jutzin
Goto Top

Netzwerk und VirtualBox: über VPN auf Gast-VM zugreifen

Problem: Ich kann nicht mehr über VPN auf meine VMs im Firmennetzwerk zugreifen.

Zuvor: Ich befinde mich mit meiner Workstation z.B. im Heimnetzwerk (10.10.20.0/24) und verbinde mich per VPN auf das Firmennetzwerk (192.168.0.0/24). Im Firmennetzwerk befindet sich ein VM Host mit VM Guests, die über Bridged-Adapter im gleichen Netzwerksegment wie der Host (192.168.0.0/24) sind. Ich kann den Host und alle VMs pingen, remoten etc..

Dann: VPN Clients werden seit einigen Tagen auf ein anderes Netzwerksegment gelegt (192.168.1.0/24) und eine statische Route ermöglicht den Zugriff auf das 192.168.0.0/24 Netz.

Seitdem: Ich kann immer noch alle Metall-Maschinen im 192.168.0.0/24 Segment erreichen, aber ich kann seitdem auf keine VM im gleichen Segment mehr zugreifen.

Skizze: So ist die Lage seit der Umstellung der VPN Clients auf das 192.168.1.0/24 Segment:
7df502c6654a428bac57548a2a64134b

Frage: Kann mir jemand sagen, wie ich am einfachsten die Verbindung auf meine VMs wiederherstellen kann?

Content-ID: 275905

Url: https://administrator.de/forum/netzwerk-und-virtualbox-ueber-vpn-auf-gast-vm-zugreifen-275905.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

aqui
aqui 28.06.2015 um 20:29:26 Uhr
Goto Top
und verbinde mich per VPN auf das Firmennetzwerk
WIE machst du das ?? Deine Workstation ist VPN Client und wählt sich remiote ein oder dein Router machet ein Site to Site VPN ?? Welches VPN Protokoll ?? IPsec, PPTP, L2TP, SSL ???
Ich kann den Host und alle VMs pingen, remoten etc..
OK, zeigt das alles soweit korrekt ist !
VPN Clients werden seit einigen Tagen auf ein anderes Netzwerksegment gelegt
OK, zeigt das der Netzwerk Admin am VPN Gateway, Router oder Firewall wissentlich die Konfig verändert hat so das Clients andere IPs bekommen.
und eine statische Route ermöglicht den Zugriff auf das 192.168.0.0/24 Netz.
Statische Route WO ?? Im Client oder im VPN Gateway das diese Route dynamisch auf deinen Client distribuiert ??
aber ich kann seitdem auf keine VM im gleichen Segment mehr zugreifen.
Gut, das ist erstmal vermutlich nocrmal, denn du kommst nun mit einer fremden IP Absenderadresse dort an !
Da schägt dann sofort die lokale Firewall dieser Maschinen zu, denn die merkt das das keine lokale IP Adresse sondern eine aus einem Fremdnetz ist und blockiert sofort diesen Zugriff !
Fazit: Lokale Firewall entsprechend customizen !
Zweite Fehleroption: Die VMs haben kein oder ein falsches Gateway konfiguriert, so das ein Routing auf das 192.168.1.0er Netz des Clients nicht gewährleistet ist.
Hier ust Traceroute oder Pathping dein Freund beim Troubleshooten !
jutzin
jutzin 29.06.2015 um 09:14:25 Uhr
Goto Top
Moin, erstmal besten Dank für den Input!

Zitat von @aqui:

WIE machst du das ?? Deine Workstation ist VPN Client und wählt sich remiote ein oder dein Router machet ein Site to Site VPN
?? Welches VPN Protokoll ?? IPsec, PPTP, L2TP, SSL ???

Layer2 mit IPSec

Statische Route WO ?? Im Client oder im VPN Gateway das diese Route dynamisch auf deinen Client distribuiert ??

Im VPN Gateway / Firewall werden alle von außen eingehenden Verbindungen auf das 192.168.1.0/24 Segment geroutet (zuvor kamen VPN Clients in das 192.168.0.0/24 Segment).

