chefe321
Goto Top

Server 2019 Hyper-V WIN10

Hallo,

habe ein Problem (was auch sonst)
Habe einen Dedicated Windows Server 2019 bei Strato und habe mit Hyper-V eine Windows 10 VM erstellt und bekomme aber keine Netzwerkverbindung zum Internet zu Stande.
Habe einen virtuellen Switch erstellt mit via ältere Netzwerkkarte und diese auch der VM zugeteilt aber dennoch sagt WIN10 "nicht identifiziertes Netzwerk" und lässt mich nicht raus
Der Server hat die IP 212.227.XXX.XXX aber der virtuelle Switch bekommt eine 169.254.110.XXX zugewiesen in einem anderen Subnet
Hat jemand eine Idee? Muss noch auf dem 2019 eine Sicherheitsrichtlinie aktiviert werden?

Content-Key: 526039

Url: https://administrator.de/contentid/526039

Printed on: July 17, 2024 at 20:07 o'clock

Member: Spirit-of-Eli
Spirit-of-Eli Dec 15, 2019 at 09:58:52 (UTC)
Goto Top
Moin,

wer ist denn DHCP Server bzw Firewall? Sieht aus als hättest du nichts der gleichen.

So offen brauchst du die Systeme nichts ins Netz stellen..

Gruß
Spirit
Member: Chefe321
Chefe321 Dec 15, 2019 at 16:49:22 (UTC)
Goto Top
Hi Spirit,

eine Firewall und DHCP sind vorhanden. Bzw. der DHCP ist mit einer Adresse von Strato voreingestellt auf 212.227.XXX.XXX
und die Firewall gibt im Moment der Defender von Server 2019 vor.
Löst aber nicht mein Problem
Mitglied: 117471
117471 Dec 15, 2019 at 18:45:56 (UTC)
Goto Top
Hallo,

ein Switch mit einer IP-Adresse?

Du bräuchtest eigentlich noch ein NAT. Bei Strato hast Du vermutlich nur eine IPv4-Adresse; und die gehört nun mal zum Server.

Gruß,
Jörg
Member: Chefe321
Chefe321 Dec 15, 2019 at 19:09:57 (UTC)
Goto Top
Hi FA-jka,

was meinst du genau? Der virtuelle Switch in Hyper-V soll doch eine IP-Adresse bekommen oder nicht?
Muss/Soll ich Ihm eine IP fest zuweisen oder holt er sich die selber?
Oder geht das nicht so nicht bei Strato?
Was für Infos benötigst du noch, bevor wir an einander vorbei reden?
Mitglied: 117471
117471 Dec 15, 2019 updated at 19:29:02 (UTC)
Goto Top
Hallo,

ich rede von NAT (Network address translation).

Ich frage mich gerade, was Du an Infos benötigst?!?

Gruß,
Jörg
Member: Keeksy
Keeksy Dec 15, 2019 at 22:33:40 (UTC)
Goto Top
Moin,

die IP Adresse die du bekommst ist eine sogenannte

apipa

Adresse

Das was die in deiner Umgebung fehlt ist ein Router der wie schon vom Vorgänger erwähnt das nat für dich übernimmt.
Ein hypervisior kann solche aufgaben nicht über nehmen
Member: Chefe321
Chefe321 Dec 16, 2019 at 05:58:20 (UTC)
Goto Top
Hi,
und das kann nur Strato übernehmen? Oder kann ich im 2019 eine NAT einrichten?
Member: Spirit-of-Eli
Spirit-of-Eli Dec 16, 2019 at 06:36:51 (UTC)
Goto Top
Zitat von @Chefe321:

Hi,
und das kann nur Strato übernehmen? Oder kann ich im 2019 eine NAT einrichten?

Du solltest zumindest als VM eine richtige Firewall nutzen! Ein Windows System hängt niemand einfach ins Internet.
Wie greifst du denn bisher über haupt auf den Server zu? Ich hoffe das du zumindest ein VPN nutzt! Wenn nicht, schnellst mögliche nachholen!

Du kannst PfSense als Firewall in einer VM laufen lassen. Anleitung dazu gibt es hier zu Hauf. Alternative auch die kostenlose Variante von Sophos. Diese muss dann später deine öffentliche Adresse von Strato erhalten. Nicht aber der HyperV Host! Der Host hängt dann hinter der VM.
Mitglied: 117471
117471 Dec 16, 2019 updated at 09:18:09 (UTC)
Goto Top
Hallo,

nein - du kannst via Hyper-V zu einer VM NATten.

