Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Machbar mit Astaro Home?

Hallo,
ich möchte mir zu Hause ein sicheres Heimnetzwerk aufbauen und dafür die Astaro Home verwenden. Meine Idee ist: ein Stromsparender PC mit VMware Server2 auf Debian Lenny. Dh. an diesem PC sind 2 Netzwerkkarten verbaut. 1x int und 1x ext (DSL). Nun möchte ich sicherstellen, dass das Hostsystem von außen nicht erreichbar, bzw. nur über die Astaro erreichbar ist und zum 2. der gesamte interne Verkehr nach außen über die Astaro läuft.
Ist dies möglich? Wie sicher ist die Konstruktion? Wie kann ich das Sicherheitstechnisch auf dem Hostsystem und der Astaro verwirklichen?

Momentan bin ich soweit, dass das Grundsystem installiert ist und die Astaro läuft. Für weitere Tests muss ich nun entweder die IP der Astaro ändern, oder den VM8 NAT Adapter - geht das nicht auch über die Bridge?

Wie würdert ihr es machen?

Vielen Dank für eure Anregungen und Ideen
sunny


This thread was automatically locked due to age.
Parents
  • Hallo,

    ich habe das so gemacht:

    Ein kleiner, sparsamer Desktop-PC von Lenovo (Core2Duo, 2,33 GHz, bei ebay für ca. 80 EUR), vier GByte RAM und eine Dualport-Ethernetkarte eingebaut (achte auf die Hardware-Compatibility-Liste von VMware/ESXi).

    Als "Betriebssystem" habe ich den ESXi-Server von VMware auf einem USB-Stick installiert.

    Dann habe ich die virtuelle Maschine der ASG bei Astaro runtergeladen und mit dem VMware Converter in eine ESXi-kompatible virtuelle Maschine umgewandelt und auf den ESXi-Server installiert.

    Da ich für meine ASG insgesamt vier Netzwerkschnittstellen brauche (Internal, External, DMZ A und DMZ B, mehr geht auf der kostenlosen ESXi-Lizenz auch nicht) und der Lenovo-Rechner zusammen mit der Dualport-Ethernetkarte ja nur auf drei Ethernet-Ports kommt, habe ich noch einen kleinen, VLAN-fähigen managebaren Smart-Switch von Netgear im Einsatz (GS108T).

    Damit kann ich der ASG virtuell im ESXi-Server vier Netzwerk-Ports zuweisen, die ich dann bei Bedarf per VLAN über den Switch nach draußen führe.

    Auf dem ESXi-Server läuft bei mir jetzt die ASG seit Monaten als virtuelle Maschine, zusätzlich noch drei weitere virtuelle Maschinen (ein Astaro ACC, da ich in der Familie noch eine weitere ASG administriere, ein Linux-Mailserver sowie ein Windows-Rechner, der meine Wetterstation rund um die Uhr ausliest und die Daten aufbereitet). Ab und zu starte ich noch als fünfte virtuelle Maschine eine ASG-Beta, um Tests zu machen.

    Alles in allem läuft die ganze Sache sehr stabil und sehr schnell, ich kann absolut nicht über Performance-Probleme oder Abstürze klagen, ganz im Gegenteil. Gekostet hat alles zusammen ca. 250 EUR und ist definitiv schneller als eine ASG120 :-)

    Der ESXi-Server ist ja auch kostenlos.

    Zur Sicherheit: Theoretisch sind Angriffe auf das Gast-System denkbar, es gibt dazu ja immer wieder Artikel auf heise.de. Der ESXi-Server selbst ist gut geschützt, da kommt man von "draußen" nicht so einfach ran, wenn man die Passwörter nicht kennt. Da der ESXi-Server aber im professionellen Umfeld eingesetzt wird ist der Hersteller VMware recht schnell mit sicherheitsrelevanten Patches. VMware ist schließlich Marktführer und muss seinen guten Ruf bzgl. Sicherheit und Stabilität/Performance verteidigen.

    Zusammen mit den virtuellen Maschinen und den WLAN-Routern, UPnP-Servern, managebaren Switchen, NAS_Laufwerk, WLAN-fähigen PDAs/Smartphones und meinen normalen Rechnern komme ich nur leider sehr oft an die Grenze von 10 IP-Adressen der Home-Lizenz, gnagnagna...

