12
ESXi - bisher öffentliche IP soll private IP werden (mit VLAN, auf 2. NIC)
Erneut einen guten Tag an alle!
Ich habe zurzeit zwei ESXi Server mit VMs am laufen die allesamt eine öffentliche IP haben.
Wir haben eine Firewall installiert mit VPN und VLAN um den Zugriff auf die ESXi Weboberfläche nur noch über VLAN/VPN/private IP Adresse durchführen können.
Zuvor haben wir schon erfolgreich unsere IPMI und iLO auf die private IP/VPN/VLAN umgestellt. (mit einem zusätzlichen LAN-Port)
Nur beim ESXi ist es nicht so einfach wie bei den IPMI/iLO.
Kurz zum Setup:
Wie gesagt, bisher läuft alles über eine öffentliche IP (sowohl ESXi, vCenter und VMs)
Wir hatten an beiden ESXi Maschinen einen LAN-Port ins Internet benutzt
Wir haben einen zusätzlichen LAN-Port angesteckt den wir gerne für die Weboberfläche benutzen wollen. (ESXi und vCenter) (mit privater IP Adresse, VLAN + VPN - das bereits alles erfolgreich funktioniert)
Problem:
Wir bekommen es nicht hin die Netzwerkeinstellung so zu ändern damit die VMs wie bisher auf LAN-Port 0 ins Internet kommen und erreichbar sind
und das über LAN-Port 1 (VLAN, private IP) wir die Weboberfläche benutzen.
Was wir hinbekommen hatten:
Über die Remote Console, also direkt an der Maschine die IP Adresse, Subnetz, Gateway einzustellen auf LAN-Port 1. (das heißt, LAN-Port 0 war deaktiviert)
Wir konnten dann über die VPN/V-LAN/private IP dann ganz normal die Weboberfläche benutzen.
Leider hatten danach die Maschinen keinen Zugang mehr zum Internet über LAN-Port 0.
Worüber ich mich sehr freuen würde:
Tipps/Ideen/Vorschläge/Lösungen bzgl. dieses Problems.
Zusätzliche Infos:
Ich dachte ich poste einfach ein paar Einstellungen und hoffe das erhöht meine Chance hier eine Lösung zu finden!
(ist noch Standard-ESXi-Vorsteinstellung)
Vorweg:
Vielen lieben Dank für Antworten!
P.S.: Wir hatten schon ein Teilerfolg. Direkt an der Maschine über Remote Console hatten wir die IP Adresse auf die private gestellt und eingestellt das er nur die 2. neue NIC (VPN, VLAN) nutzt. Es hat funktioniert! Wir konnten dann nur noch über die VPN auf die Weboberfläche.
Das blöde aber war, das die VMs danach keinen Zugriff mehr auf das Internet hatten. Dann haben wir zurückgestellt.
Vllt. gibt es eine Lösung mit einem 2. Uplink/einen zweiten vSwitch/etc.? - erneut! vielen lieben Dank!
P.P.S.: Wir hatten dann auch getestet das beide NICs aktiv sind mit der privaten IP - dann hatten wir keinen Zugriff mehr darauf (die VMs kamen auch nicht ins Internet)
(anscheinend kann man nicht einfach beide NICs aktiviert lassen und ESXi ist schlau genug um automatisch zu ermitteln das auf Port 0 Internet sein soll und auf Port 1 Management?)
mfG Goodfred
Ich habe zurzeit zwei ESXi Server mit VMs am laufen die allesamt eine öffentliche IP haben.
Wir haben eine Firewall installiert mit VPN und VLAN um den Zugriff auf die ESXi Weboberfläche nur noch über VLAN/VPN/private IP Adresse durchführen können.
Zuvor haben wir schon erfolgreich unsere IPMI und iLO auf die private IP/VPN/VLAN umgestellt. (mit einem zusätzlichen LAN-Port)
Nur beim ESXi ist es nicht so einfach wie bei den IPMI/iLO.
Kurz zum Setup:
Wie gesagt, bisher läuft alles über eine öffentliche IP (sowohl ESXi, vCenter und VMs)
Wir hatten an beiden ESXi Maschinen einen LAN-Port ins Internet benutzt
Wir haben einen zusätzlichen LAN-Port angesteckt den wir gerne für die Weboberfläche benutzen wollen. (ESXi und vCenter) (mit privater IP Adresse, VLAN + VPN - das bereits alles erfolgreich funktioniert)
Problem:
Wir bekommen es nicht hin die Netzwerkeinstellung so zu ändern damit die VMs wie bisher auf LAN-Port 0 ins Internet kommen und erreichbar sind
und das über LAN-Port 1 (VLAN, private IP) wir die Weboberfläche benutzen.
Was wir hinbekommen hatten:
Über die Remote Console, also direkt an der Maschine die IP Adresse, Subnetz, Gateway einzustellen auf LAN-Port 1. (das heißt, LAN-Port 0 war deaktiviert)
Wir konnten dann über die VPN/V-LAN/private IP dann ganz normal die Weboberfläche benutzen.
