Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Routing zwischen VMWare Netzwerk und Firmennetz

Frage Netzwerke

Mitglied: Cardinal

Cardinal (Level 1) - Jetzt verbinden

11.02.2009, aktualisiert 17:34 Uhr, 8046 Aufrufe, 18 Kommentare

Hallo zusammen,
ich bitte vorab um Verzeihung, falls dieses Thema schon behandelt wurde. Ich habe mir viel angesehen, jedoch nicht was meinem Szenario entspricht gefunden.

Folgende Situation:

Firmennetzwerk: (z.B. 215.80.160.x)
In diesem Firmennetzwerk steht ein VMWare 2.0 Server-Host (openSUSE 10.3) mit der IP 215.80.160.20

DHCP / DNS / ADS sind Windows Server

Internet-Router ist ein Debian Linux (Standard Gateway: 215.80.160.5)

Auf dem VMWare Server Host möchte ich nun ein komplettes Netz aus virtuellen Maschinen mit einem privaten Adressbereich betreiben (192.168.0.x)

Die virtuellen Maschinen müssen jedoch für die Clients im 215.80.160.x Netz alle samt Diensten und DNS-Namen erreichbar sein.

Umsetzen möchte ich das deshalb so, weil unsere IP Adressen langsam knapp werden, und ich damit viele IPs des Firmennetzes einsparen könnte.

Kann mir jemand den ein oder anderen Denkanstoß geben ob und wie ich das anstellen könnte?
Ich hoffe ich habe hakbwegs verständlich geschildert wie das Netzwerk aussieht.

Danke
Mitglied: aqui
11.02.2009 um 19:37 Uhr
Frage vorweg bevor man ins Eingemachte geht:

Ist das Netzwerk 215.80.160.0 auf dich/euch registriert ??

Das ist, wie du sicher selber weisst, eine oeffentliche IP Adresse die dem US Department of Defense gehoert ( US Verteidigungsministerium)
Whois Abfrage sagt dies:

OrgName: DoD Network Information Center
OrgID: DNIC
Address: 3990 E. Broad Street
City: Columbus
StateProv: OH
PostalCode: 43218
Country: US


Es ist kein RFC 1918 IP Netz (Privates IP Netz) !!!
Sofern du also nicht zum US DoD gehoerst ist gerade DIESE IP Adresse hoechst problematisch zu verwenden und du solltest dir wirklich tiefgreifende Gedanken machen ob du dieses IP Netzwerk wirklich fuer ein privates Firmennetz in D verwenden willst obwohl euch oeffentlich dieses IP Netzwerk nicht gehoert !!!
Gerade im Hinblick auf die Brisanz des wirklichen Besitzers.

Abgesehen von diesem mehr als problematischen Umfeld ist das aber kein Problem wenn du die VmWare als Hostnetzwerk einrichtest und auf dem Linux Server die Option IP Forwarding im Systemsetting (YAST) aktivierst, dann kannst du zwischen den Adaptern routen und erreichen was du willst !
Bitte warten ..
Mitglied: Cardinal
11.02.2009 um 20:03 Uhr
Oha :D
Also die genannte IP war ein Beispiel.
Ich wolte hier aus paranoischen Gründen nicht unbedingt unseren tatsächlichen IP Adressbereich (welcher auch auf uns registirert ist) posten.
Wir sind damit auch seit 10 Jahren im Einsatz.

Das ich eine DoD IP genannt habe ist purer Zufall ;)
Bitte warten ..
Mitglied: aqui
11.02.2009 um 20:42 Uhr
Erfahrene Netzwerker nutzen dann fuer solche Beschreibungen RFC 1918 IP Adressen um genau das o.a. zu vermeiden

http://de.wikipedia.org/wiki/Private_IP-Adresse

Ansonsten gilt das fuer VMware geschriebene...
Bitte warten ..
Mitglied: RoterFruchtZwerg
11.02.2009 um 22:38 Uhr
So als Denkanstoß, ich würde da simples Routing vorschlagen... spricht etwas dagegen?

