Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 52 replies
  • Subscribers 38 subscribers
  • Views 21652 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Machbar mit Astaro Home?

sunghost
Hallo,
ich möchte mir zu Hause ein sicheres Heimnetzwerk aufbauen und dafür die Astaro Home verwenden. Meine Idee ist: ein Stromsparender PC mit VMware Server2 auf Debian Lenny. Dh. an diesem PC sind 2 Netzwerkkarten verbaut. 1x int und 1x ext (DSL). Nun möchte ich sicherstellen, dass das Hostsystem von außen nicht erreichbar, bzw. nur über die Astaro erreichbar ist und zum 2. der gesamte interne Verkehr nach außen über die Astaro läuft.
Ist dies möglich? Wie sicher ist die Konstruktion? Wie kann ich das Sicherheitstechnisch auf dem Hostsystem und der Astaro verwirklichen?

Momentan bin ich soweit, dass das Grundsystem installiert ist und die Astaro läuft. Für weitere Tests muss ich nun entweder die IP der Astaro ändern, oder den VM8 NAT Adapter - geht das nicht auch über die Bridge?

Wie würdert ihr es machen?

Vielen Dank für eure Anregungen und Ideen
sunny


This thread was automatically locked due to age.
Parents
  • 0
    Hallo,

    ich habe das so gemacht:

    Ein kleiner, sparsamer Desktop-PC von Lenovo (Core2Duo, 2,33 GHz, bei ebay für ca. 80 EUR), vier GByte RAM und eine Dualport-Ethernetkarte eingebaut (achte auf die Hardware-Compatibility-Liste von VMware/ESXi).

    Als "Betriebssystem" habe ich den ESXi-Server von VMware auf einem USB-Stick installiert.

    Dann habe ich die virtuelle Maschine der ASG bei Astaro runtergeladen und mit dem VMware Converter in eine ESXi-kompatible virtuelle Maschine umgewandelt und auf den ESXi-Server installiert.

    Da ich für meine ASG insgesamt vier Netzwerkschnittstellen brauche (Internal, External, DMZ A und DMZ B, mehr geht auf der kostenlosen ESXi-Lizenz auch nicht) und der Lenovo-Rechner zusammen mit der Dualport-Ethernetkarte ja nur auf drei Ethernet-Ports kommt, habe ich noch einen kleinen, VLAN-fähigen managebaren Smart-Switch von Netgear im Einsatz (GS108T).

    Damit kann ich der ASG virtuell im ESXi-Server vier Netzwerk-Ports zuweisen, die ich dann bei Bedarf per VLAN über den Switch nach draußen führe.

    Auf dem ESXi-Server läuft bei mir jetzt die ASG seit Monaten als virtuelle Maschine, zusätzlich noch drei weitere virtuelle Maschinen (ein Astaro ACC, da ich in der Familie noch eine weitere ASG administriere, ein Linux-Mailserver sowie ein Windows-Rechner, der meine Wetterstation rund um die Uhr ausliest und die Daten aufbereitet). Ab und zu starte ich noch als fünfte virtuelle Maschine eine ASG-Beta, um Tests zu machen.

    Alles in allem läuft die ganze Sache sehr stabil und sehr schnell, ich kann absolut nicht über Performance-Probleme oder Abstürze klagen, ganz im Gegenteil. Gekostet hat alles zusammen ca. 250 EUR und ist definitiv schneller als eine ASG120 :-)

    Der ESXi-Server ist ja auch kostenlos.

    Zur Sicherheit: Theoretisch sind Angriffe auf das Gast-System denkbar, es gibt dazu ja immer wieder Artikel auf heise.de. Der ESXi-Server selbst ist gut geschützt, da kommt man von "draußen" nicht so einfach ran, wenn man die Passwörter nicht kennt. Da der ESXi-Server aber im professionellen Umfeld eingesetzt wird ist der Hersteller VMware recht schnell mit sicherheitsrelevanten Patches. VMware ist schließlich Marktführer und muss seinen guten Ruf bzgl. Sicherheit und Stabilität/Performance verteidigen.