    MfG
    Manuel
  • Das klingt aber sehr interessant. Soweit bin ich jedoch noch nicht. Worin besteht denn der große Unterschied zwischem dem ESXi und dem freien Server2? Soweit ich das kurz gelesen habe fehlt die entspr. Console.

    Was mich nun speziell interessieren würde ist:
    - in welcher Datei kann ich die Nat Schnittstelle ändern um die Astaro anzusprechen
    - und wie muss ich das System sichern und einrichten damit die o.g. Zugriffe fuktionieren.

    Sind eher Linux spezifisch und daher hier vermutlich falsch, aber evtl. gibts noch ein paar die dies eingestellt haben.

    Gruß
  • Das klingt aber sehr interessant. Soweit bin ich jedoch noch nicht.


    So schwer ist das alles nicht, man findet zum Glück recht viele Quellen dazu im Internet.

    Worin besteht denn der große Unterschied zwischem dem ESXi und dem freien Server2? Soweit ich das kurz gelesen habe fehlt die entspr. Console.


    Du meinst den Unterschied zwischen dem ESXi und dem VMware Server 2? Der VMware Server benötigt ein Betriebssystem als Unterbau (Windows oder Linux), der ESXi Server nicht, da er selbst das Betriebssystem darstellt.

    Das heißt Du installierst den ESXi Server direkt "als Betriebssystem" auf einem Rechner und dann ist der VMware Server quasi schon mitinstalliert.

    Die Vorteile des ESXi Servers:

    - Als Betriebssystem benötigt er selbst weniger als 1 GByte Festplattenplatz, d. h. man kann ihn auch problemlos auf einem bootenden USB-Stick installieren

    - Der ESXi Server selbst geht wesentlich Resourcenschonender vom dem zur Verfügung stehenden RAM um, weil er selbst nur ca. 32 MByte benötigt, der Rest kann vollständig von den virtuellen Maschinen genutzt werden

    - Der ESXi Server hat die bessere Performance, weil er nur ein Minimalbetriebssystem mitbringt, was für die Verwaltung von virtuellen Maschinen besonders optimiert ist.

    - Beim VMware Server geht ja erstmal etliches an Plattenplatz und CPU-Leistung für das eigentliche Betriebssystem drauf, darauf muss der VMware Server ja aufbauen.

    - Die virtuellen Maschinen auf einem ESXi Server können nicht auf die USB-Ports, seriellen und parallelen Schnittstellen des Gast-Rechners zugreifen.

    - Der ESXi Server selbst kann keine Bildschirmausgabe der virtuellen Maschinen auf dem angeschlossenen Monitor ausgeben, man benötigt in jedem Fall einen zweiten Rechner zur Verwaltung des ESXi Servers.


    Was mich nun speziell interessieren würde ist:
    - in welcher Datei kann ich die Nat Schnittstelle ändern um die Astaro anzusprechen


    Keine Ahnung. Den ESXi Server installiert man auf einem Rechner, der per Netzwerk erreichbar ist. Auf einem zweiten Rechner installiert man den VMware Infrastructure Client. Das ist eine grafische Oberfläche ähnlich wie man sie vom VMware Server 1.x her kennt. Mit dieser grafischen Management-Oberfläche kann man den ESXi Server  selbst konfigurieren (auch die gesamte virtuelle Netzwerk-Konfiguration wird damit erstellt) und administrieren sowie die virtuellen Maschinen (inkl. deren Bildschirmausgabe) verwalten, starten, stoppen, konfigurieren, usw.


    - und wie muss ich das System sichern und einrichten damit die o.g. Zugriffe fuktionieren.

    Sind eher Linux spezifisch und daher hier vermutlich falsch, aber evtl. gibts noch ein paar die dies eingestellt haben.


    Wie man Linux härtet, findet man per Google. Da gibt es zig Anleitungen. Wenn man den ESXi Server einsetzt, entfällt dieser Arbeitsschritt zum Glück komplett (inkl. zig Angriffsflächen, die ein Linux oder Windows als Gastbetriebssystem mit sich bringt).

    MfG
    Manuel
  • Der ESXi klingt interessant. Steht er bei dir direkt mit einem Bein im Internet, oder hast du ihn davor noch durch einen Router/Firewall abgeschirmt/gesichert?

    Gruß
    sunny
  • Der ESXi klingt interessant. Steht er bei dir direkt mit einem Bein im Internet, oder hast du ihn davor noch durch einen Router/Firewall abgeschirmt/gesichert?


