Jump to content

ESXi, wie VMmachine in anderem Subnetz installieren


andrew
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hallo Leute

 

Da ich im VM Bereich im Bezug auf virtuelle Switches, Ports, Routing mich so gut wie gar nicht auskenne, frage ich daher folgendes:

 

Ich habe einen ESXi Server aufgesetzt, auf dem Host, auf welchem ESXi läuft, habe ich zwei Festplatten eingebaut.

 

Auf einer den ESXi selber, auf der zweiten laufen zurzeit zwei Test Server

- Windows Server 2003 >> im gleichen Subnetz wie der ESXi Host selber, Internetzugang möglich

- einen Server 2008 diesen und ggf. in Zukunft auch weitere Test Server für Schulungszwecke möchte ich in ein separates Subnetz pflanzen, damit diese ggf. nicht in mein "produktives" LAN funken.

 

Ich blicke nicht so ganz durch, wie ich das einrichten muss, damit der momentan einzige Server (2008 Server) auch ins Internet kommt oder kommen würde?

 

in Zahlen sieht mein Konstrukt, mein Netz zurzeit so aus:

 

CableModem mit externer IP --> ein alter 3com Office Connect Cable/ DSL Secure Gateway (hat eingebauter Switch) --> daran angeschlossen der ESXi Host --> darauf auf einer lokaler installierten Festplatte meine Server

 

3com Cable/ DSL Secure Gateway = 192.168.5.1 /24

ESXi Host = 192.168.5.1 /24

Win2k3 Server (2003 Server) = 192.168.5.15 /24, Gateway = 192.168.5.1

ist ein DC/ DNS Server/ DHCP Server

 

Eben, wie oben schon erwähnt, ich wiederhole mich:

Ich blicke nicht so ganz durch, wie ich das einrichten muss, damit der momentan einzige Server (2008 Server) auch ins Internet kommt oder kommen würde, wenn ich möchte, dass dieser in einem anderen Netz ist?

 

Habe versucht ein VLAN einzurichten, aber komme nicht weiter, spätestens dann nicht mehr, wenn ich meinem 2008 Server eine GW Adresse angeben müsste, welche dann? im neuen Subnetz (VLAN) existiert ja noch kein Router, welche die Pakete beispielsweise vom Netz 192.168.10.0 /24 zum physischen Router 192.168.5.1 /24 schicken könnte.

 

Und evtl. hätte ich sogar dann noch ein weiteres Problem, denn ich habe bei meinem 3com Office Connect Cable/ DSL Secure Gateway keine Möglichkeit gefunden, manuell Routen zu setzen ..aber vielleicht zuerst einmal zu meinem eigentlichen Probem, wenn es möglich ist :-)

Link zu diesem Kommentar

Du hast zwei Möglichkeiten das zu Trennen.

 

Entweder Quick and Dirty, d.h. du lässt alles in einem VLAN (D.h. du erstellst gar kein VLAN) und vergibst einfach nur andere IP Adressen.

 

D.h.

Netz1: 192.168.0.x/24

Netz2: 192.168.10.x/24

usw.

 

Dann musst du entscheiden, ob du zwischen den Netzen eine Verbindung haben willst, wenn ja, dann musst du routen. Dafür kannst du z.b. eine virtuelle Maschine erstellen (z.b. eine Monowall), mit mehreren Netzwerkkarten.

 

Natürlich musst du bei den Servern in dem entsprechenden Netz als Gateway dann die Gateway Adresse des Routers angeben.

Also im 192.168.0.x Netz z.B. die Gatewayadresse 192.168.0.254.

 

Hoffe verstanden.

 

Wie zweite Möglichkeit ist, das ganze über VLAN's zu trennen. Hat aber für dich eigentlich keinen Vorteil, da du auch hier einen Router ( Z.B. eine Monowall) benötigst, die dir die Daten zwischen den netzen routet.

 

VLANs kannst du dir so vorstellen, als wenn ein VLAN ein Switch ist.