    Zusammen mit den virtuellen Maschinen und den WLAN-Routern, UPnP-Servern, managebaren Switchen, NAS_Laufwerk, WLAN-fähigen PDAs/Smartphones und meinen normalen Rechnern komme ich nur leider sehr oft an die Grenze von 10 IP-Adressen der Home-Lizenz, gnagnagna...

    MfG
    Manuel
  • 0 in reply to m.fischer
    Das klingt aber sehr interessant. Soweit bin ich jedoch noch nicht. Worin besteht denn der große Unterschied zwischem dem ESXi und dem freien Server2? Soweit ich das kurz gelesen habe fehlt die entspr. Console.

    Was mich nun speziell interessieren würde ist:
    - in welcher Datei kann ich die Nat Schnittstelle ändern um die Astaro anzusprechen
    - und wie muss ich das System sichern und einrichten damit die o.g. Zugriffe fuktionieren.

    Sind eher Linux spezifisch und daher hier vermutlich falsch, aber evtl. gibts noch ein paar die dies eingestellt haben.

    Gruß
  • 0 in reply to Itos
    Virtuallisierung ist nunmal kein kleines Thema [[;)]] Auch wenn es hier 'nur' um Test/Homezwecke geht. [[;)]]
  • 0 in reply to Tigershark
    Stimmt, mit eben mal ist das nicht gemacht [;)]
    Dauert bei euch der Download der neuen Version auch so lange? nicht mal 10kb kommen bei mir an und das soll über einen Tag dauern. Ist doch echt nicht wahr.
  • 0 in reply to sunghost
    hab mich mit den anfänglichen 30Kb/s zufriedenstellen müssen [;)] wenn ich so höre was im moment so abgeht, bin ich ja froh das ich das update schon habe ^^
  • 0 in reply to Tigershark
    Leider funktioniert der ESXi bei mir nicht mit PPPOE! Der ESXI läuft auf der Hardware in meiner Signatur. ASG installiert sich auch. Nur baut dann die virtuelle ASG keine PPPOE Verbindung auf. Scheinbar kann der ESXI nicht mit PPPOE umgehen. Ist natürlich wieder ein Murks.

    Welche VM kann man mit ASG und PPPOE nutzen ?

    2009:03:13-07:54:26 (none) pppoe[6808]: Timeout waiting for PADO packets
    2009:03:13-07:54:26 (none) pppoe-sh: Can not connect DSL AC - retry in 5 seconds
    2009:03:13-07:54:46 (none) pppoe[6834]: Timeout waiting for PADO packets
    2009:03:13-07:54:46 (none) pppoe-sh: Can not connect DSL AC - retry in 5 seconds
  • 0 in reply to michaelxy
    hast du die externe karte (die wo das dsl dran hängt), auch der vmnetX zugewiesen, die die pppoe einwahl macht?
  • 0 in reply to Tigershark
    hast du die externe karte (die wo das dsl dran hängt), auch der vmnetX zugewiesen, die die pppoe einwahl macht?
    Reply With Quote


    Ja. Habe eine Intel-Dual NIC. Beide virtuelle Karten sind in der vm Konfiguration der ASG hinzugefügt. esxi hat die auch beide richtig erkannt. Unter der virtuellen ASG kann ich dann auch zwei AMD ... NIC wählen. Nur eben geht kein pppoe. Ggf taugt der Treiber des esxi nichts bzw. der esxi kann nicht mit pppoe umgehen. Habe auch im vmware Forum nichts brauchbares gefunden.

    Hast Du es mit PPPOE laufen ?
  • 0 in reply to michaelxy
    Ja. Habe eine Intel-Dual NIC. Beide virtuelle Karten sind in der vm Konfiguration der ASG hinzugefügt. esxi hat die auch beide richtig erkannt. Unter der virtuellen ASG kann ich dann auch zwei AMD ... NIC wählen. Nur eben geht kein pppoe. Ggf taugt der Treiber des esxi nichts bzw. der esxi kann nicht mit pppoe umgehen. Habe auch im vmware Forum nichts brauchbares gefunden.

