6
Möglichst weitreichend isoliertes Netzwerk mit DC, DHCP, DNS, aber mit Internetzugang
Hallo zusammen,
als Neuling hier komme ich direkt mal mit einem Anliegen/Problem, das mich seit einer Weile beschäftigt.
In Teilen habe ich schon ein paar Ideen gefunden, aber so ganz rund bekomme ich es noch nicht hin.
Eine Testumgebung soll in VMware "komplett" isoliert betrieben werden, weil es außer einem DHCP-Server auch noch andere Störfaktoren für das Produktivnetzwerk geben könnte.
Daher werden die NICs aller VMs über einen vSwitch mit einem "Privates Netzwerk" verbunden. (So können alle VMs auch konfliktfrei gleiche IP-Adressen nutzen, was ein gewünschter Faktor ist, da so mehrere Testumgebungen an verschiedenen Privaten Netzwerken betreiben lassen, ohne das umfangreiche IP-Adresslisten gepflegt werden müssen...)
Plattform: Active Directory auf Windows Server 2012 R2 DC plus weitere Server und Clients.
Nun sollen aber alle VMs auch Internetzugang erhalten (Windows Updates, Testszenarien, etc.).
Der Lösungsansatz ist nun, dem DC eine zweite Netzwerkkarte zu geben, die wiederum Verbindung zum Produktiv-Netzwerk hat und über den Produktiv-DHCP-Server eine IP-Adresse erhält.
Multi-homed DCs sind ja etwas tricky, aber eine Anleitung, um "Probleme mit Multihomed DCs vermeiden" zu können, habe ich schon gefunden:
Probleme mit Multihomed DCs vermeiden
1. Was muss getan werden, um NIC1 und NIC2 soweit voneinander zu isolieren, dass alle kritischen Dienste intern (also auf NIC1) bleiben?
2. Was muss getan werden, damit die anderen Clients dann den DC als Gateway/Router nutzen?
3. Geht das überhaupt, wenn NIC2 dynamisch eine IP-Adresse aus dem Produktivnetz bekommt oder muss diese IP-Adresse evtl. fix setzen auf dem DC?
Ist das eurer Meinung nach der beste, sauberste Ansatz oder gibt es da charmantere, flexiblere, fehlerunanfälligere Lösungen für? Es soll natürlich bei der Erst- und ggf. Folgekonfiguration der Server so sein, dass möglichst wenig geändert werden muss (Registry, Routingtabellen, IP-Adressen, etc.).
Bin für jeden Tipp empfänglich
Vielen Dank vorab!
als Neuling hier komme ich direkt mal mit einem Anliegen/Problem, das mich seit einer Weile beschäftigt.
In Teilen habe ich schon ein paar Ideen gefunden, aber so ganz rund bekomme ich es noch nicht hin.
Eine Testumgebung soll in VMware "komplett" isoliert betrieben werden, weil es außer einem DHCP-Server auch noch andere Störfaktoren für das Produktivnetzwerk geben könnte.
Daher werden die NICs aller VMs über einen vSwitch mit einem "Privates Netzwerk" verbunden. (So können alle VMs auch konfliktfrei gleiche IP-Adressen nutzen, was ein gewünschter Faktor ist, da so mehrere Testumgebungen an verschiedenen Privaten Netzwerken betreiben lassen, ohne das umfangreiche IP-Adresslisten gepflegt werden müssen...)
Plattform: Active Directory auf Windows Server 2012 R2 DC plus weitere Server und Clients.
Nun sollen aber alle VMs auch Internetzugang erhalten (Windows Updates, Testszenarien, etc.).
Der Lösungsansatz ist nun, dem DC eine zweite Netzwerkkarte zu geben, die wiederum Verbindung zum Produktiv-Netzwerk hat und über den Produktiv-DHCP-Server eine IP-Adresse erhält.
Multi-homed DCs sind ja etwas tricky, aber eine Anleitung, um "Probleme mit Multihomed DCs vermeiden" zu können, habe ich schon gefunden:
Probleme mit Multihomed DCs vermeiden
1. Was muss getan werden, um NIC1 und NIC2 soweit voneinander zu isolieren, dass alle kritischen Dienste intern (also auf NIC1) bleiben?
2. Was muss getan werden, damit die anderen Clients dann den DC als Gateway/Router nutzen?
3. Geht das überhaupt, wenn NIC2 dynamisch eine IP-Adresse aus dem Produktivnetz bekommt oder muss diese IP-Adresse evtl. fix setzen auf dem DC?
Ist das eurer Meinung nach der beste, sauberste Ansatz oder gibt es da charmantere, flexiblere, fehlerunanfälligere Lösungen für? Es soll natürlich bei der Erst- und ggf. Folgekonfiguration der Server so sein, dass möglichst wenig geändert werden muss (Registry, Routingtabellen, IP-Adressen, etc.).
