Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Machbar mit Astaro Home?

Hallo,
ich möchte mir zu Hause ein sicheres Heimnetzwerk aufbauen und dafür die Astaro Home verwenden. Meine Idee ist: ein Stromsparender PC mit VMware Server2 auf Debian Lenny. Dh. an diesem PC sind 2 Netzwerkkarten verbaut. 1x int und 1x ext (DSL). Nun möchte ich sicherstellen, dass das Hostsystem von außen nicht erreichbar, bzw. nur über die Astaro erreichbar ist und zum 2. der gesamte interne Verkehr nach außen über die Astaro läuft.
Ist dies möglich? Wie sicher ist die Konstruktion? Wie kann ich das Sicherheitstechnisch auf dem Hostsystem und der Astaro verwirklichen?

Momentan bin ich soweit, dass das Grundsystem installiert ist und die Astaro läuft. Für weitere Tests muss ich nun entweder die IP der Astaro ändern, oder den VM8 NAT Adapter - geht das nicht auch über die Bridge?

Wie würdert ihr es machen?

Vielen Dank für eure Anregungen und Ideen
sunny


This thread was automatically locked due to age.
  • Müßte, müsste viel ... Bei meinem esxi 3.5 und der ASG 7 geht es jedenfalls nicht. Das selbe Problem scheint es wohl dann auch beim VMWare Server 2 zu geben. Das Problem scheint mir eher bei vmware zu liegen.

    Warum - hat da jemand pppoe und vmware xyz am laufen ?


    Mit meinem ESXi v3 und jetzt seit kurzem ESXi v4-Server funktioniert eine PPPoE-Verbindung aus einer virtuellen Astaro heraus problemlos (die PPPoE-Verbindung wurde über einen eigenen virtuellen Switch an einen physikalischen Ethernetport herausgeführt, die Intern/Extern/DMZ-Interfaces sind alle an einem einzigen virtuellen Switch mit VLANs getrennt).

    Meine PPPoE-Verbindung läuft allerdings über normales DSL, VDSL wurde in der Vergangenheit von der Astaro nicht unterstützt (und funktionierte nur mit Tricks unter der Haube, siehe Forum). Ob jetzt mit der 7.500 VDSL, mit dem entsprechenden Haken angeklickt, problemlos funktioniert, kann ich mangels VDSL nicht sagen. Da VDSL aber irgendwie über VLANs funktioniert, könnte ich mir theoretisch schon Probleme vorstellen, wo die VLAN-Tags der Astaro mit der Netzwerk-Middleware von VMware kollidieren.

    Ich selbst habe meiner virtuellen Astaro mittlerweile 8 virtuelle Netzwerkkarten hinzugefügt, einmal Intern, einmal Extern, einmal Sync und 5 mal DMZ :-)

    Zum Testen habe ich sogar zwei virtuelle Astaros als Active/Active-Cluster zusammen geschaltet, auch das hat problemlos funktioniert.

    Und da mein ESXi-Server nur zwei physikalische Netzwerkkarten bzw. Ethernet-Ports eingebaut hat, habe ich die verschiedenen virtuellen Netzwerkkarten der Astaro-VM über VLANs (in der Astaro habe ich keine VLANs konfiguriert, das habe ich nur in der Netzwerkkonfig des ESXi-Servers gemacht) und einem VLAN-Trunk an einen externen Switch (Netgear GS108T) geleitet. So kann ich beliebige interne Ports an den externen Switch durchreichen.

    Probleme bei der ganzen Sache: keine.

    MfG
    Manuel
  • (die PPPoE-Verbindung wurde über einen eigenen virtuellen Switch an einen physikalischen Ethernetport herausgeführt, die Intern/Extern/DMZ-Interfaces sind alle an einem einzigen virtuellen Switch mit VLANs getrennt).


    Schön für Dich - das ist aber keine normale pppoe-DSL Konfiguration.
  • hi,

    deine lösung m.fischer hört sich gut an, da ich das ganze aber zu hause betreiben möchte, ist das denke ich einwenig oversized.

    Ich habe mittlerweile versucht einfach das VLAN auf dem Wirt zu generieren und die Astaro nur noch die PPPoE Verbindung zu machen, klappt auch nicht. 
    Im VMWare Forum gibt es keinen der eine Astaro hat, zumindest hat da niemand geantwortet.
    Dort wurde ich hingewiesen den NW Treiber für die VM zu ändern. Hat ausser das die Astaro gar nicht mehr erreichbar war nichts gebracht.
    War gestern so genervt davon das ich die Astaro Nativ auf dem Atom installiert habe, das läuft wenigstens vernüftig. VDSL geht mit der 7.4 auch super, hacken setzten und schon ist man im Internet.

    Wäre halt schön gewesen, auch wenn es aus Sicherheitsaspekten nicht der bringer ist, was ich durchaus verstehen kann, aber aus mangel an finanzen würde ich doch gerne ein system nehmen. Was anscheindend ja leider nicht geht.

    Gruß

    Felix
  • Hi,

    dass es mit VMWare geht, haben schon einige hier gezeigt.

    Ich hatte es sowohl mit VMServer 1 und 2 laufen und bin vor kurzem auf ESXi4.0 umgestiegen.
    (Immer Home-Version zu Testzwecken ;-) )

    Die drei NICs meines Servers habe ich im Bridgemode (siehe Bild) und dann in der ASG das externe Interface ganz normal mit PPPoE genutzt.
    Ich habe schon mehrfach Backups von realen Maschinen und Virtuellen Maschinen hin und her getauscht, ohne die gringsten Probleme.