    Die als virtuelle Maschine laufende Astaro ASG steht logisch gesehen noch vor meinem ESXi Server. Somit ist mein ESXi Server nicht direkt ans Internet angeschlossen, ich müßte erst entsprechende Regeln in meiner Firewall aktivieren.

    Physikalisch ist das DSL-Modem aber direkt an den Rechner angeschlossen, auf dem der ESXi Server läuft. Der Netzwerkport ist über die Konfiguration des ESXi Servers ausschließlich der virtuellen Astaro ASG zugewiesen. Ein zweiter Netzwerkport geht an den managebaren Switch, über den per VLAN-Trunk alle internen Anschlüsse und DMZ-Netze (sofern ein nach draußen führen nötig ist) erreichbar sind. Da sind dann noch zwei WLAN-Router (für zwei unterschiedliche WLAN-Netze) angeschlossen.

    MfG
    Manuel
  • Ah, ok - interessant.
    Was sagst du zu meinem Vorhaben? Müsste theoretisch möglich sein, oder?
  • Ah, ok - interessant.
    Was sagst du zu meinem Vorhaben? Müsste theoretisch möglich sein, oder?


    Nicht nur theoretisch, wie ich mit meinen Antworten bewiesen habe :-) Ich habe diese Konfiguration hier ja schon seit Wochen am laufen und betreue bei einem Verwandten eine ähnliche Konfiguration aus der Ferne.

    Es wird alles gewünschte funktionieren, auch dann, wenn Du es mit Linux als Betriebssystem und dem VMware Server machst.

    Der ESXi Server nimmt einem halt nur das Härten des Betriebssystems ab und geht mit den Resourcen besser um, aber ob man nun den VMware Server oder den ESXi nimmt, spielt bzgl. Deiner genannten Anforderungen keine Rolle.

    MfG
    Manuel
  • ich nutze nen win2k3 enterprise server als DC und habe darauf vmware workstation laufen.... darin läuft dann meine astaro die die netzwerkkarten dann im bridge mode bekommt. zuweisen kann ich die entweder jeweils einer physikalischen karte (bis die anzahl der pci steckplätze ausgereizt sind) oder halt einer virtuellen. habe also 3 PCI lan karten zur verfügung und nutze davon eine als external, 2 als internal. im VMWare Workstation kann ich diese einer virtuellen zuweisen so dass das win2k3 system dann nur noch durch das selbe ip/subnetz drauf zu greifen kann. über die externe karte macht der server dann keinerlei verbindungsaufbau...

    frisst zwar resscourcen, aber eröffnet mir in meinem kleinen heimnetz bissl mehr möglichkeiten (file server, AD, DNS, und viele kleine spielereien) zum rumprobieren.

    ist für mich die optimale home lösung alles auf einem Rechner zu vereinen, da ich per vnc den rechner steuern kann, also auf die console gucken kann wenn ich möchte,den server auch per rdp bedienen kann ohne das mir die vmware irgendwo in die quere kommt. 

    Vorteil gegenüber esx: per monitor kann ich natürlich auch ohne zweit PC auf die VM gucken.
    nachteil: ressourcen..... aber davon hab ich für meine bedürfnisse genügend.
  • Also fast so wie ich es machen möchte. Ich denke auch, dass es grundsätzlich funktioniert nur die Sicherheit bzw. der Routing- Netzwerkkram macht mir etwas Kopfzerbrechen. Wenn ich es theoretisch Verstehe, dann muss ich per IPtable Nat aktivieren alles was von der PPOE Verbindung kommt direkt an die virtuelle Astaro weiterleiten und umgekehrt auch erlauben. Dafür keine direkte Verbindung mit dem Host zulassen - theoretisch Das mit der NAT Schnittstelle habe ich noch nicht so ganz raus, warum ich die in der Astaro brauche. Eigentlich sollte die an der ext. Karte hängen und Nat betreiben und die 2. ins Interne bridgen. Muss nachher erst mal ein wenig lesen.

    Gruß
Reply
  • Also fast so wie ich es machen möchte. Ich denke auch, dass es grundsätzlich funktioniert nur die Sicherheit bzw. der Routing- Netzwerkkram macht mir etwas Kopfzerbrechen. Wenn ich es theoretisch Verstehe, dann muss ich per IPtable Nat aktivieren alles was von der PPOE Verbindung kommt direkt an die virtuelle Astaro weiterleiten und umgekehrt auch erlauben. Dafür keine direkte Verbindung mit dem Host zulassen - theoretisch Das mit der NAT Schnittstelle habe ich noch nicht so ganz raus, warum ich die in der Astaro brauche. Eigentlich sollte die an der ext. Karte hängen und Nat betreiben und die 2. ins Interne bridgen. Muss nachher erst mal ein wenig lesen.

