goodfred
Goto Top

ESXi - bisher öffentliche IP soll private IP werden (mit VLAN, auf 2. NIC)

Erneut einen guten Tag an alle!

Ich habe zurzeit zwei ESXi Server mit VMs am laufen die allesamt eine öffentliche IP haben.

Wir haben eine Firewall installiert mit VPN und VLAN um den Zugriff auf die ESXi Weboberfläche nur noch über VLAN/VPN/private IP Adresse durchführen können.
Zuvor haben wir schon erfolgreich unsere IPMI und iLO auf die private IP/VPN/VLAN umgestellt. (mit einem zusätzlichen LAN-Port)

Nur beim ESXi ist es nicht so einfach wie bei den IPMI/iLO.

Kurz zum Setup:
Wie gesagt, bisher läuft alles über eine öffentliche IP (sowohl ESXi, vCenter und VMs)
Wir hatten an beiden ESXi Maschinen einen LAN-Port ins Internet benutzt
Wir haben einen zusätzlichen LAN-Port angesteckt den wir gerne für die Weboberfläche benutzen wollen. (ESXi und vCenter) (mit privater IP Adresse, VLAN + VPN - das bereits alles erfolgreich funktioniert)

Problem:
Wir bekommen es nicht hin die Netzwerkeinstellung so zu ändern damit die VMs wie bisher auf LAN-Port 0 ins Internet kommen und erreichbar sind
und das über LAN-Port 1 (VLAN, private IP) wir die Weboberfläche benutzen.

Was wir hinbekommen hatten:
Über die Remote Console, also direkt an der Maschine die IP Adresse, Subnetz, Gateway einzustellen auf LAN-Port 1. (das heißt, LAN-Port 0 war deaktiviert)
Wir konnten dann über die VPN/V-LAN/private IP dann ganz normal die Weboberfläche benutzen.
Leider hatten danach die Maschinen keinen Zugang mehr zum Internet über LAN-Port 0.

Worüber ich mich sehr freuen würde:
Tipps/Ideen/Vorschläge/Lösungen bzgl. dieses Problems.

Zusätzliche Infos:
Ich dachte ich poste einfach ein paar Einstellungen und hoffe das erhöht meine Chance hier eine Lösung zu finden! face-smile (ist noch Standard-ESXi-Vorsteinstellung)

screen 1
screen 2
screen 3
screen 4
screen 5
screen 6
screen 7

Vorweg:
Vielen lieben Dank für Antworten! face-smile

P.S.: Wir hatten schon ein Teilerfolg. Direkt an der Maschine über Remote Console hatten wir die IP Adresse auf die private gestellt und eingestellt das er nur die 2. neue NIC (VPN, VLAN) nutzt. Es hat funktioniert! Wir konnten dann nur noch über die VPN auf die Weboberfläche.
Das blöde aber war, das die VMs danach keinen Zugriff mehr auf das Internet hatten. Dann haben wir zurückgestellt.
Vllt. gibt es eine Lösung mit einem 2. Uplink/einen zweiten vSwitch/etc.? - erneut! vielen lieben Dank! face-smile

P.P.S.: Wir hatten dann auch getestet das beide NICs aktiv sind mit der privaten IP - dann hatten wir keinen Zugriff mehr darauf (die VMs kamen auch nicht ins Internet)
(anscheinend kann man nicht einfach beide NICs aktiviert lassen und ESXi ist schlau genug um automatisch zu ermitteln das auf Port 0 Internet sein soll und auf Port 1 Management?)

mfG Goodfred

Content-ID: 1579780199

Url: https://administrator.de/forum/esxi-bisher-oeffentliche-ip-soll-private-ip-werden-mit-vlan-auf-2-nic-1579780199.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

SlainteMhath
SlainteMhath 02.12.2021 um 15:35:31 Uhr
Goto Top
Moin,

erstmal Glückwunsch, das ihr diese Wahnsinnskonstruktion auflösen wollt.

Grob umrissen:
1. an den ESXi fürs Management private IP im DCUI einstellen
2. alle VMs auf private IPs umstellen
3. an der Firewall Portforwarding Public IP:PORT -> Private IP:Port einstellen, ggfs nich mit SNAT für ausgehenden Traffic
4. wenn ihr mehrere Domains auf einer IP fahrt, entsprechenden ReverseProxy mit integrieren.

vg,
Slainte
Goodfred
Goodfred 02.12.2021 um 16:08:39 Uhr
Goto Top
Zitat von @SlainteMhath:

Moin,

erstmal Glückwunsch, das ihr diese Wahnsinnskonstruktion auflösen wollt.

