ESXi - bisher öffentliche IP soll private IP werden (mit VLAN, auf 2. NIC)
Erneut einen guten Tag an alle!
Ich habe zurzeit zwei ESXi Server mit VMs am laufen die allesamt eine öffentliche IP haben.
Wir haben eine Firewall installiert mit VPN und VLAN um den Zugriff auf die ESXi Weboberfläche nur noch über VLAN/VPN/private IP Adresse durchführen können.
Zuvor haben wir schon erfolgreich unsere IPMI und iLO auf die private IP/VPN/VLAN umgestellt. (mit einem zusätzlichen LAN-Port)
Nur beim ESXi ist es nicht so einfach wie bei den IPMI/iLO.
Kurz zum Setup:
Wie gesagt, bisher läuft alles über eine öffentliche IP (sowohl ESXi, vCenter und VMs)
Wir hatten an beiden ESXi Maschinen einen LAN-Port ins Internet benutzt
Wir haben einen zusätzlichen LAN-Port angesteckt den wir gerne für die Weboberfläche benutzen wollen. (ESXi und vCenter) (mit privater IP Adresse, VLAN + VPN - das bereits alles erfolgreich funktioniert)
Problem:
Wir bekommen es nicht hin die Netzwerkeinstellung so zu ändern damit die VMs wie bisher auf LAN-Port 0 ins Internet kommen und erreichbar sind
und das über LAN-Port 1 (VLAN, private IP) wir die Weboberfläche benutzen.
Was wir hinbekommen hatten:
Über die Remote Console, also direkt an der Maschine die IP Adresse, Subnetz, Gateway einzustellen auf LAN-Port 1. (das heißt, LAN-Port 0 war deaktiviert)
Wir konnten dann über die VPN/V-LAN/private IP dann ganz normal die Weboberfläche benutzen.
Leider hatten danach die Maschinen keinen Zugang mehr zum Internet über LAN-Port 0.
Worüber ich mich sehr freuen würde:
Tipps/Ideen/Vorschläge/Lösungen bzgl. dieses Problems.
Zusätzliche Infos:
Ich dachte ich poste einfach ein paar Einstellungen und hoffe das erhöht meine Chance hier eine Lösung zu finden! (ist noch Standard-ESXi-Vorsteinstellung)
Vorweg:
Vielen lieben Dank für Antworten!
P.S.: Wir hatten schon ein Teilerfolg. Direkt an der Maschine über Remote Console hatten wir die IP Adresse auf die private gestellt und eingestellt das er nur die 2. neue NIC (VPN, VLAN) nutzt. Es hat funktioniert! Wir konnten dann nur noch über die VPN auf die Weboberfläche.
Das blöde aber war, das die VMs danach keinen Zugriff mehr auf das Internet hatten. Dann haben wir zurückgestellt.
Vllt. gibt es eine Lösung mit einem 2. Uplink/einen zweiten vSwitch/etc.? - erneut! vielen lieben Dank!
P.P.S.: Wir hatten dann auch getestet das beide NICs aktiv sind mit der privaten IP - dann hatten wir keinen Zugriff mehr darauf (die VMs kamen auch nicht ins Internet)
(anscheinend kann man nicht einfach beide NICs aktiviert lassen und ESXi ist schlau genug um automatisch zu ermitteln das auf Port 0 Internet sein soll und auf Port 1 Management?)
mfG Goodfred
Ich habe zurzeit zwei ESXi Server mit VMs am laufen die allesamt eine öffentliche IP haben.
Wir haben eine Firewall installiert mit VPN und VLAN um den Zugriff auf die ESXi Weboberfläche nur noch über VLAN/VPN/private IP Adresse durchführen können.
Zuvor haben wir schon erfolgreich unsere IPMI und iLO auf die private IP/VPN/VLAN umgestellt. (mit einem zusätzlichen LAN-Port)
Nur beim ESXi ist es nicht so einfach wie bei den IPMI/iLO.
Kurz zum Setup:
Wie gesagt, bisher läuft alles über eine öffentliche IP (sowohl ESXi, vCenter und VMs)
Wir hatten an beiden ESXi Maschinen einen LAN-Port ins Internet benutzt
Wir haben einen zusätzlichen LAN-Port angesteckt den wir gerne für die Weboberfläche benutzen wollen. (ESXi und vCenter) (mit privater IP Adresse, VLAN + VPN - das bereits alles erfolgreich funktioniert)
Problem:
Wir bekommen es nicht hin die Netzwerkeinstellung so zu ändern damit die VMs wie bisher auf LAN-Port 0 ins Internet kommen und erreichbar sind
und das über LAN-Port 1 (VLAN, private IP) wir die Weboberfläche benutzen.
