17
Hyper-V VMs untereinander im gleichen Netz "unsichtbar" machen
Moin, moin liebe Kolleginnen und Kollegen.
Ich habe ein heute ein Anliegen, auf deren Lösung, bzw. Lösungsansätze ich sehr gespannt bin.
Es geht um eine Hyper - V Server (2012 R2 / 2016 / S2019) der als Root-Server dienen soll. Verschieden Vms, mit verschiedenen öffentlichen IPs, aber im gleichen VLAN ( nennen wir es 777)
Wenn ich dort einen Windows Server als VM anlege, konfiguriere und die Firewall deaktiviere und dann auf der externen Firewall weitere Regeln (RDP Zugriff, HTTPS und Windows Updates) konfiguriere ist das für mich erstmal ok. Nun wird ja aber folgendes passieren. Wenn ich auf diesem Server in den Explorer gehe, sehe ich alle diese Server unter dem Punkt Netzwerk. Natürlich kann ich sie nicht "betreten" da mir die Zugangsdaten vorliegen, aber ich könnte ja diesen dann gezielt angreifen.
Wie kann ich diese Server VMs auf dem HyperVisor voneinander trennen ohne im Vorfeld für jeden einzelnen ein eigenes Netz (immer vier Adressen) zu bauen? Die Windows Firewall extra zu konfigurieren kommt eigentlich auch nicht unbedingt in Frage, da wir nach außen hin eine sehr gute Firewall haben.
Ich bin gespannt auf eure Ideen.
Vielen Dank im Voraus.
Ich habe ein heute ein Anliegen, auf deren Lösung, bzw. Lösungsansätze ich sehr gespannt bin.
Es geht um eine Hyper - V Server (2012 R2 / 2016 / S2019) der als Root-Server dienen soll. Verschieden Vms, mit verschiedenen öffentlichen IPs, aber im gleichen VLAN ( nennen wir es 777)
Wenn ich dort einen Windows Server als VM anlege, konfiguriere und die Firewall deaktiviere und dann auf der externen Firewall weitere Regeln (RDP Zugriff, HTTPS und Windows Updates) konfiguriere ist das für mich erstmal ok. Nun wird ja aber folgendes passieren. Wenn ich auf diesem Server in den Explorer gehe, sehe ich alle diese Server unter dem Punkt Netzwerk. Natürlich kann ich sie nicht "betreten" da mir die Zugangsdaten vorliegen, aber ich könnte ja diesen dann gezielt angreifen.
Wie kann ich diese Server VMs auf dem HyperVisor voneinander trennen ohne im Vorfeld für jeden einzelnen ein eigenes Netz (immer vier Adressen) zu bauen? Die Windows Firewall extra zu konfigurieren kommt eigentlich auch nicht unbedingt in Frage, da wir nach außen hin eine sehr gute Firewall haben.
Ich bin gespannt auf eure Ideen.
Vielen Dank im Voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 556086
Url: https://administrator.de/contentid/556086
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
17 Kommentare
Neuester Kommentar
4 virtuelle Switche und gut ist.
Ich kann doch aber immer nur einen Switch pro LAN Anschluss machen,soweit ich weiß.
ist nur die halbe Miete
Zitat von @Hendrik2586:
Ich kann doch aber immer nur einen Switch pro LAN Anschluss machen,soweit ich weiß.
Ich kann doch aber immer nur einen Switch pro LAN Anschluss machen,soweit ich weiß.
VLAN auf Switch.
Zitat von @certifiedit.net:
VLAN auf Switch.
Zitat von @Hendrik2586:
Ich kann doch aber immer nur einen Switch pro LAN Anschluss machen,soweit ich weiß.
Ich kann doch aber immer nur einen Switch pro LAN Anschluss machen,soweit ich weiß.
VLAN auf Switch.
Wie meinst du das genau
Genauer genommen sog. Private VLANs oder auch isolated VLANs einrichten. Jeder gute Switch kann das aber ob das als Feature auch auf den internen vSwitches supportet ist musst du im Hyper V Handbuch nachlesen.
