Toon posts:

Colocatie esx en routing

Pagina: 1
Acties:

donderdag 11 april 2013 10:08

Acties:
  • eatsoup
  • Registratie: November 2009
  • Laatst online: 08:11

eatsoup

Topicstarter
Beste Tweakers,

Ik ga een ESXi server weghangen bij Interconnect in Eindhoven, ik krijg daar standaard een /8 subnet.
Ik zat met te bedenken hoe ik het beste het netwerken kan gaan verzorgen, en hoopte een beetje op jullie input.

De ESXi server zal bestaan uit:
1x 2008 server als applicatieserver
1x ubuntu als webserver
en eventueel later uitbreidingen

Zover ik het kan bedenken heb ik een aantal opties:

-NAT
Een virtuele firewall toevoegen, en mijn andere 2 guests aan een 2e virtuele switch koppelen, en dan maar poorten doorsturen naar een private ip adres
-Direct
Elke guest een eigen publiek ip, en op de machines zelf een firewall draaien
-Routed direct?
Dit is de optie die mij het meeste trekt, maar weet niet goed hoe ik dit zou moeten instellen.
Ik denk: een virtuele router aanmaken, die het eerste bruikbare publieke ip geven, en de guests via een virtuele switch de andere guests publieke ip's geven met als gateway de virtuele router.

Hoe denken jullie hierover en wat is de stabielste / meest veilige optie?

donderdag 11 april 2013 10:32

Acties:
  • ShadowAS1
  • Registratie: September 2010
  • Laatst online: 27-11 12:16

ShadowAS1

IT Security Nerd

Je zou ook pfSense gevirtualiseerd kunnen draiien en dan kun je 1:1 NAT of VIPs gebruiken hiervoor

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

donderdag 11 april 2013 10:46

Acties:
  • Weiman
  • Registratie: September 2007
  • Laatst online: 21-09 17:46

Weiman

Geef jouw colo geeft je een publieke /8 ? Dat zijn heeuul veel IPaddressen :P

Ik denk dat PFsense gevirtualiseerd draaien het beste is omdat je dan gewoon centraal dat geregeld hebt. Wie weet kun je voor je webserver ook iets van een DMZ gaan inrichten als je dat wilt.

donderdag 11 april 2013 10:59

Acties:

Verwijderd

Weiman schreef op donderdag 11 april 2013 @ 10:46:
Geef jouw colo geeft je een publieke /8 ? Dat zijn heeuul veel IPaddressen :P

Ik denk dat PFsense gevirtualiseerd draaien het beste is omdat je dan gewoon centraal dat geregeld hebt. Wie weet kun je voor je webserver ook iets van een DMZ gaan inrichten als je dat wilt.
Vast geen publieke /8 inderdaad. Of bedoelt hij misschien een /29, hetgeen 8 adressen, waarvan 6 bruikbaar, oplevert?

Maar verder ben ik het met bovenstaande eens: Als je alles in 1 box wil doen, inderdaad een firewall appliance als pfsense draaien en die tussen je 2 (of meer) vswitches zetten.

donderdag 11 april 2013 11:53

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

eatsoup schreef op donderdag 11 april 2013 @ 10:08:
-NAT
Een virtuele firewall toevoegen, en mijn andere 2 guests aan een 2e virtuele switch koppelen, en dan maar poorten doorsturen naar een private ip adres
-Direct
Elke guest een eigen publiek ip, en op de machines zelf een firewall draaien
-Routed direct?
Dit is de optie die mij het meeste trekt, maar weet niet goed hoe ik dit zou moeten instellen.
Ik denk: een virtuele router aanmaken, die het eerste bruikbare publieke ip geven, en de guests via een virtuele switch de andere guests publieke ip's geven met als gateway de virtuele router.
NAT zou ik lekker overslaan, tenzij je windows gebruikt.

