seppos
Goto Top

Ubuntu als VMWare Server, Firewall und VPN Client

Hallo Forum!

Seit einiger Zeit lese ich mich hier schon von schräg nach quer, finde aber leider nicht genau das, was ich vor habe. Dazu muss ich sagen, dass ich ein Anfänger im Bereich Linux Server bin (Kleinigkeiten wie FTP, SQUID und so hab ich schon gemacht, aber nur zum Spass), diese neue Idee überschreitet meine Fähigkeiten bei weitem und ich hoffe, durch euch so viel zu lernen, damit ich meine Idee realisieren kann.

So, kommen wir nun zum wesentlichen, mein Plan ist wie folgt:

Ich möchte in einem Rechenzentrum einen Root Server mieten. Auf diesem möchte ich einen Ubuntu Server betreiben, der folgende Dienste zur Verfügung stellt: SSH (zur Administration), Firewall, NAT (Router) und VMWare Server. Als VM-Guests möchte ich einen Win 2008 mit Exchange 2007 und Domaincontroller und einen Win 2003 als Mailgateway betreiben (diese beiden sind fertig und laufen momentan bei mir im eigenen Netz auch als VM-Maschine) Ich stelle mir also vor, dass ich den Ubuntu Server von extern über die feste IP im Rechenzentrum erreiche und ich "in meinem Server" ein virtuelles LAN für die VMWare und den Linux Server habe. Bsp: Linux extern IP 1.2.3.4 Linux intern: 192.168.0.1 Win2008 intern 192.168.0.2 Win2003 intern 192.168.0.3 Über den Linux Server möchte ich dann den SMTP Port auf mein Mailgateway weiterleiten, sodass dieses auch direkt von extern angesprochen werden kann.

Des Weitern möchte ich, dass der Ubuntu Server permanent über VPN mit meiner Fritz!Box 7270 verbunden ist und ich somit immer von meinem Netz zu Hause auf die Server (Ubuntu, Win2008 und Win2003) zugreifen kann, so als wären diese immer noch bei mir im internen Netz. Dafür müsste ich dann die Routing Tables in der Fritzbox noch anpassen und den Domaincontroller als DNS Server auch in der Fritzbox eintragen. Also, wenn ich von meinem Rechner zu Hause eine DNS Anfrage schicke, möchte ich, dass diese über die Fritz!Box über die VPN Verbindung zum Domaincontroller (DNS) Win2008 geht und dieser dann den Namen auflöst. Oder wird das zu langsam?

Im Prinzip soll das Netzwerk weiterhin so funktionieren, wie es ist, nur das die Server nicht mehr bei mir, sondern im Rechenzentrum stehen...

Ich hoffe ich habe mich ansatzweise verständlich ausgedrückt, wenn nicht, dann fragt bitte nach. Danke!

Ich bitte euch nun um eine Einschätzung meines Vorhabens, ob es auch wirklich durchführbar ist, oder ich mich total verhauen habe. Auch ein grober Leitfaden, wie ich vorzugehen habe, wäre super, dann kann ich nämlich den Server anmieten und mich mit der Einrichtung beschäftigen...

Vielen Dank und einen schönen Abend.

Seppos!

Content-ID: 140906

Url: https://administrator.de/forum/ubuntu-als-vmware-server-firewall-und-vpn-client-140906.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

Arch-Stanton
Arch-Stanton 19.04.2010 um 09:22:48 Uhr
Goto Top
Die Frage ist doch eher, ob damit produktiv gearbeitet werden soll, und wenn ja, wieviele gleichzeitige Zugriffe sollen ermöglicht werden, oder ist es nur ein Testaufbau zum Spielen.