Der VMware Host routet zwischen LAN und VMnet.
Damit die LAN Clients auf das VMnet Zugriff haben, muss deren Gateway die Route zum VMnet via VMware Host kennen.
Die VMware Clients müssen/sollten den VMware Host als Gateway haben.

Mehr braucht es eigentlich nicht.
Bitte warten ..
Mitglied: Cardinal
12.02.2009 um 13:34 Uhr
Erstmal danke für das Feedback.

Ich verteile jetzt per DHCP eine statische Route für die LAN Clients, welche ihnen sagt, wohin sie z.B: bei Aufruf der Adresse 192.168.0.10 gehen müssen (zum VMware Host).

Wenn ich nun aus dem Firmennetz einen Ping mache, gelange ich bis zum VMWare Host, jedoch nicht zum VM-Gastsystem (zumindest scheint es so).

Wenn ich umgekehrt einen Pink vom VM-Gastsystem z.B. auf den Exchange Server im Firmennetz mache bekomme ich sofort korrekte replys. Somit scheint an dieser Stelle alles ok zu sein.

Ich bin also nah dran, aber irgendwas fehlt noch..

Der Logik nach müsste ich dem VMWare Host jetzt noch sagen, was er mit Anfragen an das Netz 192.168.0.0 machen soll, oder?
Port Forwarding ist aktiv, bisher ist es mir jedoch nicht gelungen, hier eine funktionierende Route zu setzen.
Bitte warten ..
Mitglied: RoterFruchtZwerg
12.02.2009 um 14:15 Uhr
An deiner Annahme ist schonmal etwas falsch. Ein Ping ist Bidirektional. Wenn du von den VMs aus einen Host im Firmen-LAN erreichen kannst, kann (zumindest dieser Host) auch die VMs erreichen.

Was du gemacht hast, hat aber mit Routing nichts zu tun, du hast NAT verwendet. Damit geht es nicht.
Du musst das VMnet zu einem "Host Only" Netzwerk machen. Dann muss dein VMware Host so konfiguriert werden, dass er die Pakete routen kann. Dazu müssen, wie du schon erkannt hast, die VMs diese Route haben:

0.0.0.0 via 192.168.0.1 (IP des Host Only Adapters am VMware Server)

Die Clients im Firmennetz haben diese Route:

0.0.0.0 via 215.80.160.5

Und dein Router (215.80.160.5) bekommt zusätzlich diese Route

192.168.0.0/24 via 215.80.160.20

Mehr muss nicht gemacht werden.
Bitte warten ..
Mitglied: Cardinal
13.02.2009 um 10:14 Uhr
Nochmal danke,
mit der Host Only Konfiguration kann ich die VMs nun auch vom Firmennetz aus erreichen.

Jedoch bekommt die VM noch keine Verbindung ins Firmennetz, da ist beim VM Host schluss..

Ich schau aber auch selber nochmal weite rund gebe bescheid, wenn alles klappt.

Bis dahin freue ich mich natürlich über Tips ;)
Bitte warten ..
Mitglied: Cardinal
13.02.2009 um 10:54 Uhr
Ah, heute klappt nun alles in beide Richtungen, hat wohl etwas länger gedauert bis die neue Konfiguration Wikung hatte.

Problem vor allem durch die letzte Anmerkung von RoterFruchtZwerg gelöst.

Danke euch!
Bitte warten ..
Mitglied: Cardinal
28.06.2010 um 08:38 Uhr
Ich nutze einfach mal dieses Thema hier, da mein "neues" Problem auf dieses Szenario aufbaut.

Was ich nun erreichen möchte ist, dass ein OpenVPN Host mit den virtuellen Maschinen kommunizieren kann. Also ein Routing zwischen 3 Netzwerken.