Gut, das ist erstmal vermutlich nocrmal, denn du kommst nun mit einer fremden IP Absenderadresse dort an !
Da schägt dann sofort die lokale Firewall dieser Maschinen zu, denn die merkt das das keine lokale IP Adresse sondern eine
aus einem Fremdnetz ist und blockiert sofort diesen Zugriff !
Fazit: Lokale Firewall entsprechend customizen !

Lokale FW (auf VM Host und Guest) sind zum Testen deaktiviert; leider kein Erfolg. Könnte das Problem auch darin bestehen, dass Port 1521 in der Firmen-FW zwischen 192.168.0.0/24 und 192.168.1.0/24 geschlossen ist? Habe leider keine Möglichkeit, das zu prüfen (Admin im Urlaub, Vertretung "traut sich nicht").

Zweite Fehleroption: Die VMs haben kein oder ein falsches Gateway konfiguriert, so das ein Routing auf das 192.168.1.0er Netz des
Clients nicht gewährleistet ist.
Hier ust Traceroute oder Pathping dein Freund beim Troubleshooten !

Jep, das wird heute Abend gleich mal getestet.
aqui
Lösung aqui 29.06.2015, aktualisiert am 01.07.2015 um 12:42:35 Uhr
Goto Top
Im VPN Gateway / Firewall werden alle von außen eingehenden Verbindungen auf das 192.168.1.0/24 Segment geroutet (zuvor kamen VPN Clients in das 192.168.0.0/24 Segment).
Gib einfach am Client mit aktiver VPN Einwahl mal ein route print (Winblows) ein !
Anhand der Routing Tabelle kannst du ganz genau sehen welche Netze über den VPN Tunnel geroutet werden !
Diese Info wäre wichtig hier zu wissen !
dass Port 1521 in der Firmen-FW
Was denn UDP oder TCP und was soll dieser Port sein ?? Ein Standardport ist das wenigstens nicht ! Wozu ist oder soll der gut sein ?
jutzin
jutzin 01.07.2015 aktualisiert um 12:47:35 Uhr
Goto Top
Was denn UDP oder TCP und was soll dieser Port sein ?? Ein Standardport ist das wenigstens nicht ! Wozu ist oder soll der gut sein
?

TCP 1521 ist z.B. Oracle TNS. Was natürlich nicht erklärt, warum ich gar nicht mehr auf die VMs zugreifen kann.
jutzin
jutzin 01.07.2015 um 12:51:32 Uhr
Goto Top
Gib einfach am Client mit aktiver VPN Einwahl mal ein route print (Winblows) ein !
Anhand der Routing Tabelle kannst du ganz genau sehen welche Netze über den VPN Tunnel geroutet werden !

route print zeigt erwartungsgemäß die Route vom 192.168.1.0/24 Segment ins 192.168.0.0/24 Segment an. Wie gesagt, Host und Guests sind alle im 192.168.0.0/24 Segment und der Host ist auch nach wie vor erreichbar, nicht aber die VMs im gleichen Segment. Die Firewall auf dem Host ist deaktiviert. Keine IPTables auf dem Guest.
aqui
aqui 01.07.2015 aktualisiert um 17:45:34 Uhr
Goto Top
route print zeigt erwartungsgemäß die Route vom 192.168.1.0/24 Segment ins 192.168.0.0/24 Segment an.
Auch mit dem korrekten Next Hop Gateway ??
Das die Firewall angeblich deaktiviert ist erzählen sie hier immer alle....?!
Lass einen Wireshark auf den VMs laufen oder tcpdump und check mal was da überhaupt vom Netz ankommt ?! Kann ja dann fast nur die interne Bridging Funktion des Hypervisors sein wenn du wirklich die FW sicher ausschliessen kannst.
134987
134987 12.01.2018 um 22:26:07 Uhr
Goto Top
hi Justin,
kannst du mir vl. nen Screen oder wie die Config der Bridged VMs aussieht ?
Weil siehe Virtualbox Netzwerk einstellungen
Wir haben ein kleines Problem mit den VMs das sie Traffic rein und raus lassen ins netz, oder vl selber den Ultimativen Tipp.
Weil eigl. heißt es, Bridged, und du bist drin. Wir sind (Ich haupsächlich xDD) sind ja nun auch eigl nicht Doof. Ich habe mich heute echte 9 Stunden damit einen abgeärgert, mit zig configs und Systemen. überall das gleiche, siehe Threat, vor allem unten.

