Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 37 subscribers
  • Views 2664 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED und vmware

sd12
Hallo zusammen

Sind Probleme bei RED (gebridged) im ESXi Umgebungen bekannt?

Ausgangslage:
- Die Astaro läuft als vMaschine auf einem ESXi.
- Das RED ist gebridged mit dem LAN - Das LAN läuft auf einem vSwitch
- FW ANY - ANY -ANY (Testweise)

Was funktioniert:
- Ich kann vom RED aus auf ALLES zugreifen, was ausserhalb des LANs ist - sogar auf Tunnels der Astaro kann ich zugreifen.

Was nicht funktioniert:
- Ich kann auf nix im LAN zugreifen (weder Ping noch tracert klappen)

Mein Partner hat die Konfig angeschaut, er sagt bei physischen installationen klappt diese Konfig...


This thread was automatically locked due to age.
  • 0
    Das ist ein Problem/Konfigurationsfehler von VMware.

    Eine Bridge nimmt immer die kleinste MAC Adresse aller Member Interfaces.
    Falls das die vom RED Device ist, stellt VMWare das LAN interface stumm, da die MAC Adresse nicht mit dem Interface übereinstimmt.

    Es gibt bei VMware Konfigurationsparamter, die erlauben, dass alle MAC Adressen verwendet werden dürfen:

    ethernet0.ignoreMACAddressConflict  = "true"
    ethernet0.checkMACAddress = "false"
    ethernet0.noForgedSrcAddr = "false"

    Siehe auch VMware community

    Schöne Grüße
     Ulrich
  • 0 in reply to da_merlin
    Hallo Ulrich

    Besten Dank für Dein Feedback.

    Alleine mit diesen Settings (ich hab diese Settings auf der Astaro VM angewandt) läuft es noch nicht.

    ethernet0.ignoreMACAddressConflict  = "true"
    ethernet0.checkMACAddress = "false"
    ethernet0.noForgedSrcAddr = "false"


    Wenn ich noch zusätzlich den Promiscuous Modus einschalte, dann klappt es.

    Allerdings hab ich dann andere Probleme (ich kann z. B. von einer VM auf die andere nicht mehr auf dem Port 80 zugreifen).

    Hast Du mir noch einen weiteren Tipp?
  • 0
    Ja alle Interfaces einer Bridge laufen immer im Promiscuous Mode laufen,
    d.h. das muss auch noch erlaubt sein.

    Wenn du Promiscuous Mode anschaltest, können VMs sicht nicht mehr erreichen?
    Geht der Traffic durch die ASG?
  • 0 in reply to da_merlin

    Wenn du Promiscuous Mode anschaltest, können VMs sicht nicht mehr erreichen?
    Geht der Traffic durch die ASG?


    Ich hab unten ein Screenshot angehängt...
    ...Sobald ich Promiscuous einschalte erlaube (egal ob auf dem ganzen vSwitch oder nur auf der Portgruppe) kann ich mit dem vServer (siehe Screenshot) nicht mehr auf ne Website (IE im Hintergrund) eines andern vServer  zugreifen, obwohl dieser pingbar ist.

    Aufgrund des tracert's würd ich schon sagen, dass der Traffic durch die ASG geht...
  • 0
    Besteht die Bridge nur aus einem LAN und REDs oder aus mehreren LAN interfaces?

    Ist ein transparenter HTTP Proxy in der VMWare aktiv? Wenn ja, sind die anderen
    VMWare Instanzen in der Allowed Networks liste ?
Unfiltered HTML