Leider hatten danach die Maschinen keinen Zugang mehr zum Internet über LAN-Port 0.
Worüber ich mich sehr freuen würde:
Tipps/Ideen/Vorschläge/Lösungen bzgl. dieses Problems.
Zusätzliche Infos:
Ich dachte ich poste einfach ein paar Einstellungen und hoffe das erhöht meine Chance hier eine Lösung zu finden!
(ist noch Standard-ESXi-Vorsteinstellung)Vorweg:
Vielen lieben Dank für Antworten!
P.S.: Wir hatten schon ein Teilerfolg. Direkt an der Maschine über Remote Console hatten wir die IP Adresse auf die private gestellt und eingestellt das er nur die 2. neue NIC (VPN, VLAN) nutzt. Es hat funktioniert! Wir konnten dann nur noch über die VPN auf die Weboberfläche.
Das blöde aber war, das die VMs danach keinen Zugriff mehr auf das Internet hatten. Dann haben wir zurückgestellt.
Vllt. gibt es eine Lösung mit einem 2. Uplink/einen zweiten vSwitch/etc.? - erneut! vielen lieben Dank!
P.P.S.: Wir hatten dann auch getestet das beide NICs aktiv sind mit der privaten IP - dann hatten wir keinen Zugriff mehr darauf (die VMs kamen auch nicht ins Internet)
(anscheinend kann man nicht einfach beide NICs aktiviert lassen und ESXi ist schlau genug um automatisch zu ermitteln das auf Port 0 Internet sein soll und auf Port 1 Management?)
mfG Goodfred
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1579780199
Url: https://administrator.de/contentid/1579780199
Ausgedruckt am: 19.11.2024 um 11:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
erstmal Glückwunsch, das ihr diese Wahnsinnskonstruktion auflösen wollt.
Grob umrissen:
1. an den ESXi fürs Management private IP im DCUI einstellen
2. alle VMs auf private IPs umstellen
3. an der Firewall Portforwarding Public IP:PORT -> Private IP:Port einstellen, ggfs nich mit SNAT für ausgehenden Traffic
4. wenn ihr mehrere Domains auf einer IP fahrt, entsprechenden ReverseProxy mit integrieren.
vg,
Slainte
erstmal Glückwunsch, das ihr diese Wahnsinnskonstruktion auflösen wollt.
Grob umrissen:
1. an den ESXi fürs Management private IP im DCUI einstellen
2. alle VMs auf private IPs umstellen
3. an der Firewall Portforwarding Public IP:PORT -> Private IP:Port einstellen, ggfs nich mit SNAT für ausgehenden Traffic
4. wenn ihr mehrere Domains auf einer IP fahrt, entsprechenden ReverseProxy mit integrieren.
vg,
Slainte
1
Zitat von @SlainteMhath:
Moin,
erstmal Glückwunsch, das ihr diese Wahnsinnskonstruktion auflösen wollt.
Grob umrissen:
1. an den ESXi fürs Management private IP im DCUI einstellen
2. alle VMs auf private IPs umstellen
3. an der Firewall Portforwarding Public IP:PORT -> Private IP:Port einstellen, ggfs nich mit SNAT für ausgehenden Traffic
4. wenn ihr mehrere Domains auf einer IP fahrt, entsprechenden ReverseProxy mit integrieren.
vg,
Slainte
Moin,
erstmal Glückwunsch, das ihr diese Wahnsinnskonstruktion auflösen wollt.
Grob umrissen:
1. an den ESXi fürs Management private IP im DCUI einstellen
2. alle VMs auf private IPs umstellen
3. an der Firewall Portforwarding Public IP:PORT -> Private IP:Port einstellen, ggfs nich mit SNAT für ausgehenden Traffic
4. wenn ihr mehrere Domains auf einer IP fahrt, entsprechenden ReverseProxy mit integrieren.
vg,
Slainte
Danke für deine Antwort.
Aber wir wollen das Beibehalten das die VMs öffentliche IPs haben. (über den bisherigen NIC-Port 0)
Nur haben wir es leider auf Anhieb nicht hingebracht die IP (Schritt 1. von dir) vom ESXi auf eine private IP auf dem NIC-Port 1 einzustellen und das auch gleichzeitig die VMs auf Port 0 ins Internet kommen.
Ich denke das ist kein Hexenwerk, das kriegen wir noch hin!
Sorry, aber die Frage ist ohne einen Topologieplan nicht zu beantworten.
1
Moin,
leg einen zweiten vSwitch an.
Am vSwitch0 kommt deine vmnic0, am vSwitch1 deine vmnic1
Den VMKernel packst du auf den vSwitch0.
Danach sollte dein vorhaben klappen.
Mit deinem bisherigen Verfahren, beide vmnics auf einen vSwitch zu packen, kannst du keine Trennung vornehmen.
Gruß
em-pie
leg einen zweiten vSwitch an.