    Hast Du es mit PPPOE laufen ?


    Ich habe meinen ESXi-Server mit PPPoE zu laufen.

    Mein ESXi-Server hat drei Netzwerkschnittstellen, zwei benutze ich aber nur, weil ich über einen externen Switch per VLAN-Trunking alle benötigten Ports nach draußen geführt habe.

    Gelöst habe ich das so:

    Einen virtuellen Switch erstellt, an dem ich die Interfaces eth0/eth2/eth3 (sowie das Management des ISXi-Servers selbst) gehängt habe. Dieser Switch ist der 1. physikalen Schnittstelle zugwiesen. Jedes virtuelle Interface ist einem VLAN zugeordnet, an der physikalischen Schnittstelle geht es per VLAN-Trunk zu einem echten Switch, an dem ich 8 Ports zur Verfügung habe. Per Switch-Management kann ich nun über die VLAN-Zuordnung der einzelnen Switch-Ports die einzelnen virtuellen Interfaces eth0/eth2/eth3 der ASG beliebig nach draußen führen.

    Einen zweiten virtuellen Switch erstellt, dem intern nur der Port eth1 der ASG zugewiesen ist (nichts mit VLAN und som über VLANs funktioniert PPPoE nicht). Dieser virtuelle Switch ist der 2. physikalischen Schnittstelle zugewiesen, über die ich per PPPoE mit dem DSL-Modem spreche.

    Geht alles.

    MfG
    Manuel
  • 0 in reply to m.fischer
    Das vmware layer2 Dings ist wohl pfuschig. Hingegen scheint es per Microsoft virtual Server zu funktionieren.

    VMware Communities: PPPoE: MS Virtual PC works - VMWare Server doesn't
  • 0 in reply to michaelxy
    Die ASG läuft nun auf der in der Signatur beschriebenen Hardware im esxi 3.5U4. Davor hängt die FritzBox und macht pppoe. Die ASG ist nun per "Exposed Host" in der FritzBox definiert, und wohl 1:1 transparent im WAN.
    Damit esxi auch mit ide kann, tut man das:
    ESXi install to IDE drive
  • 0 in reply to michaelxy
    Hallo,
    ihr verwirrt mich jetzt doch ein wenig.
    Aber vielleicht fange ich von vorne an.
    Ich habe MSI Atom Board mit einer N270 1,6 GHz CPU und zwei GB Nic. 
    Jetzt habe ich mir gedacht ich installiere Debian und den VMWare Server 2.0 mit dem ASG Image. Dieses Klappt auch ohne Probleme.
    Jetzt habe ich an eth0 das interne Netz und eth1 das externe VDSL Modem.
    In der 7.4er Version habe ich bei den PPPoE Interfaces auch einen Button für VDSL, allerdings klappt das leider nicht?!? Kann mir vielleicht einer von euch weiterhelfen?

    Gruß

    Felix
Reply
  • 0 in reply to michaelxy
    Hallo,
    ihr verwirrt mich jetzt doch ein wenig.
    Aber vielleicht fange ich von vorne an.
    Ich habe MSI Atom Board mit einer N270 1,6 GHz CPU und zwei GB Nic. 
    Jetzt habe ich mir gedacht ich installiere Debian und den VMWare Server 2.0 mit dem ASG Image. Dieses Klappt auch ohne Probleme.
    Jetzt habe ich an eth0 das interne Netz und eth1 das externe VDSL Modem.
    In der 7.4er Version habe ich bei den PPPoE Interfaces auch einen Button für VDSL, allerdings klappt das leider nicht?!? Kann mir vielleicht einer von euch weiterhelfen?

    Gruß

    Felix
Children
No Data
Unfiltered HTML