Gruß, Arch Stanton
maretz
maretz 19.04.2010 um 10:11:19 Uhr
Goto Top
Moin,

a) SSH-Server: Gute Idee, wenn hier noch das Root-Remote-Login abgeschaltet wird und du dich somit erst per User und dann per su anmeldest dann ist das schon recht gut (wobei root- und User-PW natürlich unterschiedlich sein sollten!)

b) Firewall: Warum? Ist selten das ich das sage - aber ne Firewall ist hier zimlich überflüssig. Lieber die Dienste so einstellen das nur das läuft was auch soll -> es bringt wenig wenn du da 20 offene Dienste hast die aber dann durch die Firewall nicht ansprechbar sind. Dann lieber den Dienst komplett deaktivieren -> nen Dienst der nicht läuft kann auch nicht missbraucht werden...

c) NAT: Bei nem Root-Server??? Mein einziger gedanke dazu: HÄ? Warum? Der hat ne öffentliche IP - da ist NAT nicht nötig!

d) VM-Server: Wäre möglich aber macht es wirklich sinn?

e) 2008 mit Exchange: Warum dann nicht gleich nen Server mit Win+Exchange? Die Lizenz dürfte dich mehr kosten als die mehrkosten für den Root-Server... Nur das du dann nicht den ganzen VM-Kram brauchst (der ne menge RAM frisst!)

f) Domänen-Controller: Auf nem ROOT-SERVER?!? Ähm - nein? Möchtest du wirklich ne Domänen-Anmeldung via Internet-Leitung?!? Dann hol dir auch gleich noch nen Rasierer für die Anmeldedauer!

g) Mailgateway: Warum noch nen zusätzliches Mail-GW? Du hast nen Linux-Server der als Mail-GW dienen kann, der Exchange selbst könnte das auch - noch nen Gateway ist da auch unnötig und du musst nur noch ne Lizenz für nen 2003 mit Exchange bzw. 2003 SBS haben...

Jetzt kommen wir mal zum anderen Punkt: Wieviel RAM möchtest du deinem Root-Server geben? Win 2008+Exchange: Mindestens 2 GB (besser 4) solltest du hierfür schon spendieren. Dann noch nen 2003 SBS oder mit nem Exchange: Nochmal 1 - 2 GB. Und - weils so schön ist: Linux mit VMWare und solchen Hosts - da sollte für die Linux-Kiste auch nochmal 2 GB RAM drin sein! Und ich gehe hier von einer kleinen Installation nur für dich aus - unter der Annahme das du auch zumindest etwas performance haben möchtest... Dazu dann noch Lizenzkosten für die Server (und ich kann nur dringend davon abraten dort irgendwelchen inoffiziellen Versionen zu betreiben - da du auf nem externen Root-Server arbeitest weisst du nie wer da mal draufguckt...).

Was du machen kannst: Erstmal natürlich sehen das du die Systeme wirklich kennst. Wenn du das hast dann würde ich mir einen kleinen Linux-Rootserver mieten. Diesen dann (falls gewünscht) für meine Domain nehmen, dort nen Mailserver raufpacken (Postfix + Courier-IMAP/POP3). Den ganzen Win-Kram zuhause auf nem Server installieren und den öffentlichen Server dort als Mail-GW einrichten (den Postfix dabei mittels SMTP-Auth einrichten oder via VPN daran gehen). Auch wenn man das nicht so sagen darf: Aber ob du nun zuhause die Test-Version von Exchange einsetzt oder was auch immer -> das ist noch was anderes als wenn du das auf nem Root-Server installierst... Dort kannst du dann mit Domänen usw. auch gemütlich rumtoben ohne dir da was wegzuschiessen... und es reicht der Root-Server mit 1 GB RAM locker aus...
Seppos
Seppos 19.04.2010 um 12:11:53 Uhr
Goto Top
Hi,

@arch-stanto: Produktiv gearbeitet? Relativ... Es sind ca 15 Leute, die per Outlook Anywhere und Exchange Active Sync auf dem Server "arbeiten". Ist aber ein rein privates Projekt, die WIN Server laufen ja schon. Zur Zeit halt bei mir zu Hause als VM-Maschinen. Ich will eigentlich nur meinen VM-Host ausschalten können, deswegen die Überlegung, das ganze in ein RZ auszulagern, ohne dabei auf irgend etwas (Wie AD-Anmeldung usw) zu verzichten...