Ich würde zu einer VM NATten, die als Router funktioniert und dort ein zweites Netz aufmachen.

Um Dir das ausführlich zu erklären, müsste ich jetzt ein Buch über Netzwerktechnik abtippen. Ich hoffe, Du hast Verständnis dafür, dass man für so etwas wenigstens Basiswissen benötigt.

Gruß,
Jörg
Member: RcTomcat
RcTomcat Dec 16, 2019, updated at Dec 17, 2019 at 08:31:13 (UTC)
Goto Top
Also Ich habe mich mal extra für die Antwort hier angemeldet.
Mir scheint hier fehlen Grundlagen was das Thema Netzwerk, Virtualisierung und grundlegende Sicherheit angeht.
Ich halte es daher für keine gute Idee einen Hyper-V zu betreiben welcher von extern erreichbar ist. Im besten Fall wird das einfach nur eine weitere Spam Schleuder....

Zu deinem Problem:
Dein Hyper-V hat eine öffentliche IP von Strato bekommen (212.227.XXX.XXX). Deine VM bekommt keine. Das ist auch so gewollt da IPv4 Adressen rar und teuer sind. Du kannst dir natürlich eine weitere IPv4 von Strato für jede deiner VMs kaufen. Das wird aber teuer und ist absolut unnötig da ja sowieso nicht die ganze VM aus dem Internet erreichbar sein soll(te).
Da kommt das Thema NAT (Network Address Translation) ins Spiel.
Mit diesem kannst du einzelne Ports (Z.B. RDP, das was du nutzt um dich auf deine Windows 10 VM per Remote Desktop zu verbinden) über die IP des Hyper-V erreichbar machen. Beispiel: Hyper-VIP:63400 leitet an die interne IP 192.168.0.10:3389 weiter. Damit wäre eine RDP Verbindung via der IP Hyper-VIP mit dem Port 63400 zu deiner eigentlichen VM mit der IP 192.168.0.10 möglich.
Dazu musst du einen NAT Switch erstellen. Das geht nicht über die grafische Oberfläche sondern nur via Powershell.

Schritt für Schritt Anleitung für dich:
Kommentar: Es wird ein neues, privates Netz geben welches nur auf deinem Hyper-V funktionieren wird.
Das bedeutet dass du deiner Windows 10 VM eine IP aus diesem Netz geben musst da es hier keinen DHCP gibt welcher die IPs automatisch vergibt. Bei einer größeren Umgebung solltest du dir natürlich dann irgendwann einen DHCP installieren und entsprechend konfigurieren. Das geht aber hier über das Thema hinaus.
1. Öffne eine Powershell mit administrativen Rechten und verbinde dich zu deinem Hyper-V. Sofern dein Hyper-V über eine GUI verfügt kannst du natürlich auch direkt auf dem Hyper-V die Powershell öffnen.
Wir richten einen neuen Switch ein, dieser trägt in meinem Beispiel den Namen NATSwitch:
New-VMSwitch -Name NATSwitch -SwitchType Intern

Das ist das Powershellcommand welches du nun ausführst um den Switch zu erstellen.
2. Wir konfigurieren das Gateway für den neuen Switch damit dieser auch nach extern "sprechen" kann. Dafür benötigt man zuerst den Interface Index.
Durch "
Get-NetAdapter
" ohne die " kann man diesen ermitteln. Du solltest nun eine Auflistung aller deiner Netzwerkadapter bekommen. Suche nach dem Eintrag ifIndex bei vEthernet (NATSwitch). Das ist eine Zahl. In meinem Beispiel verwende ich die Zahl 10.
Nächster Befehl:
New-NetIPAddress -IPAddress 192.168.10.1 -PrefixLength 24 -InterfaceIndex 10

Damit setzen wir die Gateway IP auf 192.168.10.1.
3. Anlegen des NAT:
Der folgende Befehl legt ein neues NAT Objekt auf dem Host an.
New-NetNat -Name MeinNAT -InternalIPInterfaceAddressPrefix 192.168.10.0/24

Wichtig ist hier das gleiche Netz zu verwenden welches man zuvor beim New-NetIPAddress verwendet hat. Sonst klappt das mit dem Gateway nicht ;)

