twoeyesview
Goto Top

Client über Site-to-Site-VMWare zur VM

Hi,
kurze knappe Beschreibung.
2 Standorte per Unifi side-to-side vpn verbunden.
Standort 1 hat z.B. 192.168.40.0 Interne Domäne: Standort1Domäne
Standort 2 hat z.B. 192.168.50.0 Interne Domäne: Standort2Domäne

in Standort 2 ist eine VM über VMware (Vsphere) dort sind die Server für den Standort 2. Alles läuft an beiden Standorten.
Ich kann alle Clients von beiden Standorten anpingen, RDP ansteuern alles. AUßER die hinter der VMWARE....die VMWare selbst kann ich anpingen
Diese hat z.b. die IP 192.168.50.220 die Server dahinter haben 192.168.50.221 etc.

Ich komme aus dem Standort 1 bei aufgebauter side-to-site Verbindung auf alles drauf außer eben die VM'S ( DC, SQL, DatenServer etc....für Standort 2)

Mache ich aber meine VPN von meinem Windows in das Netzwerk Standort 2, bekomme ich ALLES und kann ohne Probleme, wie gewohnt und gewollt alles bedienen.

Da hört mein Verständnis in dem Bereich auf. Bitte für Dumme erklären face-smile

Kann mir da wer helfen bzw. sagen worauf ich achten muss? Achja Gateway ist überall der Standort Router sowie der DNS der Standortrouter ist bzw. als Alternativer DNS der DC des jeweiligen Standortes

Content-Key: 3604345733

Url: https://administrator.de/contentid/3604345733

Ausgedruckt am: 25.09.2022 um 00:09 Uhr

Mitglied: Looser27
Looser27 10.08.2022 um 11:37:56 Uhr
Goto Top
Moin,

spontan fällt mir die Firewall in der VMWare ein. Hast Du hier Änderungen vorgenommen?

Gruß

Looser
Mitglied: Twoeyesview
Twoeyesview 10.08.2022 aktualisiert um 11:56:59 Uhr
Goto Top
Hi Looser

nein ich habe dort keine Änderungen vorgenommen.
Das ganze läuft ja über dieses VSphere Esxi Server VMWare gedöns. Ich kenne das selbst leider 0.
Ich finde dort aber auch keine Firewall ähnlichen Einstellungen.
Ich habe schon Promiscuous-Modus akzeptieren drin, hat damit aber nicht so wirklich viel zu tun face-big-smile

P.S. Auf dem VM Server habe ich mutiger Weise die VPN mal 10 Minuten ausgemacht. Auch keine Veränderung.
Mitglied: em-pie
em-pie 10.08.2022 um 12:07:01 Uhr
Goto Top
Moin,

alles wirsch, diene Formulierungen:
in Standort 2 ist eine VM über VMware (Vsphere) dort sind die Server für den Standort 2.
...
Diese hat z.b. die IP 192.168.50.220 die Server dahinter haben 192.168.50.221 etc.
Klingt, als wenn am Standort 2 ein ESXi läuft, auf dem eine VM, welcher wiederum weitere VMs bereitstellt (=nested Virtualisation)...
liegt aber vermutlich hierdran:
Das ganze läuft ja über dieses VSphere Esxi Server VMWare gedöns. Ich kenne das selbst leider 0.
Das Problem, ist, das wir mit VSphere Esxi Server VMWare gedöns nur bedingt etwas anfangen können, da wir nicht wissen, wie eure Infrastruktur aussieht.
Was ist denn dein Fachgebiet (völlig wertneutral gefragt)?


Idee meinerseits:
Ich gehe aber mal davon aus, dass an Standort 2 ein ESXi läuft, auf dem div VMs laufen.
Sowohl der ESXi als auch die VMs haben eine IP aus 192.168.50.0/ 24
Da du von Standort 1 kommst (192.168.40.0/ 24) und (vermutlich!) die Firewall auf den virtuellen Windows-Servern aktiv ist, bist du also ein fremder und Windows sagt "Ey! du kommst hier ned rein!"

Deaktiviere zum Test mal die Windows-Firewall und versuche es dann.
Wenn es klappt, "nur" das Regelwerk der Firewall anpassen (geht per GPO) und schon klappt das auch.

Gruß
em-pie
Mitglied: Twoeyesview
Twoeyesview 10.08.2022 um 12:44:45 Uhr
Goto Top
Genau der ESXI "Server" hat eine IP, diese ist auch über die Side-to-Side VPN erreichbar. Nur alles dahinter nicht, sofern ich über Side-to-Side gehe.

Wie geschrieben. Windows Firewall in der VM hatte ich kurz aus.

Erreichbar:
ESXI 192.168.50.220

Nicht erreichbar
DC als VM 192.168.50.221
ServerXY als VM 192.168.50.222

Mein Fachgebiet...Ich habe Anwendungsentwickler gelernt, allerdings fasse ich dort leider kein Fuß. Werde somit eher Allrounder. Alles machen, alles irgendwie können aber nichts wirklich können face-big-smile
Mitglied: 148523
148523 10.08.2022 aktualisiert um 14:05:01 Uhr
Goto Top
Auf dem VM Server habe ich mutiger Weise die VPN mal 10 Minuten ausgemacht.
Wie ist das mit deiner Beschreibung in Einklang zu bringen die besagt das du das S2S VPN mit den UniFi Routern realisierst?!
Was hat also ein VPN auf irgendwelchen VMs zu suchen? Wirr...