@maretz: Vielen Dank für deine Antwort, ich versuche einfach mal, so gut es geht zu antworten:

a) Das ist klar, hätte ich auch so gemacht.

b+c) Meine Idee war (wie gesagt, kaum Erfahrung!), dass der Linux Root als "Router" fungiert, sodass ich ein LAN zwischen den Virtuellen Maschinen habe und trotzdem Dienste wie SMTP weitergeleitet werden können. Dieses virtuelle LAN bestehend aus MDC und Exchange möchte ich dann ja permanent per VPN mit meinem LAN zu Haus verbunden haben. Ich hielt es für sicherer, wenn nur bestimmte Ports der Windows Maschinen direkt erreichbar sind.

d) Wie sonst sollte ich mehrer Maschinen auf einem Root Server laufen lassen... Exchange ist halt fertig, ich wollte mir arbeit sparen und die VM-Ware Maschine einfach nur hochladen, feddich face-smile

e) Lizenz ist kein Problem, ich habe eine MSDN AA Lizenz, die jetzt auch schon läuft. Für 2008 Std, Win 2003 und Ex2007.

f) Ich hatte gehofft, dass es kein Problem darstellt, wenn der MDC über ein VPN angebunden ist... Wirklich? Sooo langsam?

g) Das Mailgateway ist halt ein GDATA Produkt, welches die ein und augehenden Mails auf Viren bzw SPAM prüft. Auf dem 2003er läuft kein Exchange sondern nur das Gateway von GDATA.

Ich dachte an nen i7-920 mit entweder 8GB DDR3 oder 12GB DDR3, das sollte doch ausreichen. So teuer sind die ja gar nicht... Wenn man bedenk, was ich an Kosten für den Telefonanschluss spare, bei dem ich Reverse DNS konfigurieren kann, das sind auch knappe 50 € netto im Monat, die solch ein Anschluss kostet.

Überlegung war halt, dass ich mit meinem jetzigen Alice Comfort Anschluss keine Reverse DNS Konfiguration vornehmen kann. Alice weigert sich, da was einzurichten. Also muss ich zu T-DSL Business oder QSC oder ähnliches. Kostenpunkt 50€ netto. Dann kam die Idee mit dem Root Server. 8GB Variante 50€ brutto/Monat. Feste IP, Reverse, alles da und ich spare noch Strom zu Hause und kann den jetzigen VM-Ware Hoste wieder ausschließlich als Multimedia Rechner benutzen. Wichtig ist mir aber, dass es, wenn alles fertig eingerichtet ist, genau so komfortabel ist wie jetzt mit den Servern im Haus. GPO/Antivirus-Management usw...

Grüße
Seppos
maretz
maretz 19.04.2010 um 13:24:13 Uhr
Goto Top
Moin,

also das mit dem Reverse-DNS brauchst du nur wenn du Mails direkt verschicken willst -> wenn du über nen Smarthost gehst ist das egal...

Weiter im Text: Bei 15 Leuten am Exchange würde ich schon nen bisserl Leistung einplanen... Und ob die MSDN-AA-License einen Einsatz auf nem Root-Server der extern steht wirklich abdeckt halte ich für Fraglich -> genauso wie den Einsatz für 15 Leute (wohl kaum deine direkte Familie, oder?).

Das anmelden am DC via VPN geht nur wenn dein Router das VPN aufbaut. Und dann ist es relativ lahm weil deine Internet-Verbindung natürlich recht hart bremst...

Das Mailgateway kannst du dir mit Linux selbst bauen: Postfix, ClamAV und ggf. SpamAssassin -> Thema erledigt...

Also - mit etwas mühe sparst du dir nen teuren Server UND die Leitung mit dem Reverse-DNS...
Seppos
Seppos 19.04.2010 um 13:32:06 Uhr
Goto Top
Momentan verschicke ich die Mails über einen SMTP von einem Freund, geplant war eigentlich, sie direkt zu verschicken, deswegen habe ich mir eine feste IP von Alice zugelegt. Allerdings werden nur die wenigsten Mails von einem "großen" SMTP angenommen. Ich denke, dass es daran liegt, dass ich keine Reverse DNS Konfiguration besitze. Ich hätte es aber schon gerne, wenn das ganze soweit funktioniert, also werde ich wohl die Leitung umstellen und dann sollte der Versand ja auch direkt funktionieren, oder?!?

Gruß
maretz
maretz 19.04.2010 um 16:03:40 Uhr
Goto Top
Moin,

wenn du einen domain-namen hast & dieser auch rückwärts aufgelöst werden kann dann sollte es normal laufen.