geisoleerd netwerk in ESXi 5 host

dinsdag 12 januari 2016 02:49

Acties:

Verwijderd

Topicstarter

Ik heb een shared ESXi server. Hier draaien test machines op en er is een verbinding met het corporate network via een virtual switch, verbonden aan een aantal fysieke interfaces.

Nu wil ik een test omgeving maken voor security met de VM van Metasploitable en wat test clients.

Die test clients en de Metasploitable VM moeten geisoleerd blijven van het corporate network, maar de gebruikers moeten wel via RDP bij de test clients kunnen komen. Is dit te doen zonder fysieke of virtuale firewall blocks, dus puur en alleen via ESXi virtual switch / LAN?

Het lijkt mij persoonlijk niet, maar ik ben geen VMWare wizard en ik kan iets over het hoofd zien...

dinsdag 12 januari 2016 09:08

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Nee, de default Vswitch in VSphere is een L2 switch. Je kunt daarmee alleen onderscheid maken tussen vlan's, maar geen vlan's onderling gaan routeren (al dan niet met bepaalde rules).

Je zult dus een extra oplossing moeten gaan implementeren, of gebruik gaan maken van bestaande netwerkdevices in je omgeving.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 12 januari 2016 15:30

Acties:

A_De2

Liberate tuteme ex inferis

Je kunt het omzeilen door een 2e vmswitch aan te maken die geïsoleerd is van de rest van de wereld. Daarna maak je een management vm die 2 vmnics heeft, eentje in het geïsoleerde netwerk en eentje in de productie netwerk. Op die vm configureer je de firewall dat alleen rdp verkeer naar het geïsoleerde netwerk is toegestaan.

Vanaf je productienetwerk kun je dus die management vm gebruiken als "stepping stone". (default max 2 concurrent sessions). Niet volledig gescheiden maar werkt wel

640KB should be enough for everyone

woensdag 13 januari 2016 10:01

Acties:

Yarisken

A_De2 schreef op dinsdag 12 januari 2016 @ 15:30:
Je kunt het omzeilen door een 2e vmswitch aan te maken die geïsoleerd is van de rest van de wereld. Daarna maak je een management vm die 2 vmnics heeft, eentje in het geïsoleerde netwerk en eentje in de productie netwerk. Op die vm configureer je de firewall dat alleen rdp verkeer naar het geïsoleerde netwerk is toegestaan.

Vanaf je productienetwerk kun je dus die management vm gebruiken als "stepping stone". (default max 2 concurrent sessions). Niet volledig gescheiden maar werkt wel

Wij doen het hier net zoals jij beschrijft. Werkt super.
Als TS wel mensen heeft die rechtstreeks via rdp moeten connecten dan gaat het wel niet lukken :-).

woensdag 13 januari 2016 10:03

Acties:

Glashelder

Anti Android

Dat gaat wel lukken met dubbel-NAT hoor. Werkt hier al jaren prima

edit @ hieronder: ik lees niet helemaal goed zie ik. Wat mijn voorganger bedoeld is gewoon een Windows machine die in beide netwerken zit. Wat ik dacht te lezen is een firewall tussen beide netwerken

. Als je dan dubbel NAT doet dan je zoveel poortjes forwarden als je wilt

[ Voor 67% gewijzigd door Glashelder op 13-01-2016 10:10 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

woensdag 13 januari 2016 10:07

Acties:

Yarisken

Glashelder schreef op woensdag 13 januari 2016 @ 10:03:
Dat gaat wel lukken met dubbel-NAT hoor. Werkt hier al jaren prima

Idd maar de TS vroeg of het kon zonder firewall :-)

woensdag 13 januari 2016 10:10

Acties:

garriej

Ik las ondertieten.

Yarisken schreef op woensdag 13 januari 2016 @ 10:07:
[...]

Idd maar de TS vroeg of het kon zonder firewall :-)

En sinds wanneer is NAT een firewall?

woensdag 13 januari 2016 10:12

Acties:

Glashelder

Anti Android

Het was mijn fout, niet die van Yarisken.

Blijft wel staan dat de oplossing met firewall in mijn ogen beter is

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

Vraag

Alle reacties