Ich habe also

Windows Client (OpenVPN) IP 10.0.8.0 - OpenSUSE VMWare Server (Firmennetz 216.x.x.x) - Virtuelle Maschine (VM Host Only Netz 192.168.200.0)

Ich gelange bereits vom OpenVPN Client zum VMWare Server, kann diesen mit Ping und SSH erreichen, doch leider komme ich nicht bis zu einer der virtuellen Maschinen durch. Auch umgekehrt kann der VMWare Server mit dem OpenVPN Client kommunizieren, jedoch keine VM.

Was übersehe ich? Wäre für Hilfe wiedereinmal dankbar!
Bitte warten ..
Mitglied: RoterFruchtZwerg
28.06.2010 um 10:12 Uhr
Welche IP hat der VPN Server auf den sich die Clients einwählen?
Bitte warten ..
Mitglied: Cardinal
28.06.2010 um 10:19 Uhr
Zitat von RoterFruchtZwerg:
Welche IP hat der VPN Server auf den sich die Clients einwählen?

Das ist unser äußeres Gateway 216.60.161.253 (etwas abgewandelt ;) )
Bitte warten ..
Mitglied: RoterFruchtZwerg
28.06.2010 um 11:50 Uhr
Also nicht der selbe, den wir zuvor mit 215.80.160.5 bezeichnet hatten?
Was hast du denn an Konfiguration (bezüglich Routing) ergänzt?
Bitte warten ..
Mitglied: Cardinal
28.06.2010 um 12:05 Uhr
Die 5 ist das Internet-Gateway für die internen Clients. Von außen gehen die VPN Clients über die 253.

Zum Routing, hier habe ich eigentlich überhaupt nichts geändert. Ich habe die VPN Clients lediglich so konfiguriert, dass sie für auch das private VMWare Netz über den VPN Tunnel gehen, und sich nicht einen Server im www suchen.

Da VMWare Server (216.60.161.18) bis zum VPN Client (10.0.8.x) durchkommt und umgekehrt vermute ich das Problem an der VMWare Server konfiguration, denn es fehlt ja eigentlich nur noch das Stück vom VMWare Server zur virtuellen Maschine.

Nur verstehe ich nicht, warum der VMWare Server das VPN Netz erreicht, die dort laufenden VMs jedoch nicht. Ich habe ja auch keine speziellen Routing settings gemacht, damit die VMs ins Firmennetz kommen.
Bitte warten ..
Mitglied: RoterFruchtZwerg
28.06.2010 um 12:12 Uhr
Zitat von Cardinal:
Die 5 ist das Internet-Gateway für die internen Clients. Von außen gehen die VPN Clients über die 253.

Aber handelt es sich dabei um die selbe Maschine mi 2 Schnittstellen oder um zwei Maschinen? Das ist wichtig...
Wenn es zwei verschiedene Maschinen sind, erkläre bitte genau wie die miteinander verbunden sind.

Da VMWare Server (216.60.161.18) bis zum VPN Client (10.0.8.x) durchkommt und umgekehrt vermute ich das Problem an der VMWare
Server konfiguration, denn es fehlt ja eigentlich nur noch das Stück vom VMWare Server zur virtuellen Maschine.

Nur verstehe ich nicht, warum der VMWare Server das VPN Netz erreicht, die dort laufenden VMs jedoch nicht. Ich habe ja auch keine
speziellen Routing settings gemacht, damit die VMs ins Firmennetz kommen.

Wenn du Pings verwendest, hast du keine Ahnung davon was wie weit kommt. Ein Ping muss ja immer bis zum Ziel und dann wieder zurück. Relevant um zu entscheiden, wie weit etwas "kommt" ist aber nur ein Teil des weges.
Daher versuch bitte nicht so viel in deine Pings hinein zu interpretieren. Es kann durchaus sein, dass der VPN Client bis in die VM kommt, aber die VM eben nicht mehr bis zum VPN.
Bitte warten ..
Mitglied: Cardinal
28.06.2010 um 12:26 Uhr
Erstmal Danke für dein schnelles Feedback!

