ESXi - VLAN-Netzwerkzugriff limitieren via Sophos

[michelo82 12]

Hallo,

 

und zwar habe ich folgendes vor: Ich möchte bestimmte Virtuelle Maschinen (teilweise) von meinem Usernetz abschotten. Es soll allerdings ein SMB Zugriff von rot zu grün auf bestimmte Hosts möglich sein, oder bei Bedarf eine Internetverbindung für Fernwartungszwecke zugeschaltet werden. Dazu will ich diese VM's in ein separates VLAN stecken.

 

Die VLAN's sind auf dem HP-Switch konfiguriert. VLAN1 (=Usernetz) und das VLAN4 (=eingeschränktes Netz).

Das VLAN4 soll am ESXi "verfügbar" gemacht werden und die VM's darin via einer physischen Sophos Firewall reglementiert werden.

Entsprechende Firewallregeln sind eingerichtet. (ping etc. zum testen)

Die Sophos ist mit einem eth-Port mit dem Usernetz und mit einem weiteren eth-Port mit dem eingeschränkten VLAN verbunden.

 

Laut den verschiedenen Dokumentationen die ich gefunden habe, sollte man den HP-Switch-Port an dem der ESXi hängt, als "Trunk" konfigurieren. Usernetz ist Tagged, ein ping funktioniert von grün nach rot nur, wenn das eingeschränkte Netz Untagged ist.

 

Port     User        Limited      
---- + ---------  ------------

Trk4 |  Tagged     Untagged

 

 

Hier eine Grafik dazu:

grün = VLAN1 (Usernetz)

rot = VLAN4 (eingeschränktes Netz)

Port 17 = Trunk
Port 19 = VMware Management / vsphere Client via das grüne Usernetz.

 

 

Leider habe ich folgendes Problem: Wenn ich der "ESXi-NIC Limited" die VLAN id 4 gebe funktioniert keine Verbindung unter den beiden VLAN's.

Es funktioniert allerdings wenn ich keine VLAN id hinterlege, oder alle VLAN 4095. Die physische Verkabelung passt also.

 

Alle VLAN's durchzureichen ist aber nicht Sinn der Sache. Ich möchte ja nur gezielt das VLAN4 zu der "ESXi-NIC Limited" weitergeben und dann den Datenverkehr über die Firewallregeln steuern.

 

Was mache ich falsch, dass die "ESXi-NIC Limited" nicht mit der VLAN id 4 funktioniert? Ich vermute, dass die Pakete überhaupt nicht mit dem Vlan-Tag 4 versehen werden.