Öffentliche IP-Adresse an virtueller Maschine (Firewall) Hyper-V
Hallo zusammen,
ich habe folgendes Szenario:
1-> Physikalische Firewall (hier liegen mehrere öffentliche IPs an)
2--> L3 Switch
3---> Hyper-V Host
4----> Virtuelle Firewall VM
5-----> Kundenserver VM hinter VM Firewall
Bisher haben die virtuellen Firewalls immer LAN IP-Adressen aus dem Netzwerk der Firewall erhalten. Gibt es die Möglichkeit in irgendeiner Art, die öffentlichen IP-Adressen an die VM Firewalls direkt durchzureichen?
Danke für jeden Hinweis!
ich habe folgendes Szenario:
1-> Physikalische Firewall (hier liegen mehrere öffentliche IPs an)
2--> L3 Switch
3---> Hyper-V Host
4----> Virtuelle Firewall VM
5-----> Kundenserver VM hinter VM Firewall
Bisher haben die virtuellen Firewalls immer LAN IP-Adressen aus dem Netzwerk der Firewall erhalten. Gibt es die Möglichkeit in irgendeiner Art, die öffentlichen IP-Adressen an die VM Firewalls direkt durchzureichen?
Danke für jeden Hinweis!
Please also mark the comments that contributed to the solution of the article
Content-ID: 8919128867
Url: https://administrator.de/contentid/8919128867
Printed on: November 5, 2024 at 03:11 o'clock
7 Comments
Latest comment
Hallo,
Ich kenne es so, dass man die benötigten Ports durchreicht...oder wenn es sein muss, "Exposed Host" einrichtet, alternativ noch ein Proxy dazwischen.
Am besten in ein VLAN packen, an dedizierten NICs. Über die Firewall entsprechende Sicherheitsvorkehrungen. VPN, MFA, IPSetc. Je nach Möglichkeit...
Evtl. wenn nur von statischen IP Adressen zugegriffen wird die NUR die Quell IPs zulassen.
Im HyperV kann man auch bei den NICs die VLAN Tags mitgeben wenn nicht genug NICs zur Verfügung stehen.
Gruß TurnschuhIT
Ich kenne es so, dass man die benötigten Ports durchreicht...oder wenn es sein muss, "Exposed Host" einrichtet, alternativ noch ein Proxy dazwischen.
Am besten in ein VLAN packen, an dedizierten NICs. Über die Firewall entsprechende Sicherheitsvorkehrungen. VPN, MFA, IPSetc. Je nach Möglichkeit...
Evtl. wenn nur von statischen IP Adressen zugegriffen wird die NUR die Quell IPs zulassen.
Im HyperV kann man auch bei den NICs die VLAN Tags mitgeben wenn nicht genug NICs zur Verfügung stehen.
Gruß TurnschuhIT
Hallo,
ja funktioniert. Du kannst auch die VM in ein dediziertes VLAN hängen, in welchen deine Public IPs sind.
Mehr Infos gibst du ja nicht an uns weiter.
Gruß
ich habe folgendes Szenario:
1-> Physikalische Firewall (hier liegen mehrere öffentliche IPs an)
2--> L3 Switch
3---> Hyper-V Host
4----> Virtuelle Firewall VM
5-----> Kundenserver VM hinter VM Firewall
Bisher haben die virtuellen Firewalls immer LAN IP-Adressen aus dem Netzwerk der Firewall erhalten. Gibt es die Möglichkeit in irgendeiner Art, die öffentlichen IP-Adressen an die VM Firewalls direkt durchzureichen?
1-> Physikalische Firewall (hier liegen mehrere öffentliche IPs an)
2--> L3 Switch
3---> Hyper-V Host
4----> Virtuelle Firewall VM
5-----> Kundenserver VM hinter VM Firewall
Bisher haben die virtuellen Firewalls immer LAN IP-Adressen aus dem Netzwerk der Firewall erhalten. Gibt es die Möglichkeit in irgendeiner Art, die öffentlichen IP-Adressen an die VM Firewalls direkt durchzureichen?
ja funktioniert. Du kannst auch die VM in ein dediziertes VLAN hängen, in welchen deine Public IPs sind.
Mehr Infos gibst du ja nicht an uns weiter.
Gruß
Deine physische Firewall wird die externe IPs an verschiedene VLANs binden können ...
Dein Virtueller HyperV-Switch und die VM Netzwerk-Config kann diese VLAN selektieren/empfangen ...
