Jump to content

ESXi - VLAN-Netzwerkzugriff limitieren via Sophos


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

und zwar habe ich folgendes vor: Ich möchte bestimmte Virtuelle Maschinen (teilweise) von meinem Usernetz abschotten. Es soll allerdings ein SMB Zugriff von rot zu grün auf bestimmte Hosts möglich sein, oder bei Bedarf eine Internetverbindung für Fernwartungszwecke zugeschaltet werden. Dazu will ich diese VM's in ein separates VLAN stecken.

 

Die VLAN's sind auf dem HP-Switch konfiguriert. VLAN1 (=Usernetz) und das VLAN4 (=eingeschränktes Netz).

Das VLAN4 soll am ESXi "verfügbar" gemacht werden und die VM's darin via einer physischen Sophos Firewall reglementiert werden.

Entsprechende Firewallregeln sind eingerichtet. (ping etc. zum testen)

Die Sophos ist mit einem eth-Port mit dem Usernetz und mit einem weiteren eth-Port mit dem eingeschränkten VLAN verbunden.

 

Laut den verschiedenen Dokumentationen die ich gefunden habe, sollte man den HP-Switch-Port an dem der ESXi hängt, als "Trunk" konfigurieren. Usernetz ist Tagged, ein ping funktioniert von grün nach rot nur, wenn das eingeschränkte Netz Untagged ist.

 

Port     User        Limited      
---- + ---------  ------------

Trk4 |  Tagged     Untagged

 

 

Hier eine Grafik dazu:

vlan4_io.thumb.jpg.3c56ea998ca3400665dd03a7eb1fc1ed.jpg

grün = VLAN1 (Usernetz)

rot = VLAN4 (eingeschränktes Netz)

Port 17 = Trunk
Port 19 = VMware Management / vsphere Client via das grüne Usernetz.

 

 

Leider habe ich folgendes Problem: Wenn ich der "ESXi-NIC Limited" die VLAN id 4 gebe funktioniert keine Verbindung unter den beiden VLAN's.

Es funktioniert allerdings wenn ich keine VLAN id hinterlege, oder alle VLAN 4095. Die physische Verkabelung passt also.

 

Alle VLAN's durchzureichen ist aber nicht Sinn der Sache. Ich möchte ja nur gezielt das VLAN4 zu der "ESXi-NIC Limited" weitergeben und dann den Datenverkehr über die Firewallregeln steuern.

 


Was mache ich falsch, dass die "ESXi-NIC Limited" nicht mit der VLAN id 4 funktioniert? Ich vermute, dass die Pakete überhaupt nicht mit dem Vlan-Tag 4 versehen werden. :hmmm:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...