Damit hast du einen NATSwitch und ein Netz. Vergebe nun einer VM eine IP aus diesem Netz. Z.B. die 192.168.10.10 für deine Windows 10 VM, Subnetzmaske 255.255.255.0 und Gateway 192.168.10.1
Um nun einen Port von extern zugänglich zu machen nutzt du folgenden Befehl:
Add-NetNatStaticMapping -NatName MeinNAT -Protocol TCP -ExternalIPAddress 0.0.0.0 -ExternalPort 23389 -InternalIPAddress 192.168.10.10 -InternalPort 3389


Dieser Befehl leitet eine Anfrage via Port 23389 an die interne IP 192.168.10.10 Port 3389 weiter. Damit wäre deine Windows 10 VM von extern via dem Port 23389 per RDP erreichbar.


Fragen?
Member: Th0mKa
Th0mKa Dec 16, 2019 at 11:35:55 (UTC)
Goto Top
Zitat von @RcTomcat:

Fragen?

Ja. Warum benutzt du keine Code Tags? Deine Textwand ist ja furchtbar zu lesen.

/Thomas
Mitglied: 117471
117471 Dec 16, 2019 at 16:17:38 (UTC)
Goto Top
Hallo,

ich hätte noch die Frage, ob Du es für verantwortungsvoll hältst, derartig dilettantische Inbetriebnahmen von Servern zu unterstützen.

Gruß,
Jörg
Member: Spirit-of-Eli
Spirit-of-Eli Dec 16, 2019 at 16:46:13 (UTC)
Goto Top
Die Anleitung ist ja schön und gut. Aber empfehlen kann man das definitiv nicht.

Eine Virtuelle Firewall wird von vielen nicht empfohlen. Ist aber in dem Konstrukt die zu bevorzugende Variante um da Sicherheit rein zu bekommen.

Abgesehen davon ist "NAT" als solches kein Security Feature! Da muss eine richtige Lösung eingesetzt werden.
Ein HyperV Host sollte solche Späße auch nicht selbst tragen!
Member: RcTomcat
RcTomcat Dec 17, 2019 at 08:46:23 (UTC)
Goto Top
Zitat von @Th0mKa:

Zitat von @RcTomcat:

Fragen?

Ja. Warum benutzt du keine Code Tags? Deine Textwand ist ja furchtbar zu lesen.

/Thomas


Danke für den Hinweis, das mit dem Codeblock hatte ich in der Tat einfach übersehen. Sollte nun besser lesbar sein.


Zitat von @117471:

Hallo,

ich hätte noch die Frage, ob Du es für verantwortungsvoll hältst, derartig dilettantische Inbetriebnahmen von Servern zu unterstützen.

Gruß,
Jörg

Die ersten paar Sätze meines Beitrages sollten durchaus wiederspiegeln was Ich davon halte. Wir sind hier absolut einer Meinung, hier fehlt Basiswissen.
Selbst mit einer virtuellen Firewall ala pfSense oder dergleichen auf dem Hyper-V benötigt er immer noch ein NAT wie du ja selbst bereits vorgeschlagen hattest. Und mit der Anleitung hat er die Möglichkeit genau dies zu realisieren. Ansonsten wäre er zu Strato gelaufen und hätte dort neue IPs gekauft oder die das NAT einrichten lassen. Unnötig Geld rausgeworfen und gelernt = 0. So muss man sich zumindest selbst damit beschäftigen, sofern ernsthaft Interesse für das Thema vorhanden ist lernt man auch etwas dabei.
Ein Urteil darüber wer einen Server betreiben darf und wer nicht steht glaube ich keinem von uns zu. Die Mehrzahl der Menschen dürfte dann niemals eine Website oder gar einen Server betreiben/besitzen da die wenigsten regelmäßig patchen oder auch nur grundlegende Sicherheit beachten.
Jemand der schon alles kennt wird auch keine Fragen mehr stellen. Damit wären derartige Foren absolut überflüssig.


Zitat von @Spirit-of-Eli:

Die Anleitung ist ja schön und gut. Aber empfehlen kann man das definitiv nicht.

Eine Virtuelle Firewall wird von vielen nicht empfohlen. Ist aber in dem Konstrukt die zu bevorzugende Variante um da Sicherheit rein zu bekommen.

Abgesehen davon ist "NAT" als solches kein Security Feature! Da muss eine richtige Lösung eingesetzt werden.
Ein HyperV Host sollte solche Späße auch nicht selbst tragen!

Korrekt. Aber spätestens für die virtuelle Firewall benötigt er ein NAT sofern keine zweite öffentliche IP vorhanden ist ;)
NAT als Security Feature wurde von mir so auch nie erwähnt. Wäre ja grundlegend falsch ^^.
Im Idealfall sollte kein Hypervisor eine Firewall als VM tragen. In Hardware ist das meiner Meinung nach immer vorzuziehen. Gerade im privaten Umfeld ist dies aber absolut kein Problem und wie du ja bereits selbst sagst absolut besser als ein direkt exponierter Host.
Member: Chefe321
Chefe321 Dec 17, 2019 at 09:01:36 (UTC)
Goto Top
HI,

ich hatte in den letzen Tagen keine Zeit und bin begeistert, wie viel Lösungsvorschläge mich erwarten.
Ich probiere es heute Abend gleich aus
vielen Dank schon mal
Member: RcTomcat
RcTomcat Dec 17, 2019 at 09:28:25 (UTC)
Goto Top
Zitat von @Chefe321:

HI,

ich hatte in den letzen Tagen keine Zeit und bin begeistert, wie viel Lösungsvorschläge mich erwarten.
Ich probiere es heute Abend gleich aus
vielen Dank schon mal

Wie gesagt sei vorsichtig und nimm dir auch die Vorschläge der anderen zu Herzen. Gerade das Thema Firewall ist hier nicht ohne. Und du solltest dir generell Gedanken darüber machen wie du den Hyper-V absicherst.
Was wird das eigentlich für eine Umgebung? Spielwiese für dich privat?
Mitglied: 117471
117471 Dec 17, 2019 at 16:20:10 (UTC)
Goto Top
Hallo,

dann beschäftige dich auch mit dem Thema Lizenzierung. Die Knackwurstlizenzen (OEM Desktop) sind nicht für Virtualisierung gedacht.

Insbesondere nicht im geschäftsmäßigen Einsatz. Und „geschäftsmäßig“ ist etwas Anderes als „geschäftlich“ oder „gewerblich“.

Gruß,
Jörg
Member: Chefe321
Chefe321 Dec 18, 2019 at 13:36:48 (UTC)
Goto Top
Hi RC,
danke für deine ausführliche Erklärung aber was soll ich sagen es geht nicht.
Habe deine Befehlszeilen 1:1 in die PowerShell kopiert aber weiterhin kein Netz in der Win10-VM
Muss ich am Server 2019 evtl. noch etwas aktivieren, was die Kommunikation unterdrücken könnte?
Ich habe echt keinen Plan was da schief läuft
Member: Spirit-of-Eli
Spirit-of-Eli Dec 18, 2019 at 14:35:56 (UTC)
Goto Top
Zitat von @Chefe321:

Hi RC,
danke für deine ausführliche Erklärung aber was soll ich sagen es geht nicht.
Habe deine Befehlszeilen 1:1 in die PowerShell kopiert aber weiterhin kein Netz in der Win10-VM
Muss ich am Server 2019 evtl. noch etwas aktivieren, was die Kommunikation unterdrücken könnte?
Ich habe echt keinen Plan was da schief läuft

Dann hast du seine Ausführung also nicht mal richtig gelesen.
Lass den ganzen Kram lieber bevor wir eine weitere Spamschleuder im Netz haben.
Member: Th0mKa
Th0mKa Dec 18, 2019 at 15:43:36 (UTC)
Goto Top
Zitat von @Chefe321:

Habe deine Befehlszeilen 1:1 in die PowerShell kopiert aber weiterhin kein Netz in der Win10-VM

Überrascht jetzt nicht, die Befehle kannst du ja auch nicht 1:1 kopieren. Steht übrigens im Text...
Member: RcTomcat
RcTomcat Dec 19, 2019 updated at 10:36:29 (UTC)
Goto Top
Zitat von @Chefe321:

Hi RC,
danke für deine ausführliche Erklärung aber was soll ich sagen es geht nicht.
Habe deine Befehlszeilen 1:1 in die PowerShell kopiert aber weiterhin kein Netz in der Win10-VM
Muss ich am Server 2019 evtl. noch etwas aktivieren, was die Kommunikation unterdrücken könnte?
Ich habe echt keinen Plan was da schief läuft

