6
Virtualisiertes Firewall-Linux auf SBS 2011 startet nicht rechtzeitig und Trunk-Probleme
Hallo zusammen!
Ich versuche gerade einen kleinen Server einzurichten und hab da leider einige Schwierigkeiten.
Auf dem Rechner habe ich zunächst SBS 2011 installiert, was auch einwandfrei geklappt hat.
Der Internetzugang sollte über einen Linux-Router in einer VM laufen, welche mittels VMware Server auf dem SBS 2011 läuft.
Nachdem ich mit der dritten Firewall (IPFire) dann auch Erfolg hatte (IPCop war garnicht erst erreichbar, pfSense war nach VM-Neustart auch nicht mehr erreichbar) schien das ganze soweit zu funktionieren.
Zumindest bis zum ersten Reboot von SBS 2011.
Die Router-VM war auf automatischen Start gestellt, anscheinend findet der aber zu spät statt, sodass SBS 2011 beim Starten keinen Router findet und auch wenn der Router dann läuft die Internetverbindung konsequent verweigert.
Jedes mal den Assistenten zum Herstellen der Internetverbindung auszuführen ist auch keine praktikable Lösung.
Versuche, sowohl den Router als auch SBS 2011 mittels ESXi zu virtualisieren habe ich abgebrochen, weil dann die Onboard-NIC nicht erkannt wird und mir das grundsätzlich auch nicht besonders gefällt.
Die Onboard-NIC soll als WAN-Anschluss direkt zur VM gebridget sein und die beiden PRO 1000 NICs von Intel sollen den Switch-Uplink darstellen.
Das wäre dann das zweite Problem: Wenn im Intel-Treiber die beiden Karten mittels Link Aggregation gekoppelt werden geht nichts mehr, d.h. SBS 2011 findet kein primäres Netzwerkinterface mehr.
Nach Auflösung des Trunks geht es hingegen wieder einwandfrei.
Danke schonmal im Vorraus!
Gruß,
Alex
Ich versuche gerade einen kleinen Server einzurichten und hab da leider einige Schwierigkeiten.
Auf dem Rechner habe ich zunächst SBS 2011 installiert, was auch einwandfrei geklappt hat.
Der Internetzugang sollte über einen Linux-Router in einer VM laufen, welche mittels VMware Server auf dem SBS 2011 läuft.
Nachdem ich mit der dritten Firewall (IPFire) dann auch Erfolg hatte (IPCop war garnicht erst erreichbar, pfSense war nach VM-Neustart auch nicht mehr erreichbar) schien das ganze soweit zu funktionieren.
Zumindest bis zum ersten Reboot von SBS 2011.
Die Router-VM war auf automatischen Start gestellt, anscheinend findet der aber zu spät statt, sodass SBS 2011 beim Starten keinen Router findet und auch wenn der Router dann läuft die Internetverbindung konsequent verweigert.
Jedes mal den Assistenten zum Herstellen der Internetverbindung auszuführen ist auch keine praktikable Lösung.
Versuche, sowohl den Router als auch SBS 2011 mittels ESXi zu virtualisieren habe ich abgebrochen, weil dann die Onboard-NIC nicht erkannt wird und mir das grundsätzlich auch nicht besonders gefällt.
Die Onboard-NIC soll als WAN-Anschluss direkt zur VM gebridget sein und die beiden PRO 1000 NICs von Intel sollen den Switch-Uplink darstellen.
Das wäre dann das zweite Problem: Wenn im Intel-Treiber die beiden Karten mittels Link Aggregation gekoppelt werden geht nichts mehr, d.h. SBS 2011 findet kein primäres Netzwerkinterface mehr.
Nach Auflösung des Trunks geht es hingegen wieder einwandfrei.
Danke schonmal im Vorraus!
Gruß,
Alex
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165130
Url: https://administrator.de/contentid/165130
Printed on: April 19, 2024 at 23:04 o'clock
6 Comments
Latest comment
Hallo.
Lass die Finger davon. Ein SBS unterstützt keinen Hypervisor egeal in welcher Form. Grund ist, dass für einen SBS ausschließlich ein Netzwerkinterface supportet wird, und ein Hypervisor egal in welcher auch Netzwerkinterface mitbringt, die das SBS Konzept eben nicht unterstützt.
Die diversen Nebenwirkungen hast du ja schon selbst live erlebt.
Und auch das wird vom SBS nicht supportet - http://blogs.technet.com/b/sbs/archive/2010/02/26/returning-small-busin ...
LG Günther
welche mittels VMware Server auf dem SBS 2011 läuft.
Lass die Finger davon. Ein SBS unterstützt keinen Hypervisor egeal in welcher Form. Grund ist, dass für einen SBS ausschließlich ein Netzwerkinterface supportet wird, und ein Hypervisor egal in welcher auch Netzwerkinterface mitbringt, die das SBS Konzept eben nicht unterstützt.
Die diversen Nebenwirkungen hast du ja schon selbst live erlebt.
Wenn im Intel-Treiber die beiden Karten mittels Link Aggregation gekoppelt werden geht nichts mehr
Und auch das wird vom SBS nicht supportet - http://blogs.technet.com/b/sbs/archive/2010/02/26/returning-small-busin ...
LG Günther
Zudem gehört eine FW immer auf separate HW aus Sicherheitsgründen....
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Zitat von @aqui:
Zudem gehört eine FW immer auf separate HW aus Sicherheitsgründen....