De 2e of 3e optie is afhankelijk van hoe je coloboer je ip's routeert. Als jij gewoon een /29 (neem ik even aan) op je interface moet zetten, optie 2. Als jij echter dat subnet gerouteerd krijgt via een router van jou, dan moet je optie 3 doen. Optie 2 is het meest waarschijnlijk.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 11 april 2013 13:09

Acties:
  • eatsoup
  • Registratie: November 2009
  • Laatst online: 08:11

eatsoup

Topicstarter
Goedemorgen, moet inderdaad /29 zijn... :z

Ik zou zelf het liefste met een centrale firewall werken, hoe zou ik dan de configuratie moeten doen?

iets als:
netwerk: 123.123.123.0/29

esx - vswitch0
pfsense ip:123.123.123.1 mask:255.255.255.248 gw:?

esx - vswitch1
2008server ip:123.123.123.2 mask:255.255.255.248 gw:123.123.123.1
Webserver ip:123.123.123.3 mask:255.255.255.248 gw:123.123.123.1

Of moet dan wel alles op vswitch0?

donderdag 11 april 2013 14:20

Acties:

Verwijderd

Aangezien je zelf niet hoeft te routeren (ga ik even vanuit), hoeft je firewall helemaal geen IP-adres in je eigen subnet te hebben (uitgezonderd het beheer). Je kunt de firewall in transparant mode draaien (dus op layer 2).

Even snel visueel:

Fysiek netwerk -> vswitch0 -> pfsense interface 0 / pfsense interface 1 -> vswitch1 -> servers

donderdag 11 april 2013 14:58

Acties:
  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 21-08 15:56

webfreakz.nl

el-nul-zet-é-er

Verwijderd schreef op donderdag 11 april 2013 @ 14:20:
Je kunt de firewall in transparant mode draaien (dus op layer 2).
Ik ken firewalls die in transparant modus geen IPSEC VPNs meer ondersteunen, dus dat is gezien eventuele toekomstige veranderingen niet altijd aan te bevelen.

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

donderdag 11 april 2013 15:02

Acties:
  • ItsValium
  • Registratie: Juni 2009
  • Laatst online: 30-11 15:52

ItsValium

Gebruik een virtuele pfsense met NAT 1:1 zoals al werd gezegd. Dan kan je letterlijk elk van de door je colo toegekende IP's 1 op 1 doorzetten naar een VM die dan een intern adres draait. Alle firewall rules heb je dan centraal in de interface van pfsense bijeen en ook VPN's en zo werken perfect. Zo heb ik het al jaren draaien in mijn racks in het DC.

donderdag 11 april 2013 15:56

Acties:

Verwijderd

webfreakz.nl schreef op donderdag 11 april 2013 @ 14:58:
[...]

Ik ken firewalls die in transparant modus geen IPSEC VPNs meer ondersteunen, dus dat is gezien eventuele toekomstige veranderingen niet altijd aan te bevelen.
Dat klopt. Je kunt er echter wel doorheen tunnelen. Daar is dus wel omheen te werken (nouja, eigenlijk erdoorheen).

Als je niet transparant wil werken dan zou de NAT 1:1 oplossing, die hierboven wordt aangegeven, het simpelst zijn. Het hele subnet op de outside interface van pfsense zetten en de IP's 1 op 1 naar private IP's mappen. In dat geval zou je nog wel IPSEC tunnels kunnen bouwen vanaf of naar je firewall.

[ Voor 4% gewijzigd door Verwijderd op 11-04-2013 15:57 ]

vrijdag 12 april 2013 09:53

Acties:
  • eatsoup
  • Registratie: November 2009
  • Laatst online: 08:11

eatsoup

Topicstarter
Oke dank voor jullie replies, ik kan als het goed is dit weekend mij server plaatsen, en zal eens kijken of ik er uit ga komen met dat 1op1 nat.
Mocht ik er niet uitkomen, dan zal ik me weer melden :)

donderdag 18 april 2013 22:26

Acties:
  • eatsoup
  • Registratie: November 2009
  • Laatst online: 08:11

eatsoup

Topicstarter
Ik kreeg inderdaad een standaard gw toegewezen, pfsense is ingesteld met 1-op-1 nat met strenge firewall. Esxi zelf is gefirewalled (binnen esxi) op een aantal ip's waarvan ik kan inloggen met de vsphere client.
Ook heb ik OpenVPN draaien voor het beheer van de virtuele servers, en management poort van pfsense aangepast.

Denken jullie dat dit veilig genoeg is zo, of is er een beteren optie mogelijk zonder daarbij de controle die ik nu heb te verliezen?

[ Voor 3% gewijzigd door eatsoup op 18-04-2013 22:27 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq