theratherapie
Goto Top

Öffentliche IP-Adresse an virtueller Maschine (Firewall) Hyper-V

Hallo zusammen,

ich habe folgendes Szenario:

1-> Physikalische Firewall (hier liegen mehrere öffentliche IPs an)
2--> L3 Switch
3---> Hyper-V Host
4----> Virtuelle Firewall VM
5-----> Kundenserver VM hinter VM Firewall

Bisher haben die virtuellen Firewalls immer LAN IP-Adressen aus dem Netzwerk der Firewall erhalten. Gibt es die Möglichkeit in irgendeiner Art, die öffentlichen IP-Adressen an die VM Firewalls direkt durchzureichen?

Danke für jeden Hinweis!

Content-Key: 8919128867

Url: https://administrator.de/contentid/8919128867

Printed on: May 18, 2024 at 04:05 o'clock

Member: TurnschuhIT
TurnschuhIT Mar 28, 2024 at 21:14:37 (UTC)
Goto Top
Hallo,

Ich kenne es so, dass man die benötigten Ports durchreicht...oder wenn es sein muss, "Exposed Host" einrichtet, alternativ noch ein Proxy dazwischen.

Am besten in ein VLAN packen, an dedizierten NICs. Über die Firewall entsprechende Sicherheitsvorkehrungen. VPN, MFA, IPSetc. Je nach Möglichkeit...

Evtl. wenn nur von statischen IP Adressen zugegriffen wird die NUR die Quell IPs zulassen.

Im HyperV kann man auch bei den NICs die VLAN Tags mitgeben wenn nicht genug NICs zur Verfügung stehen.

Gruß TurnschuhIT
Member: tech-flare
tech-flare Mar 28, 2024 updated at 21:38:47 (UTC)
Goto Top
Zitat von @theratherapie:

Hallo zusammen,
Hallo,

ich habe folgendes Szenario:

1-> Physikalische Firewall (hier liegen mehrere öffentliche IPs an)
2--> L3 Switch
3---> Hyper-V Host
4----> Virtuelle Firewall VM
5-----> Kundenserver VM hinter VM Firewall

Bisher haben die virtuellen Firewalls immer LAN IP-Adressen aus dem Netzwerk der Firewall erhalten. Gibt es die Möglichkeit in irgendeiner Art, die öffentlichen IP-Adressen an die VM Firewalls direkt durchzureichen?

ja funktioniert. Du kannst auch die VM in ein dediziertes VLAN hängen, in welchen deine Public IPs sind.

Mehr Infos gibst du ja nicht an uns weiter.

Gruß
Member: theratherapie
theratherapie Mar 28, 2024 at 21:45:25 (UTC)
Goto Top
Hi Tech-Flare,

welche Infos benötigst du denn?

Derzeit ist es so, dass jeder Kunde sein eigenes Firewall Image hat mit einer LAN Adresse der Haupt FW als WAN Adresse. Wenn ich das an ein dediziertes VLAN hänge, greift er ja automatisch auf die Haupt FW zu, das will ich aber vermeiden. Auch da bekomme ich ja aber von der Haupt FW eine interne IP-Adresse. Da hängt es bei mir ein bisschen am Verständnis wie ich die LAN Adresse komplett "ausblende".

So ist es: 12.234.23.34 (public) <-> phys. FW <-> 172.16.16.1 <-> vm FW <-> 172.16.17.1
so sollte es sein: 12.234.23.34 (public) <-> phys. FW <-> 12.234.23.34 <-> vm FW <-> 172.16.17.1
Member: MirkoKR
MirkoKR Mar 28, 2024 at 23:02:37 (UTC)
Goto Top
Deine physische Firewall wird die externe IPs an verschiedene VLANs binden können ...

Dein Virtueller HyperV-Switch und die VM Netzwerk-Config kann diese VLAN selektieren/empfangen ...

Schöner/Einfacher - aus Erfahrung - natürlich, wenn du im HyperV-Host mehrere physikalische Schnittstellen zur Verfügung hast, dann kannst du im HV-Switch-Manager diese zuordnen ...
Member: MysticFoxDE
MysticFoxDE Mar 29, 2024 updated at 07:49:49 (UTC)
Goto Top
Moin @theratherapie,

Danke für jeden Hinweis!

wenn du die externen WAN IP's direkt auf deine FW-VM's legen möchtest/musst, dann kannst du das entsprechende WAN Interface auf dem die entsprechenden IP's anliegen, einfach per vSwitch den entsprechenden VM's direkt bereitstellen, am besten über eine separate NIC und einen separaten vSwitch.

Wenn ich das an ein dediziertes VLAN hänge, greift er ja automatisch auf die Haupt FW zu, das will ich aber vermeiden. Auch da bekomme ich ja aber von der Haupt FW eine interne IP-Adresse. Da hängt es bei mir ein bisschen am Verständnis wie ich die LAN Adresse komplett "ausblende".

Du kannst in einem solchen Fall die FW-VM's auch nicht hinter die Haupt FW, sprich an dessen LAN Seite dranhängen, sondern musst diese parallel zu der Haupt-FW, direkt an das WAN dranhängen, aber bitte mit jeweils einer eigenständigen/separaten WAN-IP.

Gruss Alex
Member: Dani
Dani Mar 30, 2024 at 14:46:40 (UTC)
Goto Top
Moin,
So ist es: 12.234.23.34 (public) <-> phys. FW <-> 172.16.16.1 <-> vm FW <-> 172.16.17.1
so sollte es sein: 12.234.23.34 (public) <-> phys. FW <-> 12.234.23.34 <-> vm FW <-> 172.16.17.1
ich gehe davon aus, dass du dich bei der IP-Adresse zwischen pFW und vFw vertippt hast. Ansonsten wird das so nicht gehen. Grundsätzlich musst du dich entscheiden, ob du NAT/PAT oder Routing machen willst. Setzt voraus, dass du von eurem ISP ein Subnetz von öffentlichen IP-Adressen erhalten hast. Die erste Adresse aus dem Subnetz ist in der Regel der Router des ISP bei dir vor Ort. Die zweite IP-Adresse dein Router/FW. Danach kannst du an die Geräte hinter der FW auch eine IP-Adresse zuweisen. Wichtig ist die das Setzen der notwendige Route. Ein Mischbetrieb ist nur bedingt möglich.


Gruß,
Dani