3
Citrix Xenserver und Routing in die VMs
Hallo,
ich habe hier einen kleinen Wunsch bezüglich Citrix Xenserver 5.5 und Routing.
Ich habe hier ein kleines Netz (192.168.1.x) mit einem kleinen DD-WRT Router,in dem ich ein Xenserver (192.168.1.253) mit 4 Virtuellen Maschinen (3x Windows-Server, 1x Endian Community Firewall) stehen habe. Die VMs habe ich im Subnetz 192.168.2.x;alle VMs kommen auch ohne Probleme ins Internet.
Meine Frage ist nun;wie bekomme ich das Routing hin,damit ich aus dem Subnetz 192.168.1.x direkt auf einzelne VMs im Subnetz 192.168.2.x zugreifen kann? Oder besser gesagt,ist das überhaupt möglich?
Vielen Dank im Voraus.
Gruß,
AGU96
ich habe hier einen kleinen Wunsch bezüglich Citrix Xenserver 5.5 und Routing.
Ich habe hier ein kleines Netz (192.168.1.x) mit einem kleinen DD-WRT Router,in dem ich ein Xenserver (192.168.1.253) mit 4 Virtuellen Maschinen (3x Windows-Server, 1x Endian Community Firewall) stehen habe. Die VMs habe ich im Subnetz 192.168.2.x;alle VMs kommen auch ohne Probleme ins Internet.
Meine Frage ist nun;wie bekomme ich das Routing hin,damit ich aus dem Subnetz 192.168.1.x direkt auf einzelne VMs im Subnetz 192.168.2.x zugreifen kann? Oder besser gesagt,ist das überhaupt möglich?
Vielen Dank im Voraus.
Gruß,
AGU96
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 138631
Url: https://administrator.de/contentid/138631
Printed on: April 19, 2024 at 06:04 o'clock
3 Comments
Latest comment
Ja das ist problemlos möglich !
Leider erwähnst du mit keinem Wort wie deine interne Anbindung der VMs im XEN Host aussieht. Wie immer in einer VM Umgebung gibt es da 3 Optionen:
Nun geht aber die Raterei los, da deine Beschreibung leider oberflächlich ist.... Machst du NAT oder ist die Anbindung Host based ??
Geraten machst du vermutlich NAT denn wenn das Internet bei den VMs funktioniert, dann kann es kein Hst based sein, denn das erzwingt eine statische Route auf dem Internet Router !
Bei NAT wird dein internes IP Netz auf die lokale IP Adresse 192.168.1.253 deines XEN Hosts übersetzt (Adress Translation) Es geschieht also genau das gleiche was ein DSL Router mit internem LAN und öffentlicher DSL IP Adresse macht.
Folglich tauchen alle deine internen VMs mit einer 192.168.2.0/24er IP Adresse als 192.168.1.253 IP Adresse am WRT auf und der schickt sie ins Internet.
NAT ist aber ein einseitges Verfahren, d.h. nur aktive Sessions die in der NAT Tabelle stehen werden übersetzt.
Wollst du nun von außen eine Verbindung aus dem lokalen IP Netz 192.168.1.0 ins VM Netz 192.168.2.0 machen und hast keine aktive Session funktioniert es nicht ! Das hats du vermutlich schon bemerkt das du aus dem .1.0er Netz keine VM im .2.0er Netz anpingen kannst !
Das verhindert das NAT das quasi so als einseitige Firewall arbeitet.
Die meisten VM Hosts beiten die Möglichkeit eines Port Forwarding wie man es auch von DSL Routern kennt. Will man allerdings transparent routen zwischen VM Netz und lokalem Netz ist diese Option sehr beschränkt, denn sie erlaubt jeweils nur einem einzigen Host mit einem einzigen Dienst den Zugang.
Fazit:
Du hast nur 2 Optionen:
1.) Du aktivierst Routing auf dem XEN Host, damit dieser zwischen seinen lokalen und virtuellen NICs routen kann !
Je nach Betriebssystem sind das unterschiedliche Prozeduren da Routing in der Regel im Basis OS abgeschaltet ist. Wie es zu aktivieren ist sagt dir dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
2.) Du konfigurierst dein Szenario in eine Bridging Szenario um. Dann hast du alles in einem IP Netz und keine Probleme mehr. Allerdings entfällt dann auch ggf. eine Segmentierung über 2 IP Netze !
Du hast ggf. noch eine 3te Option mit der Endian Firewall: Wenn du diese aktivierst kannst du deine VMs auch über diese ins .1.0er Netzwerk routen.
