ESXi, wie VMmachine in anderem Subnetz installieren

[andrew 15]

hallo Leute

 

Da ich im VM Bereich im Bezug auf virtuelle Switches, Ports, Routing mich so gut wie gar nicht auskenne, frage ich daher folgendes:

 

Ich habe einen ESXi Server aufgesetzt, auf dem Host, auf welchem ESXi läuft, habe ich zwei Festplatten eingebaut.

 

Auf einer den ESXi selber, auf der zweiten laufen zurzeit zwei Test Server

- Windows Server 2003 >> im gleichen Subnetz wie der ESXi Host selber, Internetzugang möglich

- einen Server 2008 diesen und ggf. in Zukunft auch weitere Test Server für Schulungszwecke möchte ich in ein separates Subnetz pflanzen, damit diese ggf. nicht in mein "produktives" LAN funken.

 

Ich blicke nicht so ganz durch, wie ich das einrichten muss, damit der momentan einzige Server (2008 Server) auch ins Internet kommt oder kommen würde?

 

in Zahlen sieht mein Konstrukt, mein Netz zurzeit so aus:

 

CableModem mit externer IP --> ein alter 3com Office Connect Cable/ DSL Secure Gateway (hat eingebauter Switch) --> daran angeschlossen der ESXi Host --> darauf auf einer lokaler installierten Festplatte meine Server

 

3com Cable/ DSL Secure Gateway = 192.168.5.1 /24

ESXi Host = 192.168.5.1 /24

Win2k3 Server (2003 Server) = 192.168.5.15 /24, Gateway = 192.168.5.1

ist ein DC/ DNS Server/ DHCP Server

 

Eben, wie oben schon erwähnt, ich wiederhole mich:

Ich blicke nicht so ganz durch, wie ich das einrichten muss, damit der momentan einzige Server (2008 Server) auch ins Internet kommt oder kommen würde, wenn ich möchte, dass dieser in einem anderen Netz ist?

 

Habe versucht ein VLAN einzurichten, aber komme nicht weiter, spätestens dann nicht mehr, wenn ich meinem 2008 Server eine GW Adresse angeben müsste, welche dann? im neuen Subnetz (VLAN) existiert ja noch kein Router, welche die Pakete beispielsweise vom Netz 192.168.10.0 /24 zum physischen Router 192.168.5.1 /24 schicken könnte.

 

Und evtl. hätte ich sogar dann noch ein weiteres Problem, denn ich habe bei meinem 3com Office Connect Cable/ DSL Secure Gateway keine Möglichkeit gefunden, manuell Routen zu setzen ..aber vielleicht zuerst einmal zu meinem eigentlichen Probem, wenn es möglich ist :-)

[xcode-tobi 10]

3com Cable/ DSL Secure Gateway = 192.168.5.1 /24

ESXi Host = 192.168.5.1 /24

warum haben bei die gleiche IP-Adresse?

[StefanWe 14]

Du hast zwei Möglichkeiten das zu Trennen.

 

Entweder Quick and Dirty, d.h. du lässt alles in einem VLAN (D.h. du erstellst gar kein VLAN) und vergibst einfach nur andere IP Adressen.

 

D.h.

Netz1: 192.168.0.x/24

Netz2: 192.168.10.x/24

usw.

 

Dann musst du entscheiden, ob du zwischen den Netzen eine Verbindung haben willst, wenn ja, dann musst du routen. Dafür kannst du z.b. eine virtuelle Maschine erstellen (z.b. eine Monowall), mit mehreren Netzwerkkarten.

 

Natürlich musst du bei den Servern in dem entsprechenden Netz als Gateway dann die Gateway Adresse des Routers angeben.

Also im 192.168.0.x Netz z.B. die Gatewayadresse 192.168.0.254.

 

Hoffe verstanden.

 

Wie zweite Möglichkeit ist, das ganze über VLAN's zu trennen. Hat aber für dich eigentlich keinen Vorteil, da du auch hier einen Router ( Z.B. eine Monowall) benötigst, die dir die Daten zwischen den netzen routet.

 

VLANs kannst du dir so vorstellen, als wenn ein VLAN ein Switch ist.

 

Alle PCs die an diesem Switch(VLAN) hängen, können physisch nicht mit dem anderen Switch(Anderes VLAN) kommunizieren.

[andrew 15]

Danke für die rasche Antwort.

Sorry, da hat sich ein Schreibfehler eingeschlichen.

 

Die IP Adressierung ist so:

 

3com Cable/ DSL Secure Gateway = 192.168.5.1 /24

ESXi Host = 192.168.5.5 /24

 

Ok, dann bräuchte ich auch für ein VLAN schlussendlich einen Router, alles klar.