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Zudem gehört eine FW immer auf separate HW aus Sicherheitsgründen....
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Auch wenn das leicht Off-Topic wird, will ich da mal nachfragen. Eine virtualisierte FW benötigt ja mindestens zwei virtuelle Netzwerkkarten, sagen wir mal eine in der DMZ und eine im internen Netz. Somit muss ja auch der Host, auf dem die virtualisierte FW läuft, eine NIC mit Verbindung in die DMZ und eine NIC mit Verbindung ins interne Netz haben (Kabel zu den Switchen reicht). Sinn macht das wenn auf dem Host virtuelle Maschinen des internen Netz und virtuelle Maschinen der DMZ laufen. Sonst müsste man ja im internen Netz und in der DMZ jeweils separate Hosts haben, wodurch man Komfort und Flexibilität verliert. Wo genau liegen denn die Sicherheitsbedenken?
Zitat von @alex04103:
Die Router-VM war auf automatischen Start gestellt, anscheinend findet der aber zu spät statt, sodass SBS 2011 beim Starten keinen Router findet und auch wenn der Router dann läuft die Internetverbindung konsequent verweigert.
Jedes mal den Assistenten zum Herstellen der Internetverbindung auszuführen ist auch keine praktikable Lösung.
Die Router-VM war auf automatischen Start gestellt, anscheinend findet der aber zu spät statt, sodass SBS 2011 beim Starten keinen Router findet und auch wenn der Router dann läuft die Internetverbindung konsequent verweigert.
Jedes mal den Assistenten zum Herstellen der Internetverbindung auszuführen ist auch keine praktikable Lösung.
Die Verbindung ins Internet, also den Router, würde ich nicht virtualisieren. Ich denke da an einen Ausfall der Virtualisierungs-Infrastruktur, bei der Ihr dann nicht mal mehr ins Internet kommt und Du als Admin kannst nicht nach der Lösung googlen. Der Admin Laptop direkt am Internet-Router ist ein nicht zu unterschätzendes Hilfsmittel wenn's mal brennt
Versuche, sowohl den Router als auch SBS 2011 mittels ESXi zu virtualisieren habe ich abgebrochen, weil dann die Onboard-NIC nicht
erkannt wird und mir das grundsätzlich auch nicht besonders gefällt.
erkannt wird und mir das grundsätzlich auch nicht besonders gefällt.
Bei uns läuft SBS 2008 als virtuelle Maschine unter VMware ESXi. Die VMware Tools installieren die Treiber u.a. für die virtuelle NIC. Derzeit teste ich auch in einer virtuellen Maschine m0n0wall (Firewall auf BSD Basis). Vorher hatte ich ein Ubuntu Server mit iptables. Beides lief/läuft ohne Probleme als VM.
..."Wo genau liegen denn die Sicherheitsbedenken?" Diese Frage hast du dir ja schon selbst beantwortet....
--> "Somit muss ja auch der Host, auf dem die virtualisierte FW läuft, eine NIC mit Verbindung in die DMZ und eine NIC mit Verbindung ins interne Netz haben"
Mehr muss man dazu auch nicht sagen ! Mal abgesehen von der tatsache das die netzwerk Sicherheit von der Verfügbarkeit eines Servers bzw. eines Stück Software auf selbigem abhängig ist.... Generell ein "no go" für solche designs wenn man es wirklich Ernst meint mit der Sicherheit ?!
Zum Spielen für zuhause OK aber wieder zu teuer um für solche Spielereien einen Rechner mit 400 Watt Netzteil 24 Stunden glühen zu lassen. Eine kleine Appliance macht das erheblich sicherer und für 15 Euronen Strom im Jahr....
--> "Somit muss ja auch der Host, auf dem die virtualisierte FW läuft, eine NIC mit Verbindung in die DMZ und eine NIC mit Verbindung ins interne Netz haben"
Mehr muss man dazu auch nicht sagen ! Mal abgesehen von der tatsache das die netzwerk Sicherheit von der Verfügbarkeit eines Servers bzw. eines Stück Software auf selbigem abhängig ist.... Generell ein "no go" für solche designs wenn man es wirklich Ernst meint mit der Sicherheit ?!
Zum Spielen für zuhause OK aber wieder zu teuer um für solche Spielereien einen Rechner mit 400 Watt Netzteil 24 Stunden glühen zu lassen. Eine kleine Appliance macht das erheblich sicherer und für 15 Euronen Strom im Jahr....
Zitat von @aqui:
..."Wo genau liegen denn die Sicherheitsbedenken?" Diese Frage hast du dir ja schon selbst beantwortet....
--> "Somit muss ja auch der Host, auf dem die virtualisierte FW läuft, eine NIC mit Verbindung in die DMZ und eine
NIC mit Verbindung ins interne Netz haben"
Mehr muss man dazu auch nicht sagen !
..."Wo genau liegen denn die Sicherheitsbedenken?" Diese Frage hast du dir ja schon selbst beantwortet....
--> "Somit muss ja auch der Host, auf dem die virtualisierte FW läuft, eine NIC mit Verbindung in die DMZ und eine
NIC mit Verbindung ins interne Netz haben"
Mehr muss man dazu auch nicht sagen !
Hmm, so recht verstanden habe ich das nicht. Nur weil ein ESX(i) eine NIC im LAN und eine NIC in der DMZ hat, stellt er doch noch keine Verbindung zwischen den beiden Netzen unter Umgehung der Firewall her. Wo genau siehst Du hier Sicherheitsbedenken?
