sashaak
Goto Top

Windows Server (Hyper-V) auf einem Hetzner-Server: Netzwerk-Konfig

Hallo liebe Gemeinschaft,

folgende Frage.

Ich habe einen Server bei Hetzner, der aktuell mit ESXi läuft.

Ich möchte (muss) den Server auf Hyper-V migrieren und habe hierzu die nachfolgende "Netzwerk"-Frage.

Ich habe 2 öffentliche IP-Adressen von Hetzner zugewiesen bekommen.

Aktuell mit ESXi habe ich das Netzwerk so konfiguriert:

- An einer IP-Adresse lauscht meine virtualisierte Firewall; sie kümmert sich um den Traffic und lässt andere VMs ins Internet oder verbietet es. Die Hetzner-Firewall habe ich so eingestellt, dass sie alle Connections zu dieser IP-Adresse und von dieser IP-Adresse erlaubt; um das Weitere kümmert sich die virtualisierte Firewall.

- An einer anderen IP-Adresse ist das Management-Netzwerk von ESXi angeschlossen. Die Firewall von Hetzner ist so konfiguriert, dass sich mit dieser IP-Adresse nur die Geräte verbinden dürfen, die sich im lokalen Netzwerk im Office befinden und umgekehrt kann ich nur aus dem Office den ESXi kontaktieren. Das ist so gewollt: so ist der ESXi vom bösen Internet geschützt face-smile

Nun, ESXi kann ohne Internetzugriff, den er nicht hat, gut umgehen; das Einzige, was ESXi braucht, ist der TIme Sync, aber er kriegt die Uhrzeit von einem Zeitserver aus dem Office.

Etwas Ähnliches möchte ich mit dem Windows Server 2019 mit Hyper-V-Rolle aufsetzen. Das Problem: Windows Server muss sich mit dem Internet verbinden dürfen, um Windows Updates herunterladen zu können. Warum ist das ein Problem? Weil die Hetzner-Firewall eine Stateless-Firewall ist, und daher kann der Windows Server nicht "richtig" aufs Internet zugreifen, wenn der Zugriff nur für die ausgehenden Verbindungen erlaubt ist. Ich möchte aber den Windows Server nicht für die eingehenden Verbindungen aus dem Internet öffnen.

Bitte kann mir jemand einen Tipp geben, wie ich es erreichen kann, dass der Windows Server sich die Windows Updates herunterladen kann, aber dennoch aus dem Internet nicht zugreifbar beleibt. Vielen Dank vorab!

Content-Key: 34099604621

Url: https://administrator.de/contentid/34099604621

Printed on: May 23, 2024 at 15:05 o'clock

Member: feuerbrand
feuerbrand Dec 28, 2023 at 19:34:31 (UTC)
Goto Top
Hallo

Windows Server muss sich mit dem Internet verbinden dürfen, um Windows Updates herunterladen zu können.

Warum sollte der Windows Server Updates Online installieren? Verzicht auf diese Funktion.
Wenn notwendig mache die Update manuell.
Ev. WSUS Offline Update verwenden.

Kann sein, das ich falsch gewickelt bin!

Gruss
Member: sashaak
sashaak Dec 28, 2023 at 21:41:30 (UTC)
Goto Top
Ich habe auch daran gedacht, den Server offline upzugraden, aber das muss dann zu oft passieren. Die Updates der Definitionen für den Defender erscheinen mehrfach am Tag...
Member: Dani
Solution Dani Dec 29, 2023 at 00:41:54 (UTC)
Goto Top
Moin,
Weil die Hetzner-Firewall eine Stateless-Firewall ist, und daher kann der Windows Server nicht "richtig" aufs Internet zugreifen, wenn der Zugriff nur für die ausgehenden Verbindungen erlaubt ist. Ich möchte aber den Windows Server nicht für die eingehenden Verbindungen aus dem Internet öffnen.
richte es wie hier beschrieben ein. Genauer gesagt ergänze die erste Regel aus dem verlinkten Absatz und dein Problem ist gelöst.

Ich möchte aber den Windows Server nicht für die eingehenden Verbindungen aus dem Internet öffnen.
Soso... dann möchte ich nicht wissen, wie du eine Stateful Firewall betreiben kannst?!


