Internetzugang nur über eine Netzwerkkarte bei Windows 7
Hallo alle zusammen,
ich habe eine etwas knifflige Anforderung, zerbreche mir damit nun schon einige Tage den Kopf und möchte gerne Eure Meinungen und Ideen dazu bitte hören.
Gegebenes Szenario:
Hostsystem mit einer Netzwerkkarte (DHCP). VM mit zwei Netzwerkkarten (eth0: bridged,DHCP, eth1: NAT, statisch auf 192.168.137.1). Die VM soll somit als "Router" im weitesten Sinne für den Host dienen. Dies funktioniert mittels Windows eigenem ICS richtig gut und einfach.
Die VM unterliegt gewissen Sicherheitsrichtlinien, unter welchen das Wirtsystem auch liegen soll, wenn es mit dem Netz der VM kommunizieren will.
Allerdings könnte man derzeit über die Netzwerkkarte des Wirts genauso gut das WWW erreichen.
Meine Anforderung hier wäre jetzt, den Internetzugang nur über die VM laufen zu lassen, wenn möglich mit Bordmitteln.
Erste Ideen, die Routingtabellen via GPO alle 30 min zu überschreiben fielen flach, da Windows das Standardgateway immer mit einer niedrigeren Metrik setzt, als welche, die händisch eingetragen werden. Somit würden diese mit jedem Lease eines DHCP's eliminiert.
Die Schnittstelle selbst kann ich nicht deaktivieren, da sonst die VM via Bridge-Modus keine Netzverbindung mehr hat.
Letzter Ansatz meinerseits wäre eine Firewall, allerdings ist bis dato unklar, ob der Wirt "nackt" in Bezug auf Virenscanner & Co. bleibt.
Für Tips und Ideen wäre ich sehr sehr dankbar.
Grüße
Buchey
ich habe eine etwas knifflige Anforderung, zerbreche mir damit nun schon einige Tage den Kopf und möchte gerne Eure Meinungen und Ideen dazu bitte hören.
Gegebenes Szenario:
Hostsystem mit einer Netzwerkkarte (DHCP). VM mit zwei Netzwerkkarten (eth0: bridged,DHCP, eth1: NAT, statisch auf 192.168.137.1). Die VM soll somit als "Router" im weitesten Sinne für den Host dienen. Dies funktioniert mittels Windows eigenem ICS richtig gut und einfach.
Die VM unterliegt gewissen Sicherheitsrichtlinien, unter welchen das Wirtsystem auch liegen soll, wenn es mit dem Netz der VM kommunizieren will.
Allerdings könnte man derzeit über die Netzwerkkarte des Wirts genauso gut das WWW erreichen.
Meine Anforderung hier wäre jetzt, den Internetzugang nur über die VM laufen zu lassen, wenn möglich mit Bordmitteln.
Erste Ideen, die Routingtabellen via GPO alle 30 min zu überschreiben fielen flach, da Windows das Standardgateway immer mit einer niedrigeren Metrik setzt, als welche, die händisch eingetragen werden. Somit würden diese mit jedem Lease eines DHCP's eliminiert.
Die Schnittstelle selbst kann ich nicht deaktivieren, da sonst die VM via Bridge-Modus keine Netzverbindung mehr hat.
Letzter Ansatz meinerseits wäre eine Firewall, allerdings ist bis dato unklar, ob der Wirt "nackt" in Bezug auf Virenscanner & Co. bleibt.
Für Tips und Ideen wäre ich sehr sehr dankbar.
Grüße
Buchey
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 235604
Url: https://administrator.de/forum/internetzugang-nur-ueber-eine-netzwerkkarte-bei-windows-7-235604.html
Ausgedruckt am: 28.04.2025 um 14:04 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
mal ehrlich das ganze Konstrukt vergessen, da es und Grund auf keine gute Idee ist.
Den Host wirst du so nie wirklich sicher bekommen.
mal ehrlich das ganze Konstrukt vergessen, da es und Grund auf keine gute Idee ist.
Den Host wirst du so nie wirklich sicher bekommen.
Zitat von @buchey:
Allerdings könnte man derzeit über die Netzwerkkarte des Wirts genauso gut das WWW erreichen.
Allerdings könnte man derzeit über die Netzwerkkarte des Wirts genauso gut das WWW erreichen.
Ohne zu wissen, ob dann die Virtuelle Maschine, die ja auch über den Host läuft, noch ins WWW kommt: Die einfachste Art, dem Host den Internetzugang wegzunehmen wäre, ihm den Standardgateway-Eintrag zu löschen ...
Zitat von @wiesi200:
mal ehrlich das ganze Konstrukt vergessen, da es und Grund auf keine gute Idee ist.
