VM's extern benaderbaar maken zonder domein IP's

Je wilt van buitenaf naar binnen toe connecteren in een NAT?
Het eerste dat in mij opkomt is verschillende poorten gebruiken en dan één IP delen.

Dus 10.0.0.1:3389, 10.0.0.1:3390, 10.0.0.1:3391, etc..

Een andere truc zal een gateway zijn die zich in het NAT-netwerk bevindt, connecteren met het externe IP van de gateway en dan doorlussen. Maar hoe je dat opzet weet ik niet .

[ Voor 30% gewijzigd door Eagle Creek op 07-04-2014 20:32 ]

Huh watte?

Volgens mij maak je het veel moeilijker dan het is?

Even ervanuitgaande (want zo begrijp ik je verhaal) dat je een eigen LAN subnet opzet met alle VM's (zeg subnet 192.168.0.0/24) en een bestaand LAN hebt met een ander subnet (zeg 10.0.0.0/24).

10.0.0.x zal een core router hebben. (dat heeft elk netwerk nu eenmaal).

Zet dan op je hypervisor (of dat nu vmware, hyper-v of virtualbox is) een VM op (bijvoorbeeld pfsense, maar ISA of TMG kan ook) die met 1 pootje in het bestaande subnet hangt (bijvoorbeeld 10.0.0.50) en met zijn andere pootje in het virtuele subnet (bijvoorbeeld 192.168.0.1).

Op de core router van het 10.0.0.x subnet zet je een static route op die alle request naar 192.168.0.0/25 doorstuurt naar 10.0.0.50. Voor het virtuele subnet is 192.168.0.1 de core router.

Op het moment dat iemand op het 10.0.0.x subnet "zoekt" naar 192.168.0.x zegt je core router: "Hey, dat weet ik, dat is statisch. Ga jij maar lekker bij 10.0.0.50 zoeken). 10.0.0.50 zegt dan "Hey, jij zoekt 192.168.0.4? Dat is aan de andere kant van het muurtje, veel plezier."

Afhankelijk van je inrichting kun je 10.0.0.50 alles laten doorlaten, maar bijvoorbeeld ook gewoon alleen poort 80 of alleen port 3389. Of gewoon een mix..

/edit
En wellicht maak ik het weer moeilijker dan het is, want misschien kan die hele pfsense taak wel afgehandeld worden door je hypervisor, maar dat weet ik niet zeker.

[ Voor 27% gewijzigd door FreakNL op 07-04-2014 20:41 ]

Heb je de handleiding van Virtualbox al bekeken? Kijk anders even naar hoofstuk 6 paragraaf 3.1 Configuring port forwarding with NAT: http://download.virtualbox.org/virtualbox/UserManual.pdf. Volgens mij is dit wat je zoekt: https://www.virtualbox.org/manual/ch06.html#network_nat

[ Voor 11% gewijzigd door Jorick op 07-04-2014 20:48 ]

extra linux vm bak hosten, 2 netwerk adapters, 1x bridged, 1x internal, zelfde netwerk als die andere bakken.
intern naar bridged natten zodat ze resources op jouw netwerk kunnen bereiken.
bridged adapter zoveel ip addressen geven als VM's je draait en port forwarding doen naar elke bak vanaf een indivueel ip naar elke bak (desnoods alle poorten, NAT je zeg maar andere kant op).
Is geen sjieke oplossing, maar wel meest werkbare.

The Eagle schreef op maandag 07 april 2014 @ 22:56:
Even wat achtergrondinfo:
Het domein waar het spul in komt (en de fisieke servers al in hangen) is niet zomaar een netwerk, maar een enterprise netwerk over meerdere landen met meerdere windows domeinen. Dus "even" de core router updaten...ik geloof niet dat hem dat gaat worden

Ik beheer, zij het op net iets kleinere schaal, ook een enterprise netwerk. Laat ik het zo stellen: Wij worden niet vrolijk als mensen zelf gaan hobbyen

Dat gehobby kan van uitermate professionele kwaliteit zijn maar zodra je Systeem- & Netwerkbeheer "out of the loop" houdt dan zou zomaar ineens een netwerkpoortje op de switch disabled kunnen worden als daar allemaal 'rommel' (als het dat is... we moeten er eerst achter komen, en dat is meestal omdat er iets mis gaat ) vandaan komt.