    Gruß
Children
  • Kann man per ESXI eine NIC doppelt nutzen ? Oder ist diese dann nur für das jeweilige Gast-System reserviert ? Also wenn ich eine Dual-Ethernet-PCI habe, daß ich über die selbe NIC anderr Gast-OSes parallel zur laufenden ESXi-ASG haben kann ?
  • Kann man per ESXI eine NIC doppelt nutzen ? Oder ist diese dann nur für das jeweilige Gast-System reserviert ? Also wenn ich eine Dual-Ethernet-PCI habe, daß ich über die selbe NIC anderr Gast-OSes parallel zur laufenden ESXi-ASG haben kann ?


    Ja, das geht. Die Netzwerk-Konfigurations-Möglichkeiten des ESXi-Servers sind da sehr flexibel.

    Das Dokument "ESX Server 3i Configuration Guide"

    http://www.vmware.com/pdf/vi3_35/esx_3i_e/r35u2/vi3_35_25_u2_3i_server_config.pdf

    gibt in dem Kapitel "Networking" einen sehr schönen Überblick. Da sieht man, wie man einen oder mehrere virtuellen Switch(e) erstellt und konfiguriert, an denen alle virtuellen Maschinen angeschlossen werden. Welche physikalischen Ports man welchem virtuellen Switch zuordnet, ist dabei egal und kann frei konfiguriert werden.

    MfG
    Manuel
  • Danke für die Info. Das ist ja sehr erfreulich. Ich hoffe, mein "Atom" Dual-Core hat die atomare Kraft dazu :-) Ist doch zu schade, nur die ASG darauf laufen zu lassen.

    OT: Fast So, wie Windows 3.1 auf auf dem Handy [H]
    This is freakin' AWESOME: Windows 3.1 on a Nokia N95


    Grüße
    Michael
  • Ich habe da noch eine Verständnisfrage. Das virtuelle Astaro kommt mit einer Nat- und einer Bridge-Schnittstelle. Wie ist die Standard IP für die Bridge? Diese müsste ich doch nutzen, wenn ich innerhalb des Lans auf das Webinterface zugreifen möchte oder?  Vom Hostsystem kann ich die 150.5 anpingen. Was muss ich machen um von einem Client mit 192.168.0.66 auf das Webinterface zu greifen zu können? Nach meinem Verständnis müsste das Hostsystem routen, oder? Bzw. die Astaro steht mit dem Bridge im 192.168.0.*** Netz, oder? Verwirrt!
  • Ich habe mir den ESXi noch mal angesehen und finde die Idee gar nicht so schlecht. Warum soll ich erst nen Debian als Host installieren und dann VMWare darauf. Ich denke ich gebe dem ESXi mal eine Chance. Eine Frage vorweg, soll ich den DSL Anschluss vorher der Installation anschließen oder erkennt der ESXi die "Karte" nachträglich?

    Danke
  • bei der workstation stell ich mir die netzwerkkarte so ein das die astaro nur "bridged" karten besitzt.

    somit ist sie abgekoppelt vom host system. beim esx wirds änlich laufen. 

    wenn die astaro dann in dem 192.168.150.0/24 netz läuft, musst du deinen client auch in das gleiche netzwerk setzen damit du auf das interface zugreifen kannst (z.b. ip:192.168.150.20, subnetzmaske: 255.255.255.0)

    wenn du sie dann über das webinterface umkonfigurierst, un in dein standart netz hängst, dich dann zurück setzt in dein standart netz, kannst du auch von dort aus zugreifen. 

    ich hoffe das hat dir deine frage beantwortet. die vmware NAT modis sind nichtzwingend notwendig:

    vmware bridge0:astaro eth0:192.168.0.1(in der astaro eingestellt, was du im esx vergibst, ist irrelevant im bridged modus)
    dein client: eth0: 192.168.0.10
    ping 192.168.0.1 

    voila es ist vollbracht. [;)]

  • ..."bridged"...somit ist sie abgekoppelt vom host system...