Gruß,
Dani
Member: MysticFoxDE
MysticFoxDE Dec 29, 2023 at 09:52:40 (UTC)
Goto Top
Moin @sashaak,

Die Updates der Definitionen für den Defender erscheinen mehrfach am Tag...

Defender und Hyper-V, bist du dir ganz sicher, dass du dir das auch wirklich antuen möchtest?
AV direkt auf einem Hypervisor ist nicht ganz ohne.

Gruss Alex
Member: sashaak
sashaak Dec 29, 2023 updated at 11:23:40 (UTC)
Goto Top
Zitat von @Dani:

richte es wie hier beschrieben ein. Genauer gesagt ergänze die erste Regel aus dem verlinkten Absatz und dein Problem ist gelöst.

Vielen Dank für den Input @Dani!

Jup. Dann ist der Portbereich 32768-65535 geöffnet für alle eingehenden TCP-Verbindungen. Oder irre ich mich?

Macht es eventuell Sinn, das nur für die IP-Bereiche von Microsoft zu machen? Oder gewährleistet der "ack"-Flag, dass nur die ausgehenden Verbindungen beantwortet werden dürfen?
Member: sashaak
sashaak Dec 29, 2023 updated at 11:24:37 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Defender und Hyper-V, bist du dir ganz sicher, dass du dir das auch wirklich antuen möchtest?
AV direkt auf einem Hypervisor ist nicht ganz ohne.

Vielen Dank für die Antwort @MysticFoxDE.

Na ja, der Defender ist beim Windows Server 2019 mit GUI mit dabei. Man könnte natürlich nur den reinen Hyper-V installieren, aber dann ist das Management deutlich komplizierter, IMHO.
Member: MysticFoxDE
MysticFoxDE Dec 29, 2023 at 12:11:21 (UTC)
Goto Top
Moin @sashaak,

Na ja, der Defender ist beim Windows Server 2019 mit GUI mit dabei.

Ja, per Default kommt bei MS mittlerweile einiges mit was man nicht wirklich zum Leben benötigt oder es dieses sogar erschwert. 😔

Zum Glück kann man beim Server das meiste davon auch wieder abstellen. 😁


Remove-WindowsFeature -Name "Windows-Defender"  
😉

Der Befehl funktioniert aber leider nur bei den Servern. 😭

Man könnte natürlich nur den reinen Hyper-V installieren, aber dann ist das Management deutlich komplizierter, IMHO.

Würde ich auch nicht empfehlen und entgegen Aussagen anderer, habe ich bei der Core Version, bisher auch nicht wirklich mehr Bums gesehen.

Gruss Alex
Member: Dani
Solution Dani Dec 29, 2023 at 15:21:17 (UTC)
Goto Top
Moin,
Macht es eventuell Sinn, das nur für die IP-Bereiche von Microsoft zu machen?
so viele Regeln kannst du gar nicht anlegen...

Oder gewährleistet der "ack"-Flag, dass nur die ausgehenden Verbindungen beantwortet werden dürfen?
https://www.schoenbuchsoft.de/Grundlagen/Firewall/zusammen-105.html


Gruß,
Dani
Member: sashaak
sashaak Dec 29, 2023 at 20:10:50 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Macht es eventuell Sinn, das nur für die IP-Bereiche von Microsoft zu machen?
so viele Regeln kannst du gar nicht anlegen...

Oder gewährleistet der "ack"-Flag, dass nur die ausgehenden Verbindungen beantwortet werden dürfen?
https://www.schoenbuchsoft.de/Grundlagen/Firewall/zusammen-105.html


Gruß,
Dani

Vielen Dank!
Member: Dani
Dani Dec 29, 2023 at 22:35:13 (UTC)
Goto Top
Moin,
wenn damit alles klar, setze den Beitrag noch auf gelöst.


Gruß,
Dani
Member: sashaak
sashaak Dec 30, 2023 at 07:48:19 (UTC)
Goto Top
Quote from @Dani:

Moin,
wenn damit alles klar, setze den Beitrag noch auf gelöst.


Gruß,
Dani

Done with pleasure!