Es handelt sich um eine Maschine mit mehreren Netzwerkschnittstellen, unter anderem eben die 5 und die 253, außerdem noch die DMZ-Schnittstelle.

Mit letzterem hast du natürlich recht. Ich hatte bisher nicht die Muße das ganze mit einem Sniffer zu verfolgen, weil ich relativ sicher bin, dass das Ganze am VMWare Sevrer hakt (aber villeicht mach ich da auch einen Denkfehler).
Bitte warten ..
Mitglied: RoterFruchtZwerg
28.06.2010 um 12:41 Uhr
Okay, da es sich um die selbe Maschine handelt, ist die externe IP faktisch nicht relevant, weil die VPN-Clients ja über die VPN-IP an diesen angebunden sind. Und nur diese ist für das Routing relevant.

Gehn wir es doch mal ab... Du pingst eine VM, z.B. 192.168.0.7 vom VPN-Client mit der IP 10.0.8.8.

Der VPN-Client hat 10.0.8.1 (Annahme das sei die VPN-IP des VPN-Servers) als Default-Gateway oder zumindest als Gateway für 192.168.0.0/24. Das Paket kommt also zum VPN-Server/Gateway eures Netzes.
Dieser hat von der früheren Konfiguration die Route 192.168.0.0/24 via 215.80.160.20, sendet das Paket also weiter an den VMware Host.
Dieser hat routing aktiviert (von früher), und kennt das Netz 192.168.0.0/24 von seine VMWare LAN Adapter. Er leitet das Paket also an die VM weiter.

Die VM bekommt jetzt ein Paket mit dem Absender 10.0.8.8 den sie nicht zuweisen kann.
Die Antwort sendet sie also an ihren default-Gateway, was 192.168.0.1 (der VMware Host) ist.
Dieser bekommt das Paket und kann 10.0.8.8 als Ziel ebenfalls nicht verarbeiten und schickt das Paket daher zu seinem Default-Gateway was 215.80.160.5 und damit gleichzeitig der VPN-Server ist.
Dieser empfängt das Paket und kennt seinerseits das Netz 10.0.0.0/8 und müsste das Paket daher dem Client 10.0.8.8 zustellen können.

Meiner Meinung nach wäre eine Kommunikation also durchaus möglich.

Besteht die Möglichkeit, dass der VPN-Server evtl. NAT betreibt? Oder Pakete filtert?

Da ich keinen offensichtlichen Konfigurationsfehler erkennen kann, würde ich doch vorschlagen, Wireshark auszupacken und genauer hin zu sehen
Bitte warten ..
Mitglied: Cardinal
28.06.2010 um 13:29 Uhr
Das Ablaufen der Route von deiner Seite hat mich nun zur Lösung geführt!

Zitat von RoterFruchtZwerg:
...Dieser hat von der früheren Konfiguration die Route 192.168.0.0/24 via 215.80.160.20, sendet das Paket also weiter an den
VMware Host....

Genau das war nicht gegeben. Es gab nie einen Routingeintrag von unserem Gateway bzw. dem VPN Server zum 192er Netz. Die internen Clients erhalten per DHCP eine statische Route und erreichen so ihr Ziel.

Ich habe also auf dem VPN Server die Route 192.168.0.0/24 via 215.80.160.20 hinzugefügt, und nun klappts

Und wiedermal vielen Dank! =)
Bitte warten ..
Mitglied: RoterFruchtZwerg
28.06.2010 um 13:37 Uhr
Hehe, bitte ;)

Siehste, wenn man das mal Schritt für Schritt durchspielt, wird es ganz einfach.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst Routing zwischen zwei Netzen (31)

Frage von Xaero1982 zum Thema Router & Routing ...

Netzwerke
Routing zwischen 2 Fritzboxen langsam (2)

Frage von danielr1996 zum Thema Netzwerke ...

Vmware
gelöst Übertragung der Hardwareanschlüsse zwischen VMware Hosts (6)

Frage von Akrosh zum Thema Vmware ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...