Was wir hinbekommen hatten:
Über die Remote Console, also direkt an der Maschine die IP Adresse, Subnetz, Gateway einzustellen auf LAN-Port 1. (das heißt, LAN-Port 0 war deaktiviert)
Wir konnten dann über die VPN/V-LAN/private IP dann ganz normal die Weboberfläche benutzen.
Leider hatten danach die Maschinen keinen Zugang mehr zum Internet über LAN-Port 0.
Worüber ich mich sehr freuen würde:
Tipps/Ideen/Vorschläge/Lösungen bzgl. dieses Problems.
Zusätzliche Infos:
Ich dachte ich poste einfach ein paar Einstellungen und hoffe das erhöht meine Chance hier eine Lösung zu finden! (ist noch Standard-ESXi-Vorsteinstellung)
Vorweg:
Vielen lieben Dank für Antworten!
P.S.: Wir hatten schon ein Teilerfolg. Direkt an der Maschine über Remote Console hatten wir die IP Adresse auf die private gestellt und eingestellt das er nur die 2. neue NIC (VPN, VLAN) nutzt. Es hat funktioniert! Wir konnten dann nur noch über die VPN auf die Weboberfläche.
Das blöde aber war, das die VMs danach keinen Zugriff mehr auf das Internet hatten. Dann haben wir zurückgestellt.
Vllt. gibt es eine Lösung mit einem 2. Uplink/einen zweiten vSwitch/etc.? - erneut! vielen lieben Dank!
P.P.S.: Wir hatten dann auch getestet das beide NICs aktiv sind mit der privaten IP - dann hatten wir keinen Zugriff mehr darauf (die VMs kamen auch nicht ins Internet)
(anscheinend kann man nicht einfach beide NICs aktiviert lassen und ESXi ist schlau genug um automatisch zu ermitteln das auf Port 0 Internet sein soll und auf Port 1 Management?)
mfG Goodfred
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1579780199
Url: https://administrator.de/forum/esxi-bisher-oeffentliche-ip-soll-private-ip-werden-mit-vlan-auf-2-nic-1579780199.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
12 Kommentare
Neuester Kommentar
Moin,
erstmal Glückwunsch, das ihr diese Wahnsinnskonstruktion auflösen wollt.
Grob umrissen:
1. an den ESXi fürs Management private IP im DCUI einstellen
2. alle VMs auf private IPs umstellen
3. an der Firewall Portforwarding Public IP:PORT -> Private IP:Port einstellen, ggfs nich mit SNAT für ausgehenden Traffic
4. wenn ihr mehrere Domains auf einer IP fahrt, entsprechenden ReverseProxy mit integrieren.
vg,
Slainte
erstmal Glückwunsch, das ihr diese Wahnsinnskonstruktion auflösen wollt.
Grob umrissen:
1. an den ESXi fürs Management private IP im DCUI einstellen
2. alle VMs auf private IPs umstellen
3. an der Firewall Portforwarding Public IP:PORT -> Private IP:Port einstellen, ggfs nich mit SNAT für ausgehenden Traffic
4. wenn ihr mehrere Domains auf einer IP fahrt, entsprechenden ReverseProxy mit integrieren.
vg,
Slainte
Grob schematisch sähe ein VLAN Beispiel z.B. so aus:
Vielleicht hilft das hier noch zum Verständnis:
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
VLAN mit Cisco SG220, ESXIund Pfsense
Vielleicht hilft das hier noch zum Verständnis:
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
VLAN mit Cisco SG220, ESXIund Pfsense
Zitat von @tech-flare:
Nicht, wenn er tatsächlich eine physische Trennung am Blech vornehmen will. Ansonsten hast du natürlich recht, welches sich auch in der Zeichnung des Kollegen @aqui widerspiegelt.Mit deinem bisherigen Verfahren, beide vmnics auf einen vSwitch zu packen, kannst du keine Trennung vornehmen.
Wenn er VLAN nutzt schon ;)