Grob umrissen:
1. an den ESXi fürs Management private IP im DCUI einstellen
2. alle VMs auf private IPs umstellen
3. an der Firewall Portforwarding Public IP:PORT -> Private IP:Port einstellen, ggfs nich mit SNAT für ausgehenden Traffic
4. wenn ihr mehrere Domains auf einer IP fahrt, entsprechenden ReverseProxy mit integrieren.

vg,
Slainte

Danke für deine Antwort.
Aber wir wollen das Beibehalten das die VMs öffentliche IPs haben. (über den bisherigen NIC-Port 0)

Nur haben wir es leider auf Anhieb nicht hingebracht die IP (Schritt 1. von dir) vom ESXi auf eine private IP auf dem NIC-Port 1 einzustellen und das auch gleichzeitig die VMs auf Port 0 ins Internet kommen.
Ich denke das ist kein Hexenwerk, das kriegen wir noch hin! face-big-smile
SlainteMhath
SlainteMhath 02.12.2021 um 16:14:48 Uhr
Goto Top
Sorry, aber die Frage ist ohne einen Topologieplan nicht zu beantworten.
em-pie
em-pie 02.12.2021 um 17:18:54 Uhr
Goto Top
Moin,

leg einen zweiten vSwitch an.
Am vSwitch0 kommt deine vmnic0, am vSwitch1 deine vmnic1

Den VMKernel packst du auf den vSwitch0.
Danach sollte dein vorhaben klappen.


Mit deinem bisherigen Verfahren, beide vmnics auf einen vSwitch zu packen, kannst du keine Trennung vornehmen.

Gruß
em-pie
tech-flare
tech-flare 02.12.2021 aktualisiert um 22:03:40 Uhr
Goto Top
Mit deinem bisherigen Verfahren, beide vmnics auf einen vSwitch zu packen, kannst du keine Trennung vornehmen.
Wenn er VLAN nutzt schon ;)

Aber da er keins im ESXI definert hat, wird das nicht klappen
aqui
aqui 03.12.2021 aktualisiert um 10:43:20 Uhr
Goto Top
Grob schematisch sähe ein VLAN Beispiel z.B. so aus:
esvl.
Vielleicht hilft das hier noch zum Verständnis:
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
VLAN mit Cisco SG220, ESXIund Pfsense
em-pie
em-pie 03.12.2021 um 11:10:30 Uhr
Goto Top
Zitat von @tech-flare:

Mit deinem bisherigen Verfahren, beide vmnics auf einen vSwitch zu packen, kannst du keine Trennung vornehmen.
Wenn er VLAN nutzt schon ;)
Nicht, wenn er tatsächlich eine physische Trennung am Blech vornehmen will. Ansonsten hast du natürlich recht, welches sich auch in der Zeichnung des Kollegen @aqui widerspiegelt.
Goodfred
Goodfred 03.12.2021 um 13:05:00 Uhr
Goto Top
Zitat von @em-pie:

Moin,

leg einen zweiten vSwitch an.
Am vSwitch0 kommt deine vmnic0, am vSwitch1 deine vmnic1

Den VMKernel packst du auf den vSwitch0.
Danach sollte dein vorhaben klappen.


Mit deinem bisherigen Verfahren, beide vmnics auf einen vSwitch zu packen, kannst du keine Trennung vornehmen.

Gruß
em-pie

Kurz noch eine Frage,:
Kann ich in jedem Fall über die Remote Console die Netzwerkeinstellungen wieder ändern falls ich mich aussperre?
Wäre blöd wenn ich den jetzigen vSwitch 0 etc. lasse, (für die VMs ins Internet, also wie es momentan ist)
einen neuen vSwitch erstelle (mit Uplink die 2. NIC) und dort das Management Netzwerk einstelle (also für das VLAN/vSwitch "2")
und dann durch einen Fehler gar nicht mehr auf die Weboberfläche komme.

Erneut Danke für eure Antworten! face-smile
tech-flare
tech-flare 03.12.2021 um 14:06:56 Uhr
Goto Top
Kurz noch eine Frage,:
Kann ich in jedem Fall über die Remote Console die Netzwerkeinstellungen wieder ändern falls ich mich aussperre?
ja, sofern du direkten Zugriff auf die Console hast. Dies hast du ja aber laut deinen Bildenr oben.
Goodfred
Goodfred 03.12.2021 um 15:14:04 Uhr
Goto Top
Zitat von @tech-flare:

Kurz noch eine Frage,:
Kann ich in jedem Fall über die Remote Console die Netzwerkeinstellungen wieder ändern falls ich mich aussperre?
ja, sofern du direkten Zugriff auf die Console hast. Dies hast du ja aber laut deinen Bildenr oben.

Gut, danke!
Wäre blöd wenn ich an den Switches und Managementnetzwerk was umstelle und letztendlich mich so komplett ausgesperrt habe das ich über die Remote Console nicht mehr reparieren kann. face-big-smile
Goodfred
Lösung Goodfred 10.12.2021 um 10:15:16 Uhr
Goto Top
Es hat geklappt!

Habe im DCUI die NIC auf die 2. gestellt (VLAN/VPN),
die IP Adresse in eine private fürs VLAN gestellt. (inklusive Gateway)

Danach waren alle VMs und die Management Console auf dem VLAN.
Habe dann einen 2. vSwitch erstellt mit Uplink NIC 1 (also die die Zugang zum Internet hat)
und eine Portgruppe mit dem 2. vSwitch erstellt.
Danach alle VMs auf die Portgruppe/vSwitch Internet gestellt und alles klappt!

Danke für eure Hilfe! face-smile
aqui
aqui 10.12.2021 um 12:32:29 Uhr
Goto Top
Es hat geklappt!
👏👍