3
KVM HowTo? VM im LAN, Host isoliert
Hallo liebe Kollegen,
zum Schutz vor Ransom & Co möchte ich etwas ausprobieren. Diverse Anleitungen haben nicht zum Erfolg geführt, bzw. ich habe nicht das Passende gefunden.
Ich habe als Hardware einen Server mit 2 Netzwerkkarten. Ich möchte zunächst einen VServer in einer KVM VM laufen lassen, so dass er vom "Arbeits-Netzwerk" aus erreichbar ist und ins Internet kann (wie ein normaler Server). Der Host - als Schicht darunter - soll mit einem administrativen "Verwaltung-LAN" verbunden werden, so dass die Möglichkeit besteht, Snapshots o.ä. anzufertigen und diese im "Verwaltungs-LAN" z.B. auf einem NAS zu speichern. Der Host wie auch das NAS im "Verwaltungs-LAN" bekommt keinen Internetzugang und wird ausschließlich vor Ort per Maus/Tastatur verwaltet.
Wie muss ich das Netzwerk im Virtual Network Manager konfigurieren und wie reiche ich eine der beiden Netzwerkkarten so durch, dass der VServer das vorhandene LAN bedienen kann, den Host aber nicht sieht?
Vielen Dank für Eure Anregungen!
Peter
zum Schutz vor Ransom & Co möchte ich etwas ausprobieren. Diverse Anleitungen haben nicht zum Erfolg geführt, bzw. ich habe nicht das Passende gefunden.
Ich habe als Hardware einen Server mit 2 Netzwerkkarten. Ich möchte zunächst einen VServer in einer KVM VM laufen lassen, so dass er vom "Arbeits-Netzwerk" aus erreichbar ist und ins Internet kann (wie ein normaler Server). Der Host - als Schicht darunter - soll mit einem administrativen "Verwaltung-LAN" verbunden werden, so dass die Möglichkeit besteht, Snapshots o.ä. anzufertigen und diese im "Verwaltungs-LAN" z.B. auf einem NAS zu speichern. Der Host wie auch das NAS im "Verwaltungs-LAN" bekommt keinen Internetzugang und wird ausschließlich vor Ort per Maus/Tastatur verwaltet.
Wie muss ich das Netzwerk im Virtual Network Manager konfigurieren und wie reiche ich eine der beiden Netzwerkkarten so durch, dass der VServer das vorhandene LAN bedienen kann, den Host aber nicht sieht?
Vielen Dank für Eure Anregungen!
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1474035162
Url: https://administrator.de/contentid/1474035162
Printed on: April 23, 2024 at 21:04 o'clock
3 Comments
Latest comment
Hallo,
Konfiguriere eine Bridge, welche die VM mit dem "Arbeits-Netzwerk" verbindet. Der Host darf natürlich nicht Teil der Bridge sein, also keine IP Adresse dort konfigurieren.
Abschließend noch eine Bemerkung: eine VDI schützt dich nur beschränkt vor Ransomware, besonders wenn diese auf das "Arbeits-Netzwerk" zugreifen darf. Ein Snapshot ist kein Backup!
MfG
Wie muss ich das Netzwerk im Virtual Network Manager konfigurieren und wie reiche ich eine der beiden Netzwerkkarten so durch, dass der VServer das vorhandene LAN bedienen kann, den Host aber nicht sieht?
Konfiguriere eine Bridge, welche die VM mit dem "Arbeits-Netzwerk" verbindet. Der Host darf natürlich nicht Teil der Bridge sein, also keine IP Adresse dort konfigurieren.
Abschließend noch eine Bemerkung: eine VDI schützt dich nur beschränkt vor Ransomware, besonders wenn diese auf das "Arbeits-Netzwerk" zugreifen darf. Ein Snapshot ist kein Backup!