Genau das wäre aber die Lösung für dich weil Private VLANs eine any zu any Kommunikation unterbinden. (ARP Blocking)
https://en.wikipedia.org/wiki/Private_VLAN
Genau das wäre aber die Lösung für dich weil Private VLANs eine any zu any Kommunikation unterbinden. (ARP Blocking)
https://en.wikipedia.org/wiki/Private_VLAN
https://docs.microsoft.com/de-de/windows-server/virtualization/hyper-v/d ...
Wenn das zu viel ist, solltest du ggf jemanden hin zu ziehen
Wenn das zu viel ist, solltest du ggf jemanden hin zu ziehen
Zitat von @certifiedit.net:
https://docs.microsoft.com/de-de/windows-server/virtualization/hyper-v/d ...
Wenn das zu viel ist, solltest du ggf jemanden hin zu ziehen
https://docs.microsoft.com/de-de/windows-server/virtualization/hyper-v/d ...
Wenn das zu viel ist, solltest du ggf jemanden hin zu ziehen
Ich glaube ihr habt das Anliegen nicht ganz verstanden.
Die Idee un der Artikel sind wirklich nett, werden das Problem aber denke ich nicht wirklich lösen.
Naja, Angebote zur Unterstützung darf man hier nicht mehr bringen, auf der anderen Seite sind wir hier auch kein "1a IT-Supporthelpdesk für Arme".
Zitat von @certifiedit.net:
Naja, Angebote zur Unterstützung darf man hier nicht mehr bringen, auf der anderen Seite sind wir hier auch kein "1a IT-Supporthelpdesk für Arme".
Naja, Angebote zur Unterstützung darf man hier nicht mehr bringen, auf der anderen Seite sind wir hier auch kein "1a IT-Supporthelpdesk für Arme".
Die Aussage ist ja mal krass. Also habt ihr in einem Hilfsforum eure Dienste für Endgeld angeboten ja? Das wäre auch nicht korrekt. Heißt ja auch nicht das ihr alles für die Leute machen sollt.
Man kommt doch in so ein Forum um zu schauen ob man so die Antwort auf eine Frage findet um ein Anliegen mit Gleichgesinnten zu lösen. Klar weiß der ein oder andere mehr als man selbst, aber das ist ja noch lange kein Grund über die anderen zu urteilten.
Auf jeden Fall löst der Artikel hinter dem Link mein Anliegen bzw. mein denken nicht.
nein, manche Anfragen löst man eben nicht mal eben so nebenbei in einem Forum und nicht ohne konkret am System was zu tun. Wenn obige Hilfestellung nicht ausreicht, dann wird es vmtl. nicht ausreichen über das Forum.
net config server /hidden:YES
Moin,
Configuring VM VLAN Isolation in Hyper-V
Network isolation using PVLANs in HyperV 3.0
A How-To Guide on Setting Up Hyper-V VLANs
Gruß,
Dani
Jeder gute Switch kann das aber ob das als Feature auch auf den internen vSwitches supportet ist musst du im Hyper V Handbuch nachlesen.
Mit verschiedenen (P)VLANs bist du auf dem richtigen Weg.Configuring VM VLAN Isolation in Hyper-V
Network isolation using PVLANs in HyperV 3.0
A How-To Guide on Setting Up Hyper-V VLANs
Gruß,
Dani
Wäre toll gewesen wenn es funktioniert. Leider ist dem nicht so. Wird zwar unter Net config server als unsichtbar deklariert, aber man sieht ihn weiterhin im Netz.
Das einzig wichtige ist tatsächlich das ich in der Netzwerkumgebung keinen der anderen Server mehr sehe. Alles andere ist soweit gesichert.
Das macht mich Wahnsinnig, das das so schwierig ist.
Das macht mich Wahnsinnig, das das so schwierig ist.
Nein, ist es nicht. Mit PVLANs ein simpler Mausklick und in 3 Minuten erledigt !
Kurz nochmal zur Erklärung. Alle VMs haben in den Netzwerkeigenschaften das VLAN xxx angegeben bekommen. Dieses wird von einem Cisco Switch verwaltet. Wie soll ich das dann noch auf dem Hyper-V host auseinander dröseln? Gibt es hier eine Eigenschaft die ich übersehe?!