Bin für jeden Tipp empfänglich
Vielen Dank vorab!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 270048
Url: https://administrator.de/contentid/270048
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
der einfachste und sauberste Weg wäre am Router/Firewall ein eigenes VLAN ohne Zugriff auf dein Produktivnetz anzulegen.
Dieses VLAN schleifst du dann tagged durch deine Switche bis zum ESX Host, konfigurierst dort den Port als untagged und packst
eine VMware Netzwerkkarte in dieses VLAN.
Somit hättest du ein komplett abgeschottetes L2 Netzwerk mit Internetzugriff.
VG
Val
der einfachste und sauberste Weg wäre am Router/Firewall ein eigenes VLAN ohne Zugriff auf dein Produktivnetz anzulegen.
Dieses VLAN schleifst du dann tagged durch deine Switche bis zum ESX Host, konfigurierst dort den Port als untagged und packst
eine VMware Netzwerkkarte in dieses VLAN.
Somit hättest du ein komplett abgeschottetes L2 Netzwerk mit Internetzugriff.
VG
Val
Hallo Val,
danke, aber dies ist leider keine Option, da ein Zugriff auf Router/Firewall nicht möglich ist...Ich muss mehr oder weniger mit der Infrastruktur so leben, wie sie "hinter" dem Router und bis zur VMware-Umgebung eben aktuell aussieht
Aber die Idee würde ich mir für zukünftige Änderungen in petto halten. Danke!
Ich tendiere also weiterhin zur Vervollständigung des geschilderten Lösungsansatzes aus meinem ersten Posting hier.
VG
danke, aber dies ist leider keine Option, da ein Zugriff auf Router/Firewall nicht möglich ist...Ich muss mehr oder weniger mit der Infrastruktur so leben, wie sie "hinter" dem Router und bis zur VMware-Umgebung eben aktuell aussieht
Aber die Idee würde ich mir für zukünftige Änderungen in petto halten. Danke!
Ich tendiere also weiterhin zur Vervollständigung des geschilderten Lösungsansatzes aus meinem ersten Posting hier.
VG
Moin,
pack auf einen Server die RRAS Rolle inkl. NAT und LAN-Routing Feature. Dann machst du auf der NIC welche zum Router zeigt NAT, konfigurierst auf deinem DHCP Server im VMWare Netz den Server mit der RRAS-Rolle als Default-Gateway , und fertig ist die Kiste.
Gruß jodel32
pack auf einen Server die RRAS Rolle inkl. NAT und LAN-Routing Feature. Dann machst du auf der NIC welche zum Router zeigt NAT, konfigurierst auf deinem DHCP Server im VMWare Netz den Server mit der RRAS-Rolle als Default-Gateway , und fertig ist die Kiste.
Gruß jodel32
Der Lösungsansatz ist nun, dem DC eine zweite Netzwerkkarte zu geben, die wiederum Verbindung zum Produktiv-Netzwerk hat und über den Produktiv-DHCP-Server eine IP-Adresse erhält.
Solltest du nicht machen sondern das mit einem kleinen externen Router lösen !Das hat den großen Vorteil das du weder die Produktivumgebung anfassen musst noch deine Testumgebung.
Du nimmst einen kleinen Mikrotik 750 Router packst den in beide Netze mit entsprechender IP und gut iss.
Wenn doch mal was stören sollte ziehst du einfach nur das Patchkabel ab und kannst dann ganz sicher sein das die Netze wieder physisch getrennt sind !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Eine bessere Isolierung für 35 Euro Kosten bekommst du definitiv nicht !
1
Hi,
Eine option: zweite vm mit ipfire drauf.
Die bekommt 2 vnics: dmz Netz und abgetrenntes Netz.
Dann dmz ip der ipfire auf eurer richtigen Firewall nach draußen freigeben.
Dann auf dem abgetrennten server die local ip der ipfire als gateway rein und fertig
Lg
Edith: ok, nicht ganz fertig - musst auf der ipfire noch ein paar rudimentäre firewall regeln reinstellen, dann fertig.
Eine option: zweite vm mit ipfire drauf.
Die bekommt 2 vnics: dmz Netz und abgetrenntes Netz.
Dann dmz ip der ipfire auf eurer richtigen Firewall nach draußen freigeben.
Dann auf dem abgetrennten server die local ip der ipfire als gateway rein und fertig
Lg
Edith: ok, nicht ganz fertig - musst auf der ipfire noch ein paar rudimentäre firewall regeln reinstellen, dann fertig.
Eine option: zweite vm mit ipfire drauf.
Besser pfSense die ist erheblich einfacher und intuitiver zu konfigurieren !