    Ich hoffe, es hilft Dir ein bisschen über den Frust.
  • Hi Walter,

    die vmnic1 macht bei Dir dann pppoe ? Was für NICs hast Du im Einsatz (Marke) ? Was für ein DSL-Modem nutzt Du ?

    grüße
    michael
  • Schön für Dich - das ist aber keine normale pppoe-DSL Konfiguration.


    Sorry, war etwas ungenau:

    Ein virtueller Switch, auf dem folgende Interfaces der Astaro (jedes in einem eigenen VLAN) liegen: Intern, DMZ1 bis DMZ1 bis DMZ5. Dieser virtuelle Switch wird über einen physikalischen Port des ESXi-Servers per VLAN-Trunk an einen externen Switch geführt, um extern an die jeweiligen ASG-Interfaces ran zu kommen.

    Ein zweiter virtueller Switch, auf dem lediglich das Extern/PPPoE-Interface der Astaro liegt. Hier gibt es keine VLAN-Konfig, das einzigste Interface der Astaro wird über den virtuellen Switch direkt an einen zweiten, physikalischen Netzwerkport des ESXi-Servers geleitet und von dort direkt mit dem DSL-Modem verbunden.

    Ein dritter virtueller Switch, der keine Verbindung zu einem physikalischen Netzwerkport des ESXi-Servers hat, da hier nur das Sync-Interface von zwei virtuellen Astaro-VMs für die Cluster-Kommunikation liegen. Hier kommunizieren zwei virtuelle Maschinen direkt ohne VLAN-Konfig auf dem virtuellen Switch.

    Und genau dies ist als PPPoE-Konfig völlig normal, ein Interface ohne VLAN-Konfig in der Astaro, ein virtueller Switch, der neben dieser Verbindung keine weiteren gebunden hat und ein physikalischer Netzwerkport des ESXi-Servers, der direkt mit dem DSL-Modem verbunden ist.

    Und das geht, solange es sich nicht um VDSL handelt. VDSL konnte ich bis jetzt nicht testen, gibt es hier auf dem Dorf leider nicht ;-)

    MfG
    Manuel
  • Hallo Michael,

    damit ich ESXi verwenden konnte, musste ich mir einen neuen Server leisten, denn VMWare ist da sehr eingeschränkt. Es ist ein HP Proliant ML110T05 mit einer internen NIC und zwei HP NC110T Gigabit NICs.
    Vorher hatte ich einen alten Dell mit drei Realtec NICs. Darauf lief Ubuntu 8.04 mit VMServer 2.0. Bei meinen vielen Testmaschinen wurde es aber dann sehr zäh.

    Als Modem habe ich einen Teledat 331. Es lief aber auch schon mit einem Speedport 200. Noch nicht probiert habe ich es mit einem Speedport 701 und PPPoE-Passthrough.
  • hi,

    deine lösung m.fischer hört sich gut an, da ich das ganze aber zu hause betreiben möchte, ist das denke ich einwenig oversized.



    Was heißt hier oversized, ich betreibe das ganze auch Zuhause :-)

    Der ESXi-Server ist ein gebrauchter Lenovo-PC von ebay (M57 irgendwas, sehr klein, sehr leise, stromsparend). Dazu eine Intel-Gigabit-Netzwerkkarte und zwei 4 GByte-DDR2-RAMs, ebenfalls von ebay. Gesamtkosten unter 200 EUR. Ist ein Core2Duo mit 2,33 GHz und 8 GByte RAM, dazu eine 250 GByte Festplatte.

    Hat erstaunlicherweise keinerlei Probleme mit fünf parallel laufenden VMs (Astaro 2x, ACC, Mailserver, Windows Vista). Auf die zweite Astaro verzichte ich wahrscheinlich wieder, da der RAM sonst für eine Asterisk-VM zu knapp wird. Sobald ich den VMs mehr RAM zugewiesen habe als dem ESXi zur Verfügung stehen, wird das alles recht zäh. Aber solange der RAM nicht "überbucht" wurde, ist die ganze Sache _richtig_ flott!

    MfG
    Manuel
  • hi,

    deine lösung m.fischer hört sich gut an, da ich das ganze aber zu hause betreiben möchte, ist das denke ich einwenig oversized.



    Was heißt hier oversized, ich betreibe das ganze auch Zuhause :-)

    Der ESXi-Server ist ein gebrauchter Lenovo-PC von ebay (M57 irgendwas, sehr klein, sehr leise, stromsparend). Dazu eine Intel-Gigabit-Netzwerkkarte und zwei 4 GByte-DDR2-RAMs, ebenfalls von ebay. Gesamtkosten unter 200 EUR. Ist ein Core2Duo mit 2,33 GHz und 8 GByte RAM, dazu eine 250 GByte Festplatte.

    Hat erstaunlicherweise keinerlei Probleme mit fünf parallel laufenden VMs (Astaro 2x, ACC, Mailserver, Windows Vista). Auf die zweite Astaro verzichte ich wahrscheinlich wieder, da der RAM sonst für eine Asterisk-VM zu knapp wird. Sobald ich den VMs mehr RAM zugewiesen habe als dem ESXi zur Verfügung stehen, wird das alles recht zäh. Aber solange der RAM nicht "überbucht" wurde, ist die ganze Sache _richtig_ flott!

    MfG
    Manuel
  • Vielleicht bin ich auch unfähig - werde mir meine vmxi Konfiguration nochmal anschauen und ggf paar Screenshots posten. An der Dual-Intel 100 MBit NIC könnte es auch liegen ... Mal schauen. Danke für die bisherigen Hinweise!