Wäre cool wenn du mal nen Auge drauf wirfst.

Thx, und gn8 (euch allen)

Hoffe dein Problem wurde/wird schnell gelöst.
jutzin
jutzin 16.01.2018 um 11:20:52 Uhr
Goto Top
Moin,

ich habe das Problem seinerzeit nicht gelöst bekommen, der neue Admin hatte das aber gleich im Griff. Soweit ich mich erinnere, hing es bei uns an der Corporate FW. Ansonsten: Ja, an sich hatte ich mit Bridged Adapter nie Probleme. Toi toi toi.

jutzin
134987
134987 16.01.2018 um 23:31:41 Uhr
Goto Top
Wireshark bzl. (oder der einfachheit glasswire, is bei uns sehr beliegt, wohl weils so schick schick ist und er einige vom support ganz cool sind.)
wer ich ich mal testen, hatte einen notfall / ausfall. Das hatte priorität bekommen. Wir sind ja auch noch klein und jung (Firma/ Team).

Aber das werd ich auf jeden fall abchecken!
134987
134987 16.01.2018 um 23:41:17 Uhr
Goto Top
@ jutzin erstmal danke für dein toi toi toi xD. Wie schon erwähnt konnte ich leider nich nicht weiter machen!
Aber wir gesagt, das ist ein isoliertes test netz.
Und ich ich habe überall und auf alles volle Admin rechte. Wir haben aber schon für die das Test netzwerk die komplette Infrastruktur, ausgewechselt! Andere Switches, einen Theoretischen Internet zugriff (Standart OFF) Aber Somit ein Simuliertes Gateway.

Naja wir haben das Netz nochmal, man könnte sagen vereinfacht (Alle Cat.s durchgemessen ob die Kabel alle in ordnung sind.
Denke Morgen werde ich das nochmal in ruhe Abchecken. Ich kenne es ebenso Bridged und gut ist.

Das mit den Firewalls (Software) werde ich auch nochmal Kontrollieren, ggf. neuinstallalationen der OS durchführen, muss ich sowieso wenns läuft. Und da ist nichts überflüssiges drauf, Hardware firewalls haben wir aus dem netz raus gekickt!

Ich halte euch auf dem Laufenden, der Notfall wurde natürlich durch meine gesegneten Hände schnell geregelt! face-wink

Danke und Grüße
Gute Nacht White Hats xD
aqui
aqui 17.01.2018 um 13:38:56 Uhr
Goto Top
Hardware firewalls haben wir aus dem netz raus gekickt!
Eine fatale Fehlentscheidung ! Kein Netzwerker der auf wirkliche Sicherheit bedacht ist macht sowas, denn dafür gibt es eine Vielzahl guter Gründe.
Man will sich lieber nicht vorstellen was passiert wenn Angreifer dort ausbrechen und ihnen liegt ein kompletter Hypervisor Server zu Füßen. Gerade in einer Microsoft Umgebung....
Aber jeder muss ja selber wissen was er tut...
134987
134987 21.01.2018 um 22:56:01 Uhr
Goto Top
Nein nur in unserem Testnetzwerk, das ist dezentralisiert, also nicht am netz, außer ich stecke das richtige kabel in den richtigen switch :-P
Hallo ich bin auch kein noob, aber recht hast du.

Ich hab das problem übrigens gelöst.

Jetzt kommen 2 weitere wichtige aufgaben hinzu:

der automatische start der VM (Server ohne KVM)
und regelmäßige updates, intern und extern (software im vm ist geregelt) nur die VM muss, sollte auch möglichst oft, automatisiert gebackupt werden.

Könnt ihr mir dabei auch helfen, sorry nochmal bin ein Virtualisierungs noob xD mein Aufgaben bereich liegt eigl. mehr im gereich Hardware und anderer Software etc. xD

Soll ich dafür einen neuen aufmachen, oder könnt ihr mir hier weiter händchen halten ? xDDD

Danke erstmal an alle face-kiss