Den Host wirst du so nie wirklich sicher bekommen.
mal ehrlich das ganze Konstrukt vergessen, da es und Grund auf keine gute Idee ist.
Den Host wirst du so nie wirklich sicher bekommen.
Leider muss ich mich auf dieses Konstrukt berufen, da die VM ein unternehmensweiter Standard ist und ich auf dessen Sicherheitsaspekte sowie Netzgeräte nicht verzichten kann.
Zitat von @SarekHL:
Ohne zu wissen, ob dann die Virtuelle Maschine, die ja auch über den Host läuft, noch ins WWW kommt: Die einfachste Art,
dem Host den Internetzugang wegzunehmen wäre, ihm den Standardgateway-Eintrag zu löschen ...
Ohne zu wissen, ob dann die Virtuelle Maschine, die ja auch über den Host läuft, noch ins WWW kommt: Die einfachste Art,
dem Host den Internetzugang wegzunehmen wäre, ihm den Standardgateway-Eintrag zu löschen ...
Die VM kommt nur über einen internen Proxy ins WWW. D.h. ist am Wirt nicht das Corporate-LAN angeschlossen, kommt die VM direkt nicht mehr ins WWW.
Das Gateway zu löschen wäre natürlich wirklich das einfachste. Nur kann man das wirklich auch durchsetzen, wenn das Lease via DHCP kommt?
Den Host wirst du niemals isoliert bekommen, dort helfen nur entsprechende Firewall Einträge um das sicher zu machen.
Generell ist das kein sicheres Konstrukt. Wenn dann würde es noch etwas Sinn machen mit einer richtigen Firewall dazwischen.
Für Monowall oder pfSense gibt es auch entsprechend fertige VM Images:
https://www.pfsense.org/download/index.html#vmware-appliance
bzw.
http://m0n0.ch/wall/downloads.php
Damit bridged man den WAN Port auf die Host NIC und die anderen Interfaces werden im Netzwerk Host Modus mit dem LAN Port verknüpft an die man dann auch die VM anflanscht. Der Host darf keinesfalls IP Forwarding aktiviert haben, denn das geht nur über die VM. Die Host Interfaces sind ja isoliert davon.
Im Grunde ist das recht einfach nur generell ein schlechtes Designs aus Sicherheitssicht. Schafft es nur ein User daraus auszubrechen liegt ihm die Serverlandschaft frei zu Füssen.
Eine VM oder ein Router gehören IMMER auf dedizierte Hardware...wenigstens im Produktivbetrieb. Wenn du es nur zum Rumspielen nutzt mag das OK sein.
Grundlagen zum Routing findest du noch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das gilt analog auf für virtuelle NICs.
Generell ist das kein sicheres Konstrukt. Wenn dann würde es noch etwas Sinn machen mit einer richtigen Firewall dazwischen.
Für Monowall oder pfSense gibt es auch entsprechend fertige VM Images:
https://www.pfsense.org/download/index.html#vmware-appliance
bzw.
http://m0n0.ch/wall/downloads.php
Damit bridged man den WAN Port auf die Host NIC und die anderen Interfaces werden im Netzwerk Host Modus mit dem LAN Port verknüpft an die man dann auch die VM anflanscht. Der Host darf keinesfalls IP Forwarding aktiviert haben, denn das geht nur über die VM. Die Host Interfaces sind ja isoliert davon.
Im Grunde ist das recht einfach nur generell ein schlechtes Designs aus Sicherheitssicht. Schafft es nur ein User daraus auszubrechen liegt ihm die Serverlandschaft frei zu Füssen.
Eine VM oder ein Router gehören IMMER auf dedizierte Hardware...wenigstens im Produktivbetrieb. Wenn du es nur zum Rumspielen nutzt mag das OK sein.
Grundlagen zum Routing findest du noch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das gilt analog auf für virtuelle NICs.
Zitat von @buchey:
> Zitat von @wiesi200:
>
> mal ehrlich das ganze Konstrukt vergessen, da es und Grund auf keine gute Idee ist.
> Den Host wirst du so nie wirklich sicher bekommen.
Leider muss ich mich auf dieses Konstrukt berufen, da die VM ein unternehmensweiter Standard ist und ich auf dessen
Sicherheitsaspekte sowie Netzgeräte nicht verzichten kann.
Dann hältst du dich aber leider an einen Sicherheitsstandard der nicht das geringste mit Sicherheit zu tun hat.> Zitat von @wiesi200:
>
> mal ehrlich das ganze Konstrukt vergessen, da es und Grund auf keine gute Idee ist.
> Den Host wirst du so nie wirklich sicher bekommen.
Leider muss ich mich auf dieses Konstrukt berufen, da die VM ein unternehmensweiter Standard ist und ich auf dessen
Sicherheitsaspekte sowie Netzgeräte nicht verzichten kann.
