuft WAN über NIC#01 und auch Hyper-V über "gemeinsam genutzte Internetverbidung" da für die NIC#02 keine Ports am Switch mehr freiwaren.
Mitglied: aqui
aqui 25.08.2015 um 14:38:38 Uhr
Goto Top
OK, aber da hast du dann keine Chance. Du kannst das nur mit dedizierten statischen Routen zu den einzelnen Zielnetzen lösen oder mit PBR und dann Anwendungsbezogen.
Letzeres supportet aber MS nicht. Das erfordert einen externen Router der das kann.
In der Zwickmühle steckst du.
Mitglied: ITAllrounder
ITAllrounder 25.08.2015 um 14:47:18 Uhr
Goto Top
Na des ist ja irgendwie etwas unglücklich....
Würde eine Verbidnugn von Hyper-V 01 (NIC#02) auf Hyper-V (NIC#03) da abhilfe schaffen können?
Wohl kaum also werde ich erstmal über die externen IP-Adressen weiterarbeiten und demnächst mal nen VPN aufbauen :/

Danke dir viel mals face-smile