MfG
Zitat von @peternunaber:
Ich habe als Hardware einen Server mit 2 Netzwerkkarten. Ich möchte zunächst einen VServer in einer KVM VM laufen lassen, so dass er vom "Arbeits-Netzwerk" aus erreichbar ist und ins Internet kann (wie ein normaler Server).
Gib der VM einfach per Pass-Through die 2. Netzwerkkarte und häng sie in deine DMZ.Ich habe als Hardware einen Server mit 2 Netzwerkkarten. Ich möchte zunächst einen VServer in einer KVM VM laufen lassen, so dass er vom "Arbeits-Netzwerk" aus erreichbar ist und ins Internet kann (wie ein normaler Server).
Der Host - als Schicht darunter - soll mit einem administrativen "Verwaltung-LAN" verbunden werden, so dass die Möglichkeit besteht, Snapshots o.ä. anzufertigen und diese im "Verwaltungs-LAN" z.B. auf einem NAS zu speichern.
Dem Host selbst gibst du einfach die erste Netzwerkkarte und hängst sie in dein Management-Netz.Der Host wie auch das NAS im "Verwaltungs-LAN" bekommt keinen Internetzugang und wird ausschließlich vor Ort per Maus/Tastatur verwaltet.
Nette Idee, aber wie willst du dann an Updates kommen? Du wirst zu diesem Zweck zumindest für den Updatevorgang einen Internetzugang geben müssen.zum Schutz vor Ransom & Co möchte ich etwas ausprobieren. Diverse Anleitungen haben nicht zum Erfolg geführt, bzw. ich habe nicht das Passende gefunden.
Inwiefern soll dich das vor Verschlüsselung von Festplatten schützen? Ich würde dann eher über LVM oder besser ZFS und Snapshots setzen, um auf einen brauchbaren Punkt zurückzuspringen, falls du Opfer von Ramsom & Co geworden bist.
Hallo Kollegen,
vielen Dank an @148848 und @it-fraggle für die Denkanstöße.
Ich habe das KVM-Thema letztlich lösen können, indem ich KEIN virtuelles Netzwerk verwendet habe, dh. das automatisch angelegte Netzwerk "default" gelöscht und kein Neues angelegt. Weiterhin haben die VMs eine Bridge zu der Netzwerkkarte bekommen, die mit dem Arbeitsnetz verbunden ist. Nun sind die VMs im Arbeitsnetz sichtbar, das darunterliegende Hostsystem nicht erreichbar.
Ransomware: Mir ist klar, dass ein Snapshot kein Backup ist, aber eine Kopie der VM ist ein Backup. Dazu die Idee mit dem NAS im "Verwaltungs-Netz". Ich will erreichen, wenn "oben" alles verschlüsselt wird, das trotzdem automatisiert Backups erzeugt werden, die aber nicht ohne physische Anwesenheit zugreifbar sind. Die Backups müssen dann noch offline liegen usw.
Ich freue mich über Eure Anregungen.
vielen Dank an @148848 und @it-fraggle für die Denkanstöße.
Ich habe das KVM-Thema letztlich lösen können, indem ich KEIN virtuelles Netzwerk verwendet habe, dh. das automatisch angelegte Netzwerk "default" gelöscht und kein Neues angelegt. Weiterhin haben die VMs eine Bridge zu der Netzwerkkarte bekommen, die mit dem Arbeitsnetz verbunden ist. Nun sind die VMs im Arbeitsnetz sichtbar, das darunterliegende Hostsystem nicht erreichbar.
Ransomware: Mir ist klar, dass ein Snapshot kein Backup ist, aber eine Kopie der VM ist ein Backup. Dazu die Idee mit dem NAS im "Verwaltungs-Netz". Ich will erreichen, wenn "oben" alles verschlüsselt wird, das trotzdem automatisiert Backups erzeugt werden, die aber nicht ohne physische Anwesenheit zugreifbar sind. Die Backups müssen dann noch offline liegen usw.
Ich freue mich über Eure Anregungen.