    Warum ist bridged abgekoppelt vom Hostsyste? Bridged ist doch eigentlich nur ein weiterer Rechner im Netz, wenn die IP der VM die selbe IP ist wie aus dem Netz.[:S]

    Bin zwar grade nicht zu hause am Testsystem aber so ungefähr kenne ich die Grundeinstellungen noch. Nach der Installation des Server2 mit einer automatischen Suche des Adapters, sehen die Einstellungen so aus (alle 255.255.255.0): vmnet1 (bridged) = 192.168.88.3 vmnet8 (nat) 192.168.112.2. Das Hostsystem hat eth0 192.168.0.44 und eth1 192.168.0.45. Laut Astaro Anleitung muss ich vmnet8 (nat) auf 192.168.150.1 umstellen. Leider kann ich die Astaro dann nicht erreichen, auch wenn mein Client im selben Netz hängt.

    :in Gedanken: Ich sehe grade das auf meiner XP Kiste mit Vmware Workstation vmnet1 = hostonly ist. Ich glaube ich habe mich verrant. D.h. ich müsste wenn die Astaro in Bridged mit 192.168.0.10 läuft sie von Anfang an erreichen können. Mh.

    Das mit dem Nat hat sich wohl auch geklärt, Nat ist aus der VM aus gesehen die Verbindung nach aus, hinein ist wiederum was anderes, deshalb auch Network Address Translation.[:S]
  • bridged=virtueller adapter, kann einer physikalischen karte zugewiesen werden, muss es aber nicht (z.b. können bei automatically device=mehrere wirte eine karte des hosts nutzen)

    nat=durch das host system geroutet.
    Also n ganz simples NAT routing beispiel:
    (Subnetz überall 255.255.255.0, also ip/24)
    ESX Server: 192.168.0.1
    VMNET3 im NAT Modus bekommt:192.168.50.0
    VMWare Client bekommt bekommt VMNET3 zugewiesen und die interne IP: 192.168.50.1

    ESX Situation: ping ist möglich auf 192.168.50.x, da das ganze Netz durch NAT angesprochen wird.

    Es befindet sich somit eine art Brücke für den ESX Server, da er das komplette Netz, sowie sein eigenes erreichen kann.

    In der regel steht VMNET3 auf dem HOST nun ohne einer Netzzugehörigkeit da. welchen Sinn die vergabe einer IP dort macht, ist mir eh schleierhaft. Es würde keinen Sinn ergeben, es sei denn der HOST soll in dem Netz 192.168.50.0/24 auch über eine IP ansprechbar sein. Die vergabe eines anderen Netzes auf HOSTSeite für VMNET3 macht ebenso keinen sinn, und kann daher optional eingestellt werden. (vielleicht noch um ein drittes, weiteres, Netz ansprechen zu wollen, wo ggf. extern ein Router ansprechbar wäre oder soetwas, in der virtuellen astaro aber eine ROUTING Regel definiert sein muss um in dieses andere netz zugreifen zu können.)

    dieses Thema mit den Netzwerkadapter ist sehr komplex. Aber ich empfehle jedem, nur den Bridge modus der virtuellen adapter zu nutzen, und den Host durch den IP und Subnetzbereich ansprechbar zu machen. Dies ist die verständlichste und einfachste lösung für jedermann, der sich auf diesem gebiet in Neuland begibt. 
    Mit dem Bridge Modus kann man auch jeder physikalischen karte, eine oder mehrere virtuelle zuweisen, und kann daher ein Netzwerk auch sauber von einem DSL router trennen.


    am besten man liest sich die dazugehörige VMware manual genaustens durch und bekommt somit eventuell einen besseren überblick.


    wenn ich bei meinen erklärungsversuchen falsch lag und es jemand besser/genauer/richtiger erklären kann, dann bitte ich um berichtigung.

  • Das mit dem Nat hat sich wohl auch geklärt, Nat ist aus der VM aus gesehen die Verbindung nach aus, hinein ist wiederum was anderes, deshalb auch Network Address Translation.[:S]


    richtig vom HOST(esx, winxp,win2k3,debian etc.) in das geroutete netz. Clients von außen bekommen davon nichts mit.(oder nutzt du deinen host als gateway? [;)] )
  • Nun versuche ich seit 3 Stunden den ESXi auf den Testrechner, auf dem vorher Debian lief, zu installieren. Leider bricht die Installation nach der Lizenzzustimmung immer ab. "Unable to find supported device".

    Jemand eine Idee?