Ik ben bezig om een VMWare test server in te richten, deze server heeft de beschikking over 2x gigabit netwerkkaart (excl iLo althans). Op de server heb ik VMWare Server draaien, dit als test voordat we ESX gaan aanschaffen.
Ik probeer nou met RRAS een dubbele router te bouwen met NAT. Zodat ik de volgende configuratie krijg, denk hierbij aan het feit dat ik ook 2 "virtuele netwerkkaarten" heb binnen mijn VMWare omgeving.
Ik heb momumenteel de volgende IP configuratie:
Nou wil ik TWEE NAT systemen opbouwen, zodat ik slechts 2 IP adressen nodig heb aan de buitenkant van de server. De binnenkant moet werken dmv een NAT van RRAS. Over de NAT wil ik poortjes forwarden naar de interne servers die aan het zelfde netwerk hangen (bv: dmz:80 -> dmz-vmnet -> 10.0.11.2:80, etc).
Nou loop ik tegen het probleem aan dat ik de inbound en outbound filters op de kaarten niet goed ingesteld krijg, waardoor je vanaf DMZ-VMNET naar de LAN netwerkkaart toe kan, en dan het LAN op kan komen. Enzovoort enzoverder, de configuratie lukt mij in ieder geval niet goed genoeg om 2 totaal los staande NAT systemen te krijgen, die niet bij elkaar kunnen komen.
De huidige RRAS configuratie:
Het DMZ verhaal werkt dan goed, zoals het zou moeten werken, als ik een VMWare bak in de VLAN-DMZ hang, dan komt hij via mijn NAT systeem naar buiten toe, zoals ik wil.
Voeg ik bij NAT/Basic firewall nou mijn Real-LAN en VMNET-LAN toe, dan gaat het goed mis (qua security). Je kan nou vanaf de VMNET-DMZ naar de Real-LAN nic, en andersom. Qua security is mijn hele idee weg, ik wil 2 LOSSE netwerken hebben, geen koppeling eigenlijk.
Nou dacht ik om inbound / outbound filters aan te maken, die geconfigureerd zijn op het subnet waar de desbetreffende kaarten in hangen, maar dit krijg ik niet goed voor elkaar.
/me is dus geen netwerkkenner, ik kan wel "wat" doen, maar op dit niveau instellingen verzorgen
Zit ik met mijn gedachten op de goeie weg, dus de beveiliging en route's tussen de IF's uitschakelen dmv een in/outbound filter, of moet ik dit anders doen? En welke regels moet ik dan aanmaken binnen zo'n filter?
Ik heb heel wat dingen geprobeerd, inbound filters adhv source, destenation, enzovoort. Outboundfilters op zelfde manier, dingen omdraaien. Testen testen en nog meer testen, maar ik krijg het niet voor elkaar om de filters zo in gesteld te krijgen dat je vanaf het DMZ niet m'n lan in kan.
Nou heb ik de IF's van het LAN maar verwijderd, het DMZ gedeelte werkt dan wel, en ik kan tijdelijk vooruit.
De vraag: Kan iemand mij tips geven hoe ik dit moet oplossen? Of ik in de goeie richting zoek (met m'n filters), enzovoort.
/me hoopt dat het verhaal een beetje duidelijk is.
Ik probeer nou met RRAS een dubbele router te bouwen met NAT. Zodat ik de volgende configuratie krijg, denk hierbij aan het feit dat ik ook 2 "virtuele netwerkkaarten" heb binnen mijn VMWare omgeving.
Ik heb momumenteel de volgende IP configuratie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| IF: DMZ IP: 10.0.10.3 SUB: 255.255.255.240 GATE: 10.0.10.2 IF: LAN IP: 10.0.100.3 SUB: 255.255.255.0 IF: DMZ-VMNET-2 IP: 10.0.11.1 SUB: 255.255.255.0 IF: LAN-VMNET-3 IP: 10.0.101.1 SUB: 255.255.255.0 |
Nou wil ik TWEE NAT systemen opbouwen, zodat ik slechts 2 IP adressen nodig heb aan de buitenkant van de server. De binnenkant moet werken dmv een NAT van RRAS. Over de NAT wil ik poortjes forwarden naar de interne servers die aan het zelfde netwerk hangen (bv: dmz:80 -> dmz-vmnet -> 10.0.11.2:80, etc).
Nou loop ik tegen het probleem aan dat ik de inbound en outbound filters op de kaarten niet goed ingesteld krijg, waardoor je vanaf DMZ-VMNET naar de LAN netwerkkaart toe kan, en dan het LAN op kan komen. Enzovoort enzoverder, de configuratie lukt mij in ieder geval niet goed genoeg om 2 totaal los staande NAT systemen te krijgen, die niet bij elkaar kunnen komen.
De huidige RRAS configuratie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| IP Routing/IGMP IF: VMWare-VLAN-DMZ Protocol: Router V3 State: Querier Querier address: 10.0.11.1 IF: Real-DMZ Protocol: Proxy State: Up Querier adress: 0.0.0.0 NAT/Basic firewall: IF: VMWare-VLAN-DMZ IF Type: private IF connected to private network IF: Real-DMZ IF Type: public IF connected to internet NAT + Firewall enabled. Portforwardings gemaakt onder "services and ports". |
Het DMZ verhaal werkt dan goed, zoals het zou moeten werken, als ik een VMWare bak in de VLAN-DMZ hang, dan komt hij via mijn NAT systeem naar buiten toe, zoals ik wil.
Voeg ik bij NAT/Basic firewall nou mijn Real-LAN en VMNET-LAN toe, dan gaat het goed mis (qua security). Je kan nou vanaf de VMNET-DMZ naar de Real-LAN nic, en andersom. Qua security is mijn hele idee weg, ik wil 2 LOSSE netwerken hebben, geen koppeling eigenlijk.
Nou dacht ik om inbound / outbound filters aan te maken, die geconfigureerd zijn op het subnet waar de desbetreffende kaarten in hangen, maar dit krijg ik niet goed voor elkaar.
/me is dus geen netwerkkenner, ik kan wel "wat" doen, maar op dit niveau instellingen verzorgen
Zit ik met mijn gedachten op de goeie weg, dus de beveiliging en route's tussen de IF's uitschakelen dmv een in/outbound filter, of moet ik dit anders doen? En welke regels moet ik dan aanmaken binnen zo'n filter?
Ik heb heel wat dingen geprobeerd, inbound filters adhv source, destenation, enzovoort. Outboundfilters op zelfde manier, dingen omdraaien. Testen testen en nog meer testen, maar ik krijg het niet voor elkaar om de filters zo in gesteld te krijgen dat je vanaf het DMZ niet m'n lan in kan.
Nou heb ik de IF's van het LAN maar verwijderd, het DMZ gedeelte werkt dan wel, en ik kan tijdelijk vooruit.
De vraag: Kan iemand mij tips geven hoe ik dit moet oplossen? Of ik in de goeie richting zoek (met m'n filters), enzovoort.
/me hoopt dat het verhaal een beetje duidelijk is.
:strip_exif()/u/24090/hekje.gif?f=community)
:strip_icc():strip_exif()/u/69009/eend.jpg?f=community)
.
:strip_exif()/u/58872/heineken.gif?f=community)