Wie bereits von mehreren anderen geschrieben kann man hier nicht einfach 1:1 Dinge übernehmen.
Was hier schief läuft ist dass du meine Anleitung nicht gelesen hast sondern scheinbar nur blind kopiert hast (soll jetzt nicht böse sein sondern nur den Fehler erklären)
Die Befehle stimmen, du musst aber die Parameter wie IPs etc anpassen und auch verstehen was du tust.
Ansonsten gebe Ich (oder irgendwer anderes auf einer Website) dir hier ein paar Commands und du installierst dir nachher irgendwelche Malware ohne es zu merken ;).
NIEMALS Commands ausführen welche man nicht versteht.
That being said: Powershell ist an sich sehr "sprechend", sprich einfach zu lesen und zu verstehen sofern man Englisch lesen kann.
Der Befehl Get-NetAdapter gibt, wie sich anhand des GET bereits erahnen lässt, eine Liste aller Netzwerkadapter zurück.
Zur Not kannst du jeden Befehl bei Microsoft nachschlagen damit du eine Ahnung hast was er tut. Du würdest ja auch nicht einfach so eine Datei aus unbekannter Quelle ausführen.

Zu deinem Problem:
Du hast nichts angepasst sondern nur 1:1 kopiert und damit bereits beim zweiten bzw. dritten Befehl natürlich einen Fehler eingebaut.
New-NetIPAddress -IPAddress 192.168.10.1 -PrefixLength 24 -InterfaceIndex 10
Wie im Text steht musst du den Parameter -InterfaceIndex anpassen. Da muss der Index von DEINER Netzwerkkarte rein. Diese findest du mit dem Befehl
Get-NetAdapter
heraus. Da steht dein neuer Switch namens vEthernet (NATSwitch) und dort musst du den Eintrag ifIndex finden
Beispiel damit du weist wie der Output aussehen muss(an meinem normalen PC gibt es natürlich kein vEthernet (NATSwitch)):
get-netadapter
Da siehst du oben, die dritte Spalte von links das ifIndex. Da musst du nun bei Name schauen wo vEthernet (NATSwitch) in DEINEM Output steht. Das ist der InterfaceIndex für das Command oben.
Also lösche erstmal das was du gerade getan hast mit dem Befehl
Remove-NetIPAddress -IPAddress 192.168.10.1 -PrefixLength 24 -InterfaceIndex 10
und mach das nochmal richtig mit DEINEM InterfaceIndex.

Zweiter Fehler der aufgetreten sein könnte:
Hast du deiner Windows 10 VM eine fixe IP gegeben? (Z.B. 192.168.10.10 für deine Windows 10 VM, Subnetzmaske 255.255.255.0 und Gateway 192.168.10.1)
Von alleine bekommt die keine IP aus dem neu angelegten Netz. Du musst der VM natürlich auch den NATSwitch zuweisen (Konfigurationseinstellungen der VM, da wo du eben zuletzt deinen anderen virtuellen Switch der VM zugewiesen hattest)


Bitte lies dir nochmal meinen Post oben genau durch. Da sollte eigentlich wirklich alles stehen was du wissen musst um einen NAT Switch anzulegen.
Ansonsten nur nochmals mein Rat: Lies dich in das Themy Hyper-V und Powershell ein. Du hast hier Server die öffentlich erreichbar und damit angreifbar sind. Falls du wirklich nur eine Spielwiese haben möchtest lege Ich dir einfach mal Ebay ans Herz, da kriegst du oft für kleines Geld ausgemusterte Server mit etwas CPU und RAM auf welcher du dir deine eigene Testumgebung bauen kannst. Klar kann das Ding dann nicht 24/7 laufen (allein der Stromverbrauch wäre zu hoch) aber ein paar Stunden die Woche sollte drinn sein damit du üben und lernen kannst.
Da kann dann auch nichts großartig passieren.
Mitglied: 117471
117471 Dec 19, 2019 updated at 20:31:06 (UTC)
Goto Top
Hallo,

deine Hilfsbereitschaft in allen Ehren. Aber noch einmal die Frage: Findest Du das verantwortungsvoll?

Es geht hier um ein System, dass via statischer IP direkt mit dem Internet verbunden ist.

Gruß,
Jörg