gmeurb
Goto Top

Virtuelle Firewall unter ESXi 5.5

Hallo,

folgendes Problem!

Ich habe zwei ESX, die redundant aufgebaut sind. Ich habe eine virtuelle Linuxfirewall auf dem ESX-Cluster installiert und plane nun über einen ProCurve Switch andere Serverhardware über diese Firewall anzusteuern.

- es gibt ein produktives VLAN 10 (10.0.10.x/24)
- das neue VLAN hinter der Firewall bekommt die 11 (10.0.11.x/24)
- auf den Switchen (Haupt und Backup) habe ich jeweils zwei Beinchen von jedem ESX für das 10er und das 11 er VLAN.
- Die VLANs sind den entsprechenden zugewiesen, jedoch nicht getagged

Ergebnis:

- ein virtueller Server im VLAN 11 und in dieser Umgebung geht (geht ja auch über das virtuelle Netz des ESX)
- die Ansteuerung an eine Serverhardware über den ProCurve geht allerdings nicht.
- Muß ich noch etwas beachten bei den Settings für dieses VLAN auf dem ESX selbst?
- Die ESX wissen ja nicht das ich da eine IP-Range 10.0.11.x/24) dahinter habe, aber wie kann ich das machen?

Ich habe mal ein paar Bildchen angehangen. Zum einen die Schnittstellenconfig, zum anderen das Konzept. Es muß Traffic vom 10.0.10.x er Netz in das 10.0.11.xer Netz über die linuxfirewall, den ProCurve und an server01!

Ich vermute ich muß irgendwas an de dem vSwitch auf dem ESX einstellen. Ein VLAN-Tagging eventuell?

Danke und Gruß
Eric

Content-ID: 245725

Url: https://administrator.de/forum/virtuelle-firewall-unter-esxi-5-5-245725.html

Ausgedruckt am: 24.12.2024 um 12:12 Uhr

wiesi200
wiesi200 06.08.2014 um 12:00:43 Uhr
Goto Top
Hallo,

also meiner Meinung nach gehört keine Firewall virtualisiert.
110135
110135 06.08.2014 um 12:02:33 Uhr
Goto Top
Hallo,

dem kann ich mich nur anschließen. Eine Firewall gehört auf gar keinen Fall virtualisiert!
Hier kannst du z.B. lesen, warum das IPCop-Forum dies nicht unterstützt:
http://www.ipcop-forum.de/unipcop.php

Gruß,
Florian
aqui
aqui 06.08.2014 um 12:23:24 Uhr
Goto Top
OK, zum Thema virtuelle Firewall auf VM Hosts ist ja schon alles gesagt.
Zu deinen Fragen:

Muß ich noch etwas beachten bei den Settings für dieses VLAN auf dem ESX selbst?
Ja, wenn du einen cSwitch nutzt, dann musst du über einen .1q tagged Uplink diesen dann mit der externen HP Gurke verbinden, das diese auf die VLANs entsprechend per Tagging übermittelt bekommt !
Die ESX wissen ja nicht das ich da eine IP-Range 10.0.11.x/24) dahinter habe, aber wie kann ich das machen?
Das muss sie auch nicht interessieren, denn du hast ja ein Default Gateway auf dem ESXi bzw. den VMs definiert was ja irgendwie auf deine Firewall zeigt und die weiss ja dann WO diese IP netze zu finden sind !
Ich habe mal ein paar Bildchen angehangen
WO sind diese denn oder hast du im Thread die "Bilder upload Funktion" nicht gefunden ? Klick auf "Bearbeiten", dann siehst du sie oben. Bilder hochladen und Bilder uRL kannst du dann per cut and paste in jeglichen Text hier bringen. Statt URL wird dann das Bild gezeigt !

Eine guten Überblick über VLAN Implementation mit Firewall und auch Switches gibt dir dieses Forumstutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

P.S.: die pfSense gibt es als fertiges VM Image für solche Anwendungen wie die deine.
...Wenn man denn das erhebliche Risiko einer virtuellen FW in Kauf nimmt ?!
gmeurb
gmeurb 06.08.2014 um 13:02:09 Uhr
Goto Top
Hier sind die Bilder, vielleicht wird dann klar, dass diese Softwarefirewall nur ein spezielles internes VLAN schützen soll, dass für und wieder müssen wir auch nicht diskutieren und darum geht es ja auch nicht

5df6947062b1205d145d63d51bb54bba
5cd871805bf8ba97ef877a22609017e3
Dani
Dani 06.08.2014 um 14:12:02 Uhr
Goto Top
Zitat von @wiesi200:
also meiner Meinung nach gehört keine Firewall virtualisiert.
Ich würde sagen, das hängt vom Zweck ab. Wir haben zwischen jeden Gebäude-Subnet eine Firewall. Diese ist entsprechend virtualisiert und regelt ausschließlich den LAN-Datenverkehr. Daher ist das für mich ein gangbarer Weg. Sobald DMZ, Zugriffe von extern, etc... möglich sind, bin voll und ganz bei euch.


Grüße,
Dani
108012
108012 06.08.2014 um 21:55:51 Uhr
Goto Top
Hallo zusammen,

wenn schon denn schon, aber dann kann man doch auch einen Linux oder BSD Server
aufsetzen und die Firewall in ein "Jail" packen und wenn es dann jemandem gelingt ist er
"nur" root in dem Jail und hat nicht gleich den gesamten VM Host unter Kontrolle.

Wenn es denn nicht zu viel ist kann man ja auch einen MikroTik Router davor setzen
und gut ist es. Je nach dem was man für eine performance bzw. für einen Durchsatz
braucht könnte das ein Router aus der RB450G, RB493G, RB2011, RB1200 oder aus
der CCR Serie sein. Halt je nach Budget und Anzahl der benötigten Portdichte, den kann
man dann auch immer wieder benutzen wenn man mal wieder etwas hat oder laufen lassen.


Gruß
Dobby
gmeurb
gmeurb 08.08.2014 um 21:15:54 Uhr
Goto Top
Also, um die Sache zum Abschluß zu bringen.

Ich habe nun ein VLAN 11 auf den Uplinkports zum ESX und den entsprechenden LAN-Interfaces auf dem ProCurve getagged.
Dem entsprechenden vSwitch dieses VLANs habe ich 11er ID verpasst. Damit gehte es nun!

Gruß
Eric
aqui
aqui 08.08.2014 aktualisiert um 21:29:24 Uhr
Goto Top
Klasse wenns nun klappt...
Grundlegendes zu dem Thema findest du zusätzlich noch hier:
Routerboard RB 750GL + TP-Link TL-SG3424 VLAN Konfiguration
Zwar etwas anderes Umfeld es erklärt aber wo was tagged werden muss und wo nicht.