 

Alle PCs die an diesem Switch(VLAN) hängen, können physisch nicht mit dem anderen Switch(Anderes VLAN) kommunizieren.

Link zu diesem Kommentar

Danke für die rasche Antwort.

Sorry, da hat sich ein Schreibfehler eingeschlichen.

 

Die IP Adressierung ist so:

 

3com Cable/ DSL Secure Gateway = 192.168.5.1 /24

ESXi Host = 192.168.5.5 /24

 

Ok, dann bräuchte ich auch für ein VLAN schlussendlich einen Router, alles klar.

Kann ich mir ein VLAN nicht auch wie ein separates Subnetz vorstellen?

 

Genau, das habe ich mir auch so überlegt >> irgend eine fertige Firewall als ISO File zu downloaden und dann virtuell zu installieren und das Routing machen zu lassen

Link zu diesem Kommentar

Kann ich mir ein VLAN nicht auch wie ein separates Subnetz vorstellen?

 

 

Nein, VLANs trennen auf Layer 2 Ebene die Datenverkehr.Du kannst in 2 VLAN's auf einem Switch oder Server die gleichen Subnetze betreiben und auch die gleichen IPs.

 

Z.B:

Server 1 VLAN1 192.168.0.1

Server 2 VLAN2 192.168.0.1

 

Da gibt es keinen Adressenkonflikt. Produktiv wird dies natürlich nicht funktionieren, wenn eine Verbindung(Routing) zwischen den Netzen stattfinden soll.

 

Ansonsten schau dir mal die Astaro Firewall an. Hier gibt es auch eine fertige VMware virtual Appliance die kostenlos ist und super als Paketfilter/Router fungieren kann.

Link zu diesem Kommentar

Moin,

 

von der Lösung einfach ein "VLAN" zu erstellen welches gar keines ist halte ich nichts. Aber vielleicht hilft dir ja das hier weiter: VMware vSphere 4 ESXi Installable and vCenter Server Documentation Center

 

Einfach den VMs andere IPs zu geben ist zumindest keine wirkliche Trennung a la VLAN. Rein theoretisch kann natürlich 192.168.1.0/24 nicht mit 192.168.2.0/24 kommunizieren da sie sich nicht im selben Subnet befinden. Theoretisch, praktisch muss nur das Subnet angepasst werden und es kann kommuniziert werden. Weiterhin kann der komplette Netzwerktraffic mitgehört werden ohne das wirklich was angepasst werden muss. Aber wie hoch deine Sicherheitsanforderungen sind weißt du selber am besten.

 

Grüße

Link zu diesem Kommentar

Ok, danke für die Antwort. Werde mir die Astaro Firewall oder ggf. eine andere, welche ich schon seit zig Jahren erfolgreich im Einsatz habe, virtuell betreiben >> Endian Firewall Endian -  UTM Appliance, Unified Threat Management, Firewall, Hotspot, Antispam, Antivirus, VPN, OpenVPN, Open Source 

 

Bis heute hatte ich nie eine virtuelle Firewall im Einsatz, diese bis dato immer auf einem physischen Rechner im Einsatz gehabt, evtl. sauge ich diese runter und setze diese für meine Zwecke auch einmal virtuell ein oder eben, die Astaro. :-)

Link zu diesem Kommentar
Ist ja auch kein Thema.

 

Richtig nur nicht sicher

 

ne, ich will nicht verschiedene Subnetze miteinander verbinden, sondern lediglich trennen Und: alle sollen eine Verbindung in das Internet herstellen können, das sind meine Wünsche oder Vorgaben :-)

 

Dann frage ich mich, warum du eine Firewall nutzen willst? Pack die Netze in ein 16er Subnetz und du hast ganz einfach das was du willst. Andersherum, die Planung unterschiedliche Netze mit virtualisierter Firewall zu verbinden bringt dir nur mehr Arbeit und keine wirkliche Sicherheit da sich alles auf einer Schnittstelle abspielt.

 

Grüße

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...