Schöner/Einfacher - aus Erfahrung - natürlich, wenn du im HyperV-Host mehrere physikalische Schnittstellen zur Verfügung hast, dann kannst du im HV-Switch-Manager diese zuordnen ...
Dein Virtueller HyperV-Switch und die VM Netzwerk-Config kann diese VLAN selektieren/empfangen ...
Schöner/Einfacher - aus Erfahrung - natürlich, wenn du im HyperV-Host mehrere physikalische Schnittstellen zur Verfügung hast, dann kannst du im HV-Switch-Manager diese zuordnen ...
Moin @theratherapie,
wenn du die externen WAN IP's direkt auf deine FW-VM's legen möchtest/musst, dann kannst du das entsprechende WAN Interface auf dem die entsprechenden IP's anliegen, einfach per vSwitch den entsprechenden VM's direkt bereitstellen, am besten über eine separate NIC und einen separaten vSwitch.
Du kannst in einem solchen Fall die FW-VM's auch nicht hinter die Haupt FW, sprich an dessen LAN Seite dranhängen, sondern musst diese parallel zu der Haupt-FW, direkt an das WAN dranhängen, aber bitte mit jeweils einer eigenständigen/separaten WAN-IP.
Gruss Alex
Danke für jeden Hinweis!
wenn du die externen WAN IP's direkt auf deine FW-VM's legen möchtest/musst, dann kannst du das entsprechende WAN Interface auf dem die entsprechenden IP's anliegen, einfach per vSwitch den entsprechenden VM's direkt bereitstellen, am besten über eine separate NIC und einen separaten vSwitch.
Wenn ich das an ein dediziertes VLAN hänge, greift er ja automatisch auf die Haupt FW zu, das will ich aber vermeiden. Auch da bekomme ich ja aber von der Haupt FW eine interne IP-Adresse. Da hängt es bei mir ein bisschen am Verständnis wie ich die LAN Adresse komplett "ausblende".
Du kannst in einem solchen Fall die FW-VM's auch nicht hinter die Haupt FW, sprich an dessen LAN Seite dranhängen, sondern musst diese parallel zu der Haupt-FW, direkt an das WAN dranhängen, aber bitte mit jeweils einer eigenständigen/separaten WAN-IP.
Gruss Alex
Moin,
Gruß,
Dani
So ist es: 12.234.23.34 (public) <-> phys. FW <-> 172.16.16.1 <-> vm FW <-> 172.16.17.1
so sollte es sein: 12.234.23.34 (public) <-> phys. FW <-> 12.234.23.34 <-> vm FW <-> 172.16.17.1
ich gehe davon aus, dass du dich bei der IP-Adresse zwischen pFW und vFw vertippt hast. Ansonsten wird das so nicht gehen. Grundsätzlich musst du dich entscheiden, ob du NAT/PAT oder Routing machen willst. Setzt voraus, dass du von eurem ISP ein Subnetz von öffentlichen IP-Adressen erhalten hast. Die erste Adresse aus dem Subnetz ist in der Regel der Router des ISP bei dir vor Ort. Die zweite IP-Adresse dein Router/FW. Danach kannst du an die Geräte hinter der FW auch eine IP-Adresse zuweisen. Wichtig ist die das Setzen der notwendige Route. Ein Mischbetrieb ist nur bedingt möglich.so sollte es sein: 12.234.23.34 (public) <-> phys. FW <-> 12.234.23.34 <-> vm FW <-> 172.16.17.1
Gruß,
Dani
so sollte es sein: 12.234.23.34 (public) <-> phys. FW <-> 12.234.23.34 <-> vm FW <-> 172.16.17.1
Das geht nicht, die Firewall braucht auf ihren beiden Ports (WAN und LAN) eine unterschiedliche IP Adresse, sonst weiss sie nicht wohin geroutet werden kann und auch die Firewall regeln würden dann lustig aussehen, also gar nicht funktionieren.Jede Schnittstelle, egal wo, benötigt eine IP Adresse und eine MAC Adresse. Wenn die phys. Firewall Daten für 12.234.23.34 annehmen soll, brauchst sie auch diese Adresse.
Und wenn du es doch irgendwie schaffen solltest, dass die WAN Schnittstelle der physischen Firewall ihre IP ausblenden könnte und alles zur VM weiterleiten würde, dann kannst du die VM bzw seinen Hypervisor auch direkt an die WAN Leitung hängen.