Sind die VMs Windows Maschinen?
Wenn ja, wird dort sicher die lokale Windows Firewall aktiv sein. Diese blockiert generell Zugriffe aus fremden IP Netzen (deine jeweils remote Site) wenn du sie nicht entsprechend konfigurierst. Zusätzlich filtert sie generell ICMP so das auch Ping gar nicht funktioniert. Das solltest du bei Windows beachten und dir das einmal ansehen wenn du Firewall mit erweiterter Sicherheit ins Suchfeld der VM eingibst.
Das setzt natürlich voraus das alle deine VMs auch immer im jeweils gleichen IP Netz des jeweiligen Standorts laufen (Check mit ipconfig). Nicht das du im Hypervisor NAT oder ein isoliertes IP Netz betreibst?!
Mitglied: Twoeyesview
Twoeyesview 10.08.2022 aktualisiert um 14:17:27 Uhr
Goto Top
Zitat von @148523:

Auf dem VM Server habe ich mutiger Weise die VPN mal 10 Minuten ausgemacht.
Wie ist das mit deiner Beschreibung in Einklang zu bringen die besagt das du das S2S VPN mit den UniFi Routern realisierst?!
Was hat also ein VPN auf irgendwelchen VMs zu suchen? Wirr...


OMG natürlich völliger Blödsinn. Ich habe die Firewall in der VM ausgemacht....nicht die VPN face-big-smile

Und ja die sind im gleichen Netz 192.168.50.0/24 . Wie gesagt, an dem Standort ist alles wie es soll. Da geht ja auch die Ordnerfreigabe durch 192.168.50.22x\Ordner. Auch wenn ich P2S Verbindung mache, komme ich auf die Windows Server. Nur bei S2S nicht (Selbst mit Firewall aus in der Windows VM).

Ich habe aktuell nicht mal Ideen WO ich nach irgendwas gucken müsste. Auf Reddit erzählen die so tolle Lösungen wie: Vpn vom Windows Server auf den Router bauen und sowas...ahja...nein danke oder eine eigene VM als VPN Tunnel basteln etc.
Das kann ja alles nicht die Lösung sein. Da muss doch irgendwo im ESXI Server gedöns nen Haken zu prüfen sein oder so
Mitglied: em-pie
em-pie 10.08.2022 um 14:33:13 Uhr
Goto Top
Dann geh mal analytisch vor:
Ist an den VMs überall das (richtige!) Standard-Gateway hinterlegt?
Denn wenn das fehlt, kommen die Pakete von Standort 1 zwar zu Standort 2, aber die Antwort-Pakete finden den Weg nicht wieder zurück.

Wäre so, als wenn du einen Raum hast und die Tür von Außen sichtbar ist, auf der Innenseite des Raumes die Tür aber sehr gut in den Schrank integriert ist - undzwar so, dass man die Tür nicht sieht.

Mach also mal ein
Kopiere den Inhalt aus der ipconfig.txt heraus, und stelle ihn hier ein.
Wenn dort irgendwo ein Firmenname auftaucht, dann mache daraus einfach company.blabliblubb oder so
Mitglied: Twoeyesview
Twoeyesview 10.08.2022 um 14:51:28 Uhr
Goto Top
Gateway ist überall die 192.168.50.1
und im anderen Standort 192.168.40.1

Sind halt die Unifi Geräte wo auch die S2S VPN läuft
Mitglied: Twoeyesview
Twoeyesview 10.08.2022 um 14:59:11 Uhr
Goto Top
Ohje ich habs....blinder Hund...Subnetzmasken passen nicht überein...
Ich will zwar nur das 192.168.40.0 Netz aber wenn die Subnetzmaske auf der VM eine /20 ist, könnte die VPN leichte Kommunikationsschwierigkeiten haben uiuiui Dann passen die Größen ja nicht so wirklich zusammen. Korrekt?
Mitglied: 148523
148523 10.08.2022 um 16:15:27 Uhr
Goto Top
Autsch...! Auf /24 ändern und dann still und leise den Thread schnell schliessen. face-smile
https://administrator.de/faq/32
Mitglied: Twoeyesview
Twoeyesview 10.08.2022 um 16:23:01 Uhr
Goto Top
Hmm schön wäre es. Klappt dennoch nicht.
Ich muss mal die ganze Kombination durchspielen.
/24 Firewall aus und checken. Das geht aber erst...am Wochenende wenn keiner arbeitet...wie immer.

Sollte ich am Wochenende DIE Lösung gefunden haben, poste ich das hier natürlich.
Mitglied: radiogugu
radiogugu 10.08.2022 um 19:19:50 Uhr
Goto Top
Guten Abend.

Sind denn auch die Routen auf den Unifi USGs entsprechend gegenseitig bekanntgegeben?

Die USGs des 192.168.40.0/24 und des 192.168.50.0/24 Netzes haben auch beide Regeln entsprechend Richtung einander?

Gruß
Marc
Mitglied: Pitbullracer
Pitbullracer 10.08.2022 um 21:23:32 Uhr
Goto Top
Moin,

evtl. unterschiedliche Firewallregeln (Router\Firewal) bei P2S und S2S?

Das wäre auch eine Erklärung.