theratherapie
Goto Top

Öffentliche IP-Adresse an virtueller Maschine (Firewall) Hyper-V

Hallo zusammen,

ich habe folgendes Szenario:

1-> Physikalische Firewall (hier liegen mehrere öffentliche IPs an)
2--> L3 Switch
3---> Hyper-V Host
4----> Virtuelle Firewall VM
5-----> Kundenserver VM hinter VM Firewall

Bisher haben die virtuellen Firewalls immer LAN IP-Adressen aus dem Netzwerk der Firewall erhalten. Gibt es die Möglichkeit in irgendeiner Art, die öffentlichen IP-Adressen an die VM Firewalls direkt durchzureichen?

Danke für jeden Hinweis!

Content-ID: 8919128867

Url: https://administrator.de/contentid/8919128867

Ausgedruckt am: 24.11.2024 um 17:11 Uhr

TurnschuhIT
TurnschuhIT 28.03.2024 um 22:14:37 Uhr
Goto Top
Hallo,

Ich kenne es so, dass man die benötigten Ports durchreicht...oder wenn es sein muss, "Exposed Host" einrichtet, alternativ noch ein Proxy dazwischen.

Am besten in ein VLAN packen, an dedizierten NICs. Über die Firewall entsprechende Sicherheitsvorkehrungen. VPN, MFA, IPSetc. Je nach Möglichkeit...

Evtl. wenn nur von statischen IP Adressen zugegriffen wird die NUR die Quell IPs zulassen.

Im HyperV kann man auch bei den NICs die VLAN Tags mitgeben wenn nicht genug NICs zur Verfügung stehen.

Gruß TurnschuhIT
tech-flare
tech-flare 28.03.2024 aktualisiert um 22:38:47 Uhr
Goto Top
Zitat von @theratherapie:

Hallo zusammen,
Hallo,

ich habe folgendes Szenario:

1-> Physikalische Firewall (hier liegen mehrere öffentliche IPs an)
2--> L3 Switch
3---> Hyper-V Host
4----> Virtuelle Firewall VM
5-----> Kundenserver VM hinter VM Firewall

Bisher haben die virtuellen Firewalls immer LAN IP-Adressen aus dem Netzwerk der Firewall erhalten. Gibt es die Möglichkeit in irgendeiner Art, die öffentlichen IP-Adressen an die VM Firewalls direkt durchzureichen?

ja funktioniert. Du kannst auch die VM in ein dediziertes VLAN hängen, in welchen deine Public IPs sind.

Mehr Infos gibst du ja nicht an uns weiter.

Gruß
theratherapie
theratherapie 28.03.2024 um 22:45:25 Uhr
Goto Top
Hi Tech-Flare,

welche Infos benötigst du denn?

Derzeit ist es so, dass jeder Kunde sein eigenes Firewall Image hat mit einer LAN Adresse der Haupt FW als WAN Adresse. Wenn ich das an ein dediziertes VLAN hänge, greift er ja automatisch auf die Haupt FW zu, das will ich aber vermeiden. Auch da bekomme ich ja aber von der Haupt FW eine interne IP-Adresse. Da hängt es bei mir ein bisschen am Verständnis wie ich die LAN Adresse komplett "ausblende".

So ist es: 12.234.23.34 (public) <-> phys. FW <-> 172.16.16.1 <-> vm FW <-> 172.16.17.1
so sollte es sein: 12.234.23.34 (public) <-> phys. FW <-> 12.234.23.34 <-> vm FW <-> 172.16.17.1
MirkoKR
MirkoKR 29.03.2024 um 00:02:37 Uhr
Goto Top
Deine physische Firewall wird die externe IPs an verschiedene VLANs binden können ...

Dein Virtueller HyperV-Switch und die VM Netzwerk-Config kann diese VLAN selektieren/empfangen ...

Schöner/Einfacher - aus Erfahrung - natürlich, wenn du im HyperV-Host mehrere physikalische Schnittstellen zur Verfügung hast, dann kannst du im HV-Switch-Manager diese zuordnen ...
MysticFoxDE
MysticFoxDE 29.03.2024 aktualisiert um 08:49:49 Uhr
Goto Top
Moin @theratherapie,

Danke für jeden Hinweis!

wenn du die externen WAN IP's direkt auf deine FW-VM's legen möchtest/musst, dann kannst du das entsprechende WAN Interface auf dem die entsprechenden IP's anliegen, einfach per vSwitch den entsprechenden VM's direkt bereitstellen, am besten über eine separate NIC und einen separaten vSwitch.

Wenn ich das an ein dediziertes VLAN hänge, greift er ja automatisch auf die Haupt FW zu, das will ich aber vermeiden. Auch da bekomme ich ja aber von der Haupt FW eine interne IP-Adresse. Da hängt es bei mir ein bisschen am Verständnis wie ich die LAN Adresse komplett "ausblende".

Du kannst in einem solchen Fall die FW-VM's auch nicht hinter die Haupt FW, sprich an dessen LAN Seite dranhängen, sondern musst diese parallel zu der Haupt-FW, direkt an das WAN dranhängen, aber bitte mit jeweils einer eigenständigen/separaten WAN-IP.

Gruss Alex
Dani
Dani 30.03.2024 um 15:46:40 Uhr
Goto Top
Moin,
So ist es: 12.234.23.34 (public) <-> phys. FW <-> 172.16.16.1 <-> vm FW <-> 172.16.17.1
so sollte es sein: 12.234.23.34 (public) <-> phys. FW <-> 12.234.23.34 <-> vm FW <-> 172.16.17.1
ich gehe davon aus, dass du dich bei der IP-Adresse zwischen pFW und vFw vertippt hast. Ansonsten wird das so nicht gehen. Grundsätzlich musst du dich entscheiden, ob du NAT/PAT oder Routing machen willst. Setzt voraus, dass du von eurem ISP ein Subnetz von öffentlichen IP-Adressen erhalten hast. Die erste Adresse aus dem Subnetz ist in der Regel der Router des ISP bei dir vor Ort. Die zweite IP-Adresse dein Router/FW. Danach kannst du an die Geräte hinter der FW auch eine IP-Adresse zuweisen. Wichtig ist die das Setzen der notwendige Route. Ein Mischbetrieb ist nur bedingt möglich.


Gruß,
Dani
NordicMike
NordicMike 29.05.2024 um 07:08:51 Uhr
Goto Top
so sollte es sein: 12.234.23.34 (public) <-> phys. FW <-> 12.234.23.34 <-> vm FW <-> 172.16.17.1
Das geht nicht, die Firewall braucht auf ihren beiden Ports (WAN und LAN) eine unterschiedliche IP Adresse, sonst weiss sie nicht wohin geroutet werden kann und auch die Firewall regeln würden dann lustig aussehen, also gar nicht funktionieren.

Jede Schnittstelle, egal wo, benötigt eine IP Adresse und eine MAC Adresse. Wenn die phys. Firewall Daten für 12.234.23.34 annehmen soll, brauchst sie auch diese Adresse.

Und wenn du es doch irgendwie schaffen solltest, dass die WAN Schnittstelle der physischen Firewall ihre IP ausblenden könnte und alles zur VM weiterleiten würde, dann kannst du die VM bzw seinen Hypervisor auch direkt an die WAN Leitung hängen.