Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Virtuelle Firewall unter ESXi 5.5

Frage Virtualisierung Vmware

Mitglied: gmeurb

gmeurb (Level 1) - Jetzt verbinden

06.08.2014 um 11:50 Uhr, 1785 Aufrufe, 8 Kommentare

Hallo,

folgendes Problem!

Ich habe zwei ESX, die redundant aufgebaut sind. Ich habe eine virtuelle Linuxfirewall auf dem ESX-Cluster installiert und plane nun über einen ProCurve Switch andere Serverhardware über diese Firewall anzusteuern.

- es gibt ein produktives VLAN 10 (10.0.10.x/24)
- das neue VLAN hinter der Firewall bekommt die 11 (10.0.11.x/24)
- auf den Switchen (Haupt und Backup) habe ich jeweils zwei Beinchen von jedem ESX für das 10er und das 11 er VLAN.
- Die VLANs sind den entsprechenden zugewiesen, jedoch nicht getagged

Ergebnis:

- ein virtueller Server im VLAN 11 und in dieser Umgebung geht (geht ja auch über das virtuelle Netz des ESX)
- die Ansteuerung an eine Serverhardware über den ProCurve geht allerdings nicht.
- Muß ich noch etwas beachten bei den Settings für dieses VLAN auf dem ESX selbst?
- Die ESX wissen ja nicht das ich da eine IP-Range 10.0.11.x/24) dahinter habe, aber wie kann ich das machen?

Ich habe mal ein paar Bildchen angehangen. Zum einen die Schnittstellenconfig, zum anderen das Konzept. Es muß Traffic vom 10.0.10.x er Netz in das 10.0.11.xer Netz über die linuxfirewall, den ProCurve und an server01!

Ich vermute ich muß irgendwas an de dem vSwitch auf dem ESX einstellen. Ein VLAN-Tagging eventuell?

Danke und Gruß
Eric

Mitglied: wiesi200
06.08.2014 um 12:00 Uhr
Hallo,

also meiner Meinung nach gehört keine Firewall virtualisiert.
Bitte warten ..
Mitglied: flow.ryan
06.08.2014 um 12:02 Uhr
Hallo,

dem kann ich mich nur anschließen. Eine Firewall gehört auf gar keinen Fall virtualisiert!
Hier kannst du z.B. lesen, warum das IPCop-Forum dies nicht unterstützt:
http://www.ipcop-forum.de/unipcop.php

Gruß,
Florian
Bitte warten ..
Mitglied: aqui
06.08.2014 um 12:23 Uhr
OK, zum Thema virtuelle Firewall auf VM Hosts ist ja schon alles gesagt.
Zu deinen Fragen:

Muß ich noch etwas beachten bei den Settings für dieses VLAN auf dem ESX selbst?
Ja, wenn du einen cSwitch nutzt, dann musst du über einen .1q tagged Uplink diesen dann mit der externen HP Gurke verbinden, das diese auf die VLANs entsprechend per Tagging übermittelt bekommt !
Die ESX wissen ja nicht das ich da eine IP-Range 10.0.11.x/24) dahinter habe, aber wie kann ich das machen?
Das muss sie auch nicht interessieren, denn du hast ja ein Default Gateway auf dem ESXi bzw. den VMs definiert was ja irgendwie auf deine Firewall zeigt und die weiss ja dann WO diese IP netze zu finden sind !
Ich habe mal ein paar Bildchen angehangen
WO sind diese denn oder hast du im Thread die "Bilder upload Funktion" nicht gefunden ? Klick auf "Bearbeiten", dann siehst du sie oben. Bilder hochladen und Bilder uRL kannst du dann per cut and paste in jeglichen Text hier bringen. Statt URL wird dann das Bild gezeigt !

Eine guten Überblick über VLAN Implementation mit Firewall und auch Switches gibt dir dieses Forumstutorial:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

P.S.: die pfSense gibt es als fertiges VM Image für solche Anwendungen wie die deine.
...Wenn man denn das erhebliche Risiko einer virtuellen FW in Kauf nimmt ?!
Bitte warten ..
Mitglied: gmeurb
06.08.2014 um 13:02 Uhr
Hier sind die Bilder, vielleicht wird dann klar, dass diese Softwarefirewall nur ein spezielles internes VLAN schützen soll, dass für und wieder müssen wir auch nicht diskutieren und darum geht es ja auch nicht

5df6947062b1205d145d63d51bb54bba - Klicke auf das Bild, um es zu vergrößern
5cd871805bf8ba97ef877a22609017e3 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Dani
06.08.2014 um 14:12 Uhr
Zitat von wiesi200:
also meiner Meinung nach gehört keine Firewall virtualisiert.
Ich würde sagen, das hängt vom Zweck ab. Wir haben zwischen jeden Gebäude-Subnet eine Firewall. Diese ist entsprechend virtualisiert und regelt ausschließlich den LAN-Datenverkehr. Daher ist das für mich ein gangbarer Weg. Sobald DMZ, Zugriffe von extern, etc... möglich sind, bin voll und ganz bei euch.


Grüße,
Dani
Bitte warten ..
Mitglied: Dobby
06.08.2014 um 21:55 Uhr
Hallo zusammen,

wenn schon denn schon, aber dann kann man doch auch einen Linux oder BSD Server
aufsetzen und die Firewall in ein "Jail" packen und wenn es dann jemandem gelingt ist er
"nur" root in dem Jail und hat nicht gleich den gesamten VM Host unter Kontrolle.

Wenn es denn nicht zu viel ist kann man ja auch einen MikroTik Router davor setzen
und gut ist es. Je nach dem was man für eine performance bzw. für einen Durchsatz
braucht könnte das ein Router aus der RB450G, RB493G, RB2011, RB1200 oder aus
der CCR Serie sein. Halt je nach Budget und Anzahl der benötigten Portdichte, den kann
man dann auch immer wieder benutzen wenn man mal wieder etwas hat oder laufen lassen.


Gruß
Dobby
Bitte warten ..
Mitglied: gmeurb
08.08.2014 um 21:15 Uhr
Also, um die Sache zum Abschluß zu bringen.

Ich habe nun ein VLAN 11 auf den Uplinkports zum ESX und den entsprechenden LAN-Interfaces auf dem ProCurve getagged.
Dem entsprechenden vSwitch dieses VLANs habe ich 11er ID verpasst. Damit gehte es nun!

Gruß
Eric
Bitte warten ..
Mitglied: aqui
08.08.2014, aktualisiert um 21:29 Uhr
Klasse wenns nun klappt...
Grundlegendes zu dem Thema findest du zusätzlich noch hier:
http://www.administrator.de/forum/routerboard-rb-750gl-tp-link-tl-sg342 ...
Zwar etwas anderes Umfeld es erklärt aber wo was tagged werden muss und wo nicht.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Lokale Windows Firewall Server 2012R2 für virtuelle Maschine? (4)

Frage von 1410640014 zum Thema Windows Server ...

Vmware
gelöst VMWare ESXi Virtuelle Maschine Videoprobleme (5)

Frage von florianza zum Thema Vmware ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (4)

Frage von Aubanan zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...