Kann ich mir ein VLAN nicht auch wie ein separates Subnetz vorstellen?

 

Genau, das habe ich mir auch so überlegt >> irgend eine fertige Firewall als ISO File zu downloaden und dann virtuell zu installieren und das Routing machen zu lassen

[StefanWe 14]

Kann ich mir ein VLAN nicht auch wie ein separates Subnetz vorstellen?

 

 

Nein, VLANs trennen auf Layer 2 Ebene die Datenverkehr.Du kannst in 2 VLAN's auf einem Switch oder Server die gleichen Subnetze betreiben und auch die gleichen IPs.

 

Z.B:

Server 1 VLAN1 192.168.0.1

Server 2 VLAN2 192.168.0.1

 

Da gibt es keinen Adressenkonflikt. Produktiv wird dies natürlich nicht funktionieren, wenn eine Verbindung(Routing) zwischen den Netzen stattfinden soll.

 

Ansonsten schau dir mal die Astaro Firewall an. Hier gibt es auch eine fertige VMware virtual Appliance die kostenlos ist und super als Paketfilter/Router fungieren kann.

[cschra 10]

Moin,

 

von der Lösung einfach ein "VLAN" zu erstellen welches gar keines ist halte ich nichts. Aber vielleicht hilft dir ja das hier weiter: VMware vSphere 4 ESXi Installable and vCenter Server Documentation Center

 

Einfach den VMs andere IPs zu geben ist zumindest keine wirkliche Trennung a la VLAN. Rein theoretisch kann natürlich 192.168.1.0/24 nicht mit 192.168.2.0/24 kommunizieren da sie sich nicht im selben Subnet befinden. Theoretisch, praktisch muss nur das Subnet angepasst werden und es kann kommuniziert werden. Weiterhin kann der komplette Netzwerktraffic mitgehört werden ohne das wirklich was angepasst werden muss. Aber wie hoch deine Sicherheitsanforderungen sind weißt du selber am besten.

 

Grüße

[andrew 15]

Ok, danke für die Antwort. Werde mir die Astaro Firewall oder ggf. eine andere, welche ich schon seit zig Jahren erfolgreich im Einsatz habe, virtuell betreiben >> Endian Firewall Endian -  UTM Appliance, Unified Threat Management, Firewall, Hotspot, Antispam, Antivirus, VPN, OpenVPN, Open Source 

 

Bis heute hatte ich nie eine virtuelle Firewall im Einsatz, diese bis dato immer auf einem physischen Rechner im Einsatz gehabt, evtl. sauge ich diese runter und setze diese für meine Zwecke auch einmal virtuell ein oder eben, die Astaro. :-)

[cschra 10]

Da steige ich jetzt nicht hinter? Du willst auf einem vSwitch unterschiedliche Subnetze mittels einer virtualisierten FW verbinden?

 

GRüße

[StefanWe 14]

Da steige ich jetzt nicht hinter? Du willst auf einem vSwitch unterschiedliche Subnetze mittels einer virtualisierten FW verbinden?

 

GRüße

 

Ist ja auch kein Thema.

[andrew 15]

ne, ich will nicht verschiedene Subnetze miteinander verbinden, sondern lediglich trennen Und: alle sollen eine Verbindung in das Internet herstellen können, das sind meine Wünsche oder Vorgaben :-)

[zahni 554]

Entweder 1 NIC's in den ESX bauen und pro LAN einen eigenen VSwitch einrichten und hinten auch getrennte Switche anschließen. Oder einen VLAN-fähigen Switch verwenden und Taggging nach 802.1q machen. Ist aber weniger sicher. Die VM kann aber die TAG-ID des VSwitch's nicht überschreiben (ist mir zumindest nicht bekannt).

 

-Zahni

[cschra 10]

Ist ja auch kein Thema.

 

Richtig nur nicht sicher

 

ne, ich will nicht verschiedene Subnetze miteinander verbinden, sondern lediglich trennen Und: alle sollen eine Verbindung in das Internet herstellen können, das sind meine Wünsche oder Vorgaben :-)

 

Dann frage ich mich, warum du eine Firewall nutzen willst? Pack die Netze in ein 16er Subnetz und du hast ganz einfach das was du willst. Andersherum, die Planung unterschiedliche Netze mit virtualisierter Firewall zu verbinden bringt dir nur mehr Arbeit und keine wirkliche Sicherheit da sich alles auf einer Schnittstelle abspielt.

 

Grüße