Als je ons bij je project betrekt (en het daadwerkelijk werkgerelateerd is. Als het dat niet is hebben we leidinggevenden, HRM en Legal om daar tegen op te treden ) dan krijg je zomaar de rackspace, server grade netwerkverbindingen en IP-adressen die je nodig hebt Die 2008-machine, heeft die een UPS? Redundant netwerk? Gekoelde ruimte? Fysieke (toegangs)beveiliging? Een machine met zo'n taak WIL je niet eens onder je bureau hebben staan lijkt me

Mijn verzoek is dus: Speel het via de IT-afdeling Nu is natuurlijk de mentaliteit en behulpzaamheid is ieder bedrijf anders, maar dat is de groep mensen die zo'n opstelling kunnen maken of breken. Als ze NIET meewerken kun je nog proberen managers aan jouw kant te krijgen en het hogerop te spelen.

Als dat allemaal niet lukt dan zit er weinig anders op dan alternatieve methodes te verzinnen. Als je geen extra IP-adressen krijgt (of zelfs een eigen VLAN) en je ook geen static route dan blijkft er weinig anders over dan NAT.

Razwer: Ik denk niet dat 'bridged' betekent wat jij denkt dat het betekent? Sowieso, als je 'zoveel ip addressen [..] als VM's je draait' hebt, waarom zou je dan nog NATten? Knoop je fysieke netwerk aan je virtuele zonder enige vorm van address translation of routering (oftewel: bridgen) en geef je VM's direct die adressen...

Paul schreef op dinsdag 08 april 2014 @ 08:01:
[...]
Razwer: Ik denk niet dat 'bridged' betekent wat jij denkt dat het betekent? Sowieso, als je 'zoveel ip addressen [..] als VM's je draait' hebt, waarom zou je dan nog NATten? Knoop je fysieke netwerk aan je virtuele zonder enige vorm van address translation of routering (oftewel: bridgen) en geef je VM's direct die adressen...

Het nadeel is dan wel dat ze ook resources direct kunnen benaderen op je lokale lan (mits firewalling dat toe staat). Als het kloon bakken zijn van productie kan dat eventuele resources (bijvoorbeeld database servers) schaden. Vandaar het NAT-en.

NAT is geen security-measure en dan nog NAT je nu zo te zien de verkeerde kant op en kan men nog steeds overal bij

Het zijn klonen van elkaar, ik zie nergens dat het klonen van iets in productie zijn Dan nog is NAT of een perifere firewall niet de plek om een foutieve config in je servers tegen te gaan.

Ik dacht gelijk aan http://technet.microsoft....ry/dd560672(v=ws.10).aspx echter zie ik dat je 2008 draait. Wellicht behoort een update tot de mogelijkheden? Trek hem naar 2008R2 toe.

wat moet je met een rdgateway naar linux machines toe?

@Paul, NAT is idd geen security maar een gateway iets. Een oplossing die best geschikt is voor zoiets als dit. Verder ben ik het met je eens met het lange verhaal wat je eerder schreef.

[ Voor 18% gewijzigd door Razwer op 08-04-2014 10:25 ]

Wat is jouw functie hier dan in?

Als IT in de loop zit, kun je toch gewoon je functionele verzoek neerleggen (VM's toegang geven tot domain-resources of iets dergelijks), en laat IT dan maar een supported oplossing verzinnen?

Of ben ik weer te kort door de bocht?

The Eagle schreef op dinsdag 08 april 2014 @ 10:35:
... Nou moeten die Indiers eigenlijk gewoon niet denken en doen wat zeg gevraagd wordt, maar toch...

Die Indiërs moeten jou behoeden voor het maken van fouten die het hele enterprise netwerk onderuit kunnen halen. Voor zover ik het kan bekijken, doen ze hun werk goed (nofi)

OTOH, je weet dat je voor NAT niet persé dezelfde portnummers hoeft te gebruiken?
Dus je kunt op de server (10.0.0.1) zoiets doen:
10.0.0.1:4001 -> 192.168.0.1:3389
10.0.0.1:4002 -> 192.168.0.2:3389
..
10.0.0.1:4254 -> 192.168.0.254:3389
Waarbij 192.168.0.x dus je VM's zijn

[ Voor 3% gewijzigd door Brahiewahiewa op 08-04-2014 14:49 ]

The Eagle schreef op dinsdag 08 april 2014 @ 16:18:
Dat zou op zich een mogelijkheid zijn, ware het niet dat ik nu al weet dat dat aan de clientkant wat issues gaat geven. Onze functionele mensen gaan dat niet heel erg snappen namelijk

Als jij icoontjes uitrolt voor de verschillende servers, met het juiste IP-adres en port number, dan kan er aan de client side weinig misgaan, dunkt mij.
Maar een aparte IP-range is beter