Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

VM's scheiden van elkaar in VMWare

Pagina: 1
Acties:

woensdag 19 december 2012 02:05

Acties:

Verwijderd

Topicstarter
Ik heb een VMWare omgeving, met meerdere VM's
nu wil ik voorkomen dat de VM's elkaar zien. (bijv. middels een ip scan)
Ofwel de VM moet elk een eigen omgeving zijn.

Ook wil ik dit buiten de VM regelen en niet vanuit de VM.
Ik heb al zitten kijken naar VLAN's, echter is dit nogal complex.
Daarbij moet ik dan de netwerkkaart in de VM het juiste VLAN ID geven,
dit doe ik liever niet. (dus ik wil het ook niet met de firwall in de VM regelen)

Er zou eigenlijk een soort firwall om de VM heen moeten zitten.
Zijn hier oplossingen voor?

woensdag 19 december 2012 02:13

Acties:
  • Eagle Creek
  • Registratie: Oktober 2002
  • Laatst online: 17:04

Eagle Creek

Breathing security

Daarbij moet ik dan de netwerkkaart in de VM het juiste VLAN ID geven,
dit doe ik liever niet. (dus ik wil het ook niet met de firwall in de VM regelen)
Kun je aangeven waarom je dat niet wilt? Het is namelijk een effectieve oplossing. Je kunt de firewall ín de VM configureren maar dat wil je niet. Werk je met een virtuele switch (waar je de VM's op aansluit) dan gebruik je VLAN's om te scheiden.

Wat is je uiteindelijke doel? Het scheiden klinkt als een middel maar wat is het doel?
Moeten de VM's wel naar buiten kunnen kletsen? Anders haal je het netwerkcomponent eruit bijvoorbeeld.

[ Voor 9% gewijzigd door Eagle Creek op 19-12-2012 02:14 ]

~ Information security professional & enthousiast ~ EC Twitter ~

woensdag 19 december 2012 07:49

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:27

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Welk produkt van vmware praten we over? VMWare workstation, ESX/VSphere, etc..
Verwijderd schreef op woensdag 19 december 2012 @ 02:05:
Ook wil ik dit buiten de VM regelen en niet vanuit de VM.
Ik heb al zitten kijken naar VLAN's, echter is dit nogal complex.
Daarbij moet ik dan de netwerkkaart in de VM het juiste VLAN ID geven,
dit doe ik liever niet. (dus ik wil het ook niet met de firwall in de VM regelen)
Nergens voor nodig om dit om die manier te regelen:

VLAN configuration on virtual switches, physical switches, and virtual machines

Als je het buiten je VM wilt regelen, heb je twee opties:
  1. External Switch Tagging (EST)
  2. Virtual Switch Tagging (VST)
Waarbij de tweede optie de meest voorkomende is.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 19 december 2012 07:53

Acties:
  • barry457
  • Registratie: December 2005
  • Laatst online: 12-11 13:43

barry457

Question Mark schreef op woensdag 19 december 2012 @ 07:49:

Als je het buiten je VM wilt regelen, heb je twee opties:
  1. External Switch Tagging (EST)
  2. Virtual Switch Tagging (VST)
Waarbij de tweede optie de meest voorkomende is.
Zoals onze MOD al aangeeft..

donderdag 27 december 2012 22:06

Acties:

Verwijderd

Topicstarter
Hoi Mark,

Dit had ik ook op deze manier gedaan.
Echter heb ik dan via de VM geen internetconnectie.
Ik heb een vLAN ID 10 gemaakt, echter moet de VM mijn router
in het normale netwerk aanspreken voor internettoegang. (fysieke router)
Ik wil de seperate VM 192.168.10.100 geven terwijl de rest van het netwerk in 192.168.1.x zit.

Ik wil graag voorkomen dat ik voor alle VM's ook een aparte VM ID in de switches en routers moet maken.

Ik draai overigens VMWare vSphere 5.1 (vCenter)

[ Voor 7% gewijzigd door Verwijderd op 28-12-2012 01:18 ]

vrijdag 28 december 2012 09:19

Acties:
  • Oid
  • Registratie: November 2002
  • Niet online

Oid

pfsense of andere linux router er tussen en dan die laten natten naar de echte router

je hebt vlans nodig, kan niet anders, en dan je je vlans ook nog firewallen.

vrijdag 28 december 2012 09:45

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:27

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op donderdag 27 december 2012 @ 22:06:
Ik wil graag voorkomen dat ik voor alle VM's ook een aparte VM ID in de switches en routers moet maken.
Je ontkomt er niet aan om verschillende vlan's te gaan gebruiken. Da's de enige optie om netwerkverkeer te scheiden.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 28 december 2012 13:04

Acties:
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 25-11 13:15

ebia

Waarom zo ingewikkeld? Als beide VM's gewoon in een ander subnet zitten kunnen ze toch sowieso al geen contact krijgen met elkaar? Wil je echt 100% scheiding van dataverkeer, dan kun je ze ook nog eens op een afzonderlijke vSwitch aansluiten. Klaar is kees, geen gedoe met FW's en VLAN's, nergens voor nodig lijkt me.

vrijdag 28 december 2012 13:10

Acties:
  • TeH_oNe
  • Registratie: Oktober 2001
  • Laatst online: 15-06-2024

TeH_oNe

YEAH RIGHT

mogelijke optie is om 2 fysieke netwerkkaarten te gebruiken in je server.