Am vSwitch0 kommt deine vmnic0, am vSwitch1 deine vmnic1
Den VMKernel packst du auf den vSwitch0.
Danach sollte dein vorhaben klappen.
Mit deinem bisherigen Verfahren, beide vmnics auf einen vSwitch zu packen, kannst du keine Trennung vornehmen.
Gruß
em-pie
1
Mit deinem bisherigen Verfahren, beide vmnics auf einen vSwitch zu packen, kannst du keine Trennung vornehmen.
Wenn er VLAN nutzt schon ;)Aber da er keins im ESXI definert hat, wird das nicht klappen
1
Grob schematisch sähe ein VLAN Beispiel z.B. so aus:
Vielleicht hilft das hier noch zum Verständnis:
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
VLAN mit Cisco SG220, ESXIund Pfsense
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
VLAN mit Cisco SG220, ESXIund Pfsense
1Zitat von @tech-flare:
Nicht, wenn er tatsächlich eine physische Trennung am Blech vornehmen will. Ansonsten hast du natürlich recht, welches sich auch in der Zeichnung des Kollegen @aqui widerspiegelt.Mit deinem bisherigen Verfahren, beide vmnics auf einen vSwitch zu packen, kannst du keine Trennung vornehmen.
Wenn er VLAN nutzt schon ;)1Zitat von @em-pie:
Moin,
leg einen zweiten vSwitch an.
Am vSwitch0 kommt deine vmnic0, am vSwitch1 deine vmnic1
Den VMKernel packst du auf den vSwitch0.
Danach sollte dein vorhaben klappen.
Mit deinem bisherigen Verfahren, beide vmnics auf einen vSwitch zu packen, kannst du keine Trennung vornehmen.
Gruß
em-pie
Moin,
leg einen zweiten vSwitch an.
Am vSwitch0 kommt deine vmnic0, am vSwitch1 deine vmnic1
Den VMKernel packst du auf den vSwitch0.
Danach sollte dein vorhaben klappen.
Mit deinem bisherigen Verfahren, beide vmnics auf einen vSwitch zu packen, kannst du keine Trennung vornehmen.
Gruß
em-pie
Kurz noch eine Frage,:
Kann ich in jedem Fall über die Remote Console die Netzwerkeinstellungen wieder ändern falls ich mich aussperre?
Wäre blöd wenn ich den jetzigen vSwitch 0 etc. lasse, (für die VMs ins Internet, also wie es momentan ist)
einen neuen vSwitch erstelle (mit Uplink die 2. NIC) und dort das Management Netzwerk einstelle (also für das VLAN/vSwitch "2")
und dann durch einen Fehler gar nicht mehr auf die Weboberfläche komme.
Erneut Danke für eure Antworten!
Kurz noch eine Frage,:
Kann ich in jedem Fall über die Remote Console die Netzwerkeinstellungen wieder ändern falls ich mich aussperre?
ja, sofern du direkten Zugriff auf die Console hast. Dies hast du ja aber laut deinen Bildenr oben.Kann ich in jedem Fall über die Remote Console die Netzwerkeinstellungen wieder ändern falls ich mich aussperre?
1Zitat von @tech-flare:
Kurz noch eine Frage,:
Kann ich in jedem Fall über die Remote Console die Netzwerkeinstellungen wieder ändern falls ich mich aussperre?
ja, sofern du direkten Zugriff auf die Console hast. Dies hast du ja aber laut deinen Bildenr oben.Kann ich in jedem Fall über die Remote Console die Netzwerkeinstellungen wieder ändern falls ich mich aussperre?
Gut, danke!
Wäre blöd wenn ich an den Switches und Managementnetzwerk was umstelle und letztendlich mich so komplett ausgesperrt habe das ich über die Remote Console nicht mehr reparieren kann.
Es hat geklappt!
Habe im DCUI die NIC auf die 2. gestellt (VLAN/VPN),
die IP Adresse in eine private fürs VLAN gestellt. (inklusive Gateway)
Danach waren alle VMs und die Management Console auf dem VLAN.
Habe dann einen 2. vSwitch erstellt mit Uplink NIC 1 (also die die Zugang zum Internet hat)
und eine Portgruppe mit dem 2. vSwitch erstellt.
Danach alle VMs auf die Portgruppe/vSwitch Internet gestellt und alles klappt!
Danke für eure Hilfe!
Habe im DCUI die NIC auf die 2. gestellt (VLAN/VPN),
die IP Adresse in eine private fürs VLAN gestellt. (inklusive Gateway)
Danach waren alle VMs und die Management Console auf dem VLAN.
Habe dann einen 2. vSwitch erstellt mit Uplink NIC 1 (also die die Zugang zum Internet hat)
und eine Portgruppe mit dem 2. vSwitch erstellt.
Danach alle VMs auf die Portgruppe/vSwitch Internet gestellt und alles klappt!
Danke für eure Hilfe!
Es hat geklappt!
👏👍1