Da du aber dazu nichts schreibst ist es unklar ob du sie nur zum spielen oder zum testen verwendest.
Ein bischen klingt das ganze nach dem ct'_Server, der genau dieses Szenario mit XEN und der Firewall verwendet ??!
Leider erwähnst du mit keinem Wort wie deine interne Anbindung der VMs im XEN Host aussieht. Wie immer in einer VM Umgebung gibt es da 3 Optionen:
- Bridging
- NAT (Adress Translation)
- Host basierend
Nun geht aber die Raterei los, da deine Beschreibung leider oberflächlich ist.... Machst du NAT oder ist die Anbindung Host based ??
Geraten machst du vermutlich NAT denn wenn das Internet bei den VMs funktioniert, dann kann es kein Hst based sein, denn das erzwingt eine statische Route auf dem Internet Router !
Bei NAT wird dein internes IP Netz auf die lokale IP Adresse 192.168.1.253 deines XEN Hosts übersetzt (Adress Translation) Es geschieht also genau das gleiche was ein DSL Router mit internem LAN und öffentlicher DSL IP Adresse macht.
Folglich tauchen alle deine internen VMs mit einer 192.168.2.0/24er IP Adresse als 192.168.1.253 IP Adresse am WRT auf und der schickt sie ins Internet.
NAT ist aber ein einseitges Verfahren, d.h. nur aktive Sessions die in der NAT Tabelle stehen werden übersetzt.
Wollst du nun von außen eine Verbindung aus dem lokalen IP Netz 192.168.1.0 ins VM Netz 192.168.2.0 machen und hast keine aktive Session funktioniert es nicht ! Das hats du vermutlich schon bemerkt das du aus dem .1.0er Netz keine VM im .2.0er Netz anpingen kannst !
Das verhindert das NAT das quasi so als einseitige Firewall arbeitet.
Die meisten VM Hosts beiten die Möglichkeit eines Port Forwarding wie man es auch von DSL Routern kennt. Will man allerdings transparent routen zwischen VM Netz und lokalem Netz ist diese Option sehr beschränkt, denn sie erlaubt jeweils nur einem einzigen Host mit einem einzigen Dienst den Zugang.
Fazit:
Du hast nur 2 Optionen:
1.) Du aktivierst Routing auf dem XEN Host, damit dieser zwischen seinen lokalen und virtuellen NICs routen kann !
Je nach Betriebssystem sind das unterschiedliche Prozeduren da Routing in der Regel im Basis OS abgeschaltet ist. Wie es zu aktivieren ist sagt dir dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
2.) Du konfigurierst dein Szenario in eine Bridging Szenario um. Dann hast du alles in einem IP Netz und keine Probleme mehr. Allerdings entfällt dann auch ggf. eine Segmentierung über 2 IP Netze !
Du hast ggf. noch eine 3te Option mit der Endian Firewall: Wenn du diese aktivierst kannst du deine VMs auch über diese ins .1.0er Netzwerk routen.
Da du aber dazu nichts schreibst ist es unklar ob du sie nur zum spielen oder zum testen verwendest.
Ein bischen klingt das ganze nach dem ct'_Server, der genau dieses Szenario mit XEN und der Firewall verwendet ??!
Hallo Aqui,
du hast natürlich vollkommen recht. Ich habe hier ein wenig unvorbereitet gepostet....
nein,ich setze nicht den CT-Server ein. Ich habe hier nur versucht,mit einfachen Mitteln ein Testszenario aufzubauen und eine Umgebung zu schaffe,die ich so ähnlich in der Realität habe. Allerdings muss ich auch zugeben,das ich im XEN-Thema nicht so wirklich drin stecke... Ich muss wohl mir erstmal die Doku schnappen.
Trotzdem vielen Dank für deine ausführliche Antwort. Du hast mich da auf ein paar Ideen gebracht...
Gruß,
AGU96
du hast natürlich vollkommen recht. Ich habe hier ein wenig unvorbereitet gepostet....
nein,ich setze nicht den CT-Server ein. Ich habe hier nur versucht,mit einfachen Mitteln ein Testszenario aufzubauen und eine Umgebung zu schaffe,die ich so ähnlich in der Realität habe. Allerdings muss ich auch zugeben,das ich im XEN-Thema nicht so wirklich drin stecke... Ich muss wohl mir erstmal die Doku schnappen.
Trotzdem vielen Dank für deine ausführliche Antwort. Du hast mich da auf ein paar Ideen gebracht...
Gruß,
AGU96