dus :

machine1 - vswitch1 - fysieke netwerkkaart1- router ( vm in ip range 1 zetten )
machine2- vswitch2 - fysieke netwerkkaart2 - router ( vm in ip range 2 zetten )

Zorg ervoor op de router dat de 2 subnetten niet naar elkaar gerouteerd worden.

what?

vrijdag 28 december 2012 13:11

Acties:
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 25-11 13:15

ebia

TeH_oNe schreef op vrijdag 28 december 2012 @ 13:10:
mogelijke optie is om 2 fysieke netwerkkaarten te gebruiken in je server.
Sterker nog, als je bijvoorbeeld een router distro als pfSense virtueel gaat gebruiken, en gaat uitvoeren met 2 virtual nic's, met daaraan die 2 vswitches, dan heb je niet eens 2 fysieke kaarten nodig.... (Ja, uiteindelijk wel als je er ook een fysiek LAN aan wilt hangen natuurlijk).

Zie bijvoorbeeld http://doc.pfsense.org/index.php/PfSense_2_on_VMware_ESXi_5

[ Voor 21% gewijzigd door ebia op 28-12-2012 13:22 ]

vrijdag 28 december 2012 14:40

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:27

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

ebia schreef op vrijdag 28 december 2012 @ 13:04:
Waarom zo ingewikkeld? Als beide VM's gewoon in een ander subnet zitten kunnen ze toch sowieso al geen contact krijgen met elkaar? Wil je echt 100% scheiding van dataverkeer, dan kun je ze ook nog eens op een afzonderlijke vSwitch aansluiten. Klaar is kees, geen gedoe met FW's en VLAN's, nergens voor nodig lijkt me.
Als ik admin of poweruser rechten binnen de VM heb (even uitgaan van een Windows guest OS), kan ik een tweede ip aan de nic hangen en zo deze beveiliging omzeilen. Dit is dus niet de meest secure oplossing.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 28 december 2012 14:43

Acties:
  • bigfoot1942
  • Registratie: Juni 2003
  • Niet online

bigfoot1942

Doet vShield niet wat je wilt?
Overigens is dat niet gratis (uiteraard) en zou ik zelf eerder met VLANs aan de slag gaan...

vrijdag 28 december 2012 16:24

Acties:
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 25-11 13:15

ebia

Question Mark schreef op vrijdag 28 december 2012 @ 14:40:
[...]

Als ik admin of poweruser rechten binnen de VM heb (even uitgaan van een Windows guest OS), kan ik een tweede ip aan de nic hangen en zo deze beveiliging omzeilen. Dit is dus niet de meest secure oplossing.
Klopt, maar neemt niet weg dat dat een (veel) makkelijkere oplossing is, zeker voor iemand die niet weet hoe hij met VLAN's om moet gaan. Uiteindelijk zal veel afhangen van de manier waarop deze seperate VM ingezet zal worden en waarom, helaas is dat nog niet helemaal duidelijk.

Als hij die VM in wil zetten als internet-facing server dan is VLAN ook niet echt de oplossing, want dan ga je bijvoorbeeld weer voor een DMZ constructie...

Kortom, TS, geef eens wat meer info, waarom wil je dit? Wat probeer je te bereiken?

zaterdag 29 december 2012 17:37

Acties:
  • ppl
  • Registratie: Juni 2001
  • Niet online

ppl

Afgezien daarvan is het hebben van admin/power user rechten an sich al 1 van de minst veilige opties omdat je zo'n beetje cart blanche in het OS hebt. Dan ben je er met alleen VLANs ook niet tenzij het netwerk afschermen het enige security ding is die je wil toepassen.

zondag 30 december 2012 15:03

Acties:

Verwijderd

Topicstarter
Ik heb niet 2 servers, maar 5 verschillende servers welke elkaar niet mogen zien.
Het mag inderdaad ook niet mogelijk zijn dat iemand even zijn netwerkkaart een andere VLAN ID of ander IP geeft en dan zo de andere servers zou kunnen benaderen. En ik zie het ook niet echt zitten om 5 verschillende routers te configureren.

Ik heb eerst 2x een Sonicwall NSA 2400, hierna heb ik 2 HP Procurve switches, en hierachter mijn 3 VM hosts. Ofwel als ik een VM, VLAN ID 10 wil geven, dan moet ik dit ook instellen op mijn HP switches, en vervolgens op mijn Sonicwall's. Daarnaast wil ik ook nog mijn 'basis' niet VLAN netwerk behouden.
De Sonicwall kan dit zonder problemen, echter als ik op de HP switch een poortje VLAN 1, 10, 11 & 12 geef, dan werken de VLAN's perfect maar het niet VLAN netwerk niet.

Ik zat ook al te denken om in de Sonicwall aan te geven dat bijv. het IP van de server
192.168.1.100 nergens toegang tot mag hebben alleen tot het router IP.
Het zijn overigens gewoon 5 losse Windows 2008 R2 standaard servers, er draaien wat kleine tooltjes op. Ze moeten wel internet toegang hebben, maar mogen elkaar niet zien. That's all :-)

zondag 6 januari 2013 19:29

Acties:

Verwijderd

Topicstarter
Ik heb het uiteindelijk opgelost met VLAN's, het is een hoop werk, maar inderdaad de enige oplossing denk ik.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq