ESXi / Hetzner / Mehrere öffentliche IP´s und Subnetz
-
Nö :) Erstelle einen neuen VMKernel und hänge den einfach an einem internen VSwitch von einem VLAN an. Danach die entsprechenden Firewallregeln um vom VPN Transfernetz zu diesem VLAN zu können und gut. Auf der ESXi console habe ich lediglich das Management Network abgeschaltet, danach gibt der ESX auf die IP auch keine Antwort mehr, kann aber über die Console wieder reaktiviert werden ohne große Rumkonfiguriererei. Der VMKernel hat an der Stelle nichts mit der Erreichbarkeit der Systeme zu tun.
Da steig ich leider aus :(
Achso….dH einfach ein Ticket an Hetzner dass die mein Subnetz auf die öffentliche IP der Router-VM routen sollen??
Jup. Siehe http://wiki.hetzner.de/index.php/VMware_ESXi
Zitat: "Für die Nutzung eines Subnetzes (sowohl für IPv4 als auch IPv6) unter ESXi benötigt man mindestens eine zusätzliche IP für eine Router-VM, da ESXi selbst nicht routen kann. Bei der Bestellung des Subnetz sollte angeben werden, daß ESXi verwendet wird und darum bitten dieses auf die zusätzlichen IP-Adresse zu routen."
Das "angeben bei Bestellung" kannst du mit einem Support Ticket damit nachholen.Subnetz wurde geroutet.
Ich möchte dir bis hier her schon mal danken…..so Menschen wie du braucht man öfters mal bei dringender Hilfe!
Normalerweise verlange ich dafür auch nen Consulting Stundensatz als Freiberufler ;DAber nachdem mich schon der ein oder andere hier im Forum dafür dankend angeschrieben hat, bin ich am Überlegen, ob ich meinen Amazon-Reflink in meine Signatur poste, dann darf mir gerne jemand einen Gefallen tun und vor sein Shopping (so er Amazon nutzt) auf den Link klicken, dann bekomme ich dafür wenigstens ein paar Cent als Einkaufsgutschein :)
Viele Grüße und schöne Feiertage
JensGerne!! Kaufe öfters bei Amazon…wenn ich dir damit was gutes tun kann! Einfach her damit.
Dir auch schöne Feiertage und einen guten Rutsch.
lg
-
Da steig ich leider aus :(
Einfach im Vcenter Client einen neuen VMKernel für Mgmt erstellen (wird dann vmk1). Diesen auf eine interne IP setzen und diese via VPN erreichbar machen.
Subnetz wurde geroutet.
Und klappt es?
Gerne!! Kaufe öfters bei Amazon…wenn ich dir damit was gutes tun kann! Einfach her damit.
Bspw.: http://amzn.to/1A0dnl8
Ich habe den Link auch als meine "Webseite" im Profil eingebaut (die kleine Weltkugel unter meinem Profil links), wer also mal jemand zu Weihnachten o.ä. mir etwas gutes tun möchte um sich zu bedanken, kann gerne über den Link zu Amazon gehen und was einkaufen, es muss auch nichts aus der ComputerEcke sein. Und nein, damit wird man nicht reich ;) Man bekommt zwischen 2-6% vom Netto-EK (nicht dem VK den der Benutzer zahlt), insofern ist es nicht die Welt und für euch ists kein Nachteil (ihr bezahlt ja nicht mehr dadurch). Insofern gönnt ihr einfach nur jemand anderem ein paar Euro mit eurem Einkauf.Grüße
-
Da steig ich leider aus :(
Einfach im Vcenter Client einen neuen VMKernel für Mgmt erstellen (wird dann vmk1). Diesen auf eine interne IP setzen und diese via VPN erreichbar machen.Ja das hätt ich sogar probiert…Ergebnis war das ich mich selbst ausgesperrt habe für 2h weil der Default-gw verändert wurde auf eine 192er IP ^^
Hab das dann alles per Shell wieder gelöscht und es bleiben lassen.Ich schaff auch den Zugang zu den Servern nicht wenn ich im VPN drin bin. Braucht der Webserver im Subnetz eine 2te NIC ins LAN ??
Subnetz wurde geroutet.
Und klappt es?Ja!!! VM aus dem Subnet ist im Internet erreichbar. Ports habe ich im pfsense freigegeben :) yeah !!
Gerne!! Kaufe öfters bei Amazon…wenn ich dir damit was gutes tun kann! Einfach her damit.
Bspw.: http://amzn.to/1A0dnl8
Ich habe den Link auch als meine "Webseite" im Profil eingebaut (die kleine Weltkugel unter meinem Profil links), wer also mal jemand zu Weihnachten o.ä. mir etwas gutes tun möchte um sich zu bedanken, kann gerne über den Link zu Amazon gehen und was einkaufen, es muss auch nichts aus der ComputerEcke sein. Und nein, damit wird man nicht reich ;) Man bekommt zwischen 2-6% vom Netto-EK (nicht dem VK den der Benutzer zahlt), insofern ist es nicht die Welt und für euch ists kein Nachteil (ihr bezahlt ja nicht mehr dadurch). Insofern gönnt ihr einfach nur jemand anderem ein paar Euro mit eurem Einkauf.Hab vor 2 Wochen ein Bügeleisen um 200€ gekauft….schade. Aber eine SSD und paar Bastelteile sind noch offen :)
Das geht dann über dich! -
Ich schaff auch den Zugang zu den Servern nicht wenn ich im VPN drin bin. Braucht der Webserver im Subnetz eine 2te NIC ins LAN ??
Wenn das Routing stimmt, eigentlich nicht.
Ja!!! VM aus dem Subnet ist im Internet erreichbar. Ports habe ich im pfsense freigegeben :) yeah !!
Prima, Glückwunsch :D
Aber eine SSD und paar Bastelteile sind noch offen :)
Das geht dann über dich!Dankefein! :) Für SSDs in "normalen" Desktop-Rechnern (OS etc.) oder bei viel Platz/Gigabyte (pfSense mit SSD + Squid/IDS/etc.) empfehle ich gerne die Crucials: http://amzn.to/173wFwk
Die MX100er sind was Preis/Leistung angeht topp, wenn es auf noch mehr Performance (IOPS) ankommt, kann man auch gern zur Schwesterserie M550 nehmen: http://amzn.to/1EFmi0V
Oder wenn man Crucial aus irgendwelchen Gründen gar nicht mag, darfs auch gern Samsung sein (850 Evo oder Pro): http://amzn.to/1JZXoZV
Allerdings ist Samsung (meiner Sicht nach) unnötig teurer da man die Leistung selten auf dem Maximum ausreizt um den Unterschied wirklich zu spüren.Und für den Fall dass jemand einfach nur bei Amazon einkaufen und mir dabei was Gutes tun möchte, ein Kurzlink mit meinem Ref-Tag: http://j.mp/amzn-DE
-
Ich schaff auch den Zugang zu den Servern nicht wenn ich im VPN drin bin. Braucht der Webserver im Subnetz eine 2te NIC ins LAN ??
Wenn das Routing stimmt, eigentlich nicht.
Ja!!! VM aus dem Subnet ist im Internet erreichbar. Ports habe ich im pfsense freigegeben :) yeah !!
Prima, Glückwunsch :D
Aber eine SSD und paar Bastelteile sind noch offen :)
Das geht dann über dich!Dankefein! :) Für SSDs in "normalen" Desktop-Rechnern (OS etc.) oder bei viel Platz/Gigabyte (pfSense mit SSD + Squid/IDS/etc.) empfehle ich gerne die Crucials: http://amzn.to/173wFwk
Die MX100er sind was Preis/Leistung angeht topp, wenn es auf noch mehr Performance (IOPS) ankommt, kann man auch gern zur Schwesterserie M550 nehmen: http://amzn.to/1EFmi0V
Oder wenn man Crucial aus irgendwelchen Gründen gar nicht mag, darfs auch gern Samsung sein (850 Evo oder Pro): http://amzn.to/1JZXoZV
Allerdings ist Samsung (meiner Sicht nach) unnötig teurer da man die Leistung selten auf dem Maximum ausreizt um den Unterschied wirklich zu spüren.Und für den Fall dass jemand einfach nur bei Amazon einkaufen und mir dabei was Gutes tun möchte, ein Kurzlink mit meinem Ref-Tag: http://j.mp/amzn-DE
Ok jetzt funktioniert alles…bis auf diese VMKernel-Sache...das krieg ich nicht hin, egal wie ich es drehe.
Die 192er IP die ich dem neuen VMKernel gebe ist nicht erreichbar aus dem VPN. -
Die 192er IP die ich dem neuen VMKernel gebe ist nicht erreichbar aus dem VPN.
Passen denn Routing, VLAN, Firewall Einstellungen/Regeln etc. alle?Ansonsten mal (ggf. auszensiert) ein paar Bilder posten von den vSwitchen und Einstellungen des VMKernels sowie den Netzen. Bei VMware kann man schnell mal an einer Stelle ein VLAN, MTU oder sonstwas vergessen und dann sucht man sich zu Tode.
-
Die 192er IP die ich dem neuen VMKernel gebe ist nicht erreichbar aus dem VPN.
Passen denn Routing, VLAN, Firewall Einstellungen/Regeln etc. alle?Ansonsten mal (ggf. auszensiert) ein paar Bilder posten von den vSwitchen und Einstellungen des VMKernels sowie den Netzen. Bei VMware kann man schnell mal an einer Stelle ein VLAN, MTU oder sonstwas vergessen und dann sucht man sich zu Tode.
Ja, aus dem VPN komm ich überall hin (zu jeder Maschine im 192er, nur zum VMKernel nicht).
IP-Range bei mir zuhause: 192.168.0.x/24
IP-Range vom DHCP für VPN: 192.168.2.x/24siehe Screenshot_ipconfig.png
Ping kommt von 192.168.1.100 keiner zurück und auf die VM über die IP komm ich auch nicht.
Änder ich den Standardgateway des VMKernels von der öffentlichen IP auf die Pfsense-IP sperr ich mich komplett aus und muss per Lara-Konsole/Shell alles wieder zurückkonfigurieren.VM Config sieht aus wie bei Screenshot1.png , wobei das VMNetwork an sich keinen Zweck hat (noch nicht gelöscht)
PFSense Routing siehst du bei Screenshot2.png
Reicht das?
-
Hast du beim VMKernel auch das Netz richtig konfiguriert? Die IP .1.100 sehe ich, aber hast du auch DNS und Routing/Gateway konfiguriert? Da muss natürlich das Gateway gesetzt sein (also die pfSense mit dem Interface im .1.x Netz.
Kannst du von dem WebWin2k8 denn hinpingen? Oder vom Xen? Die stehen ja im gleichen Netz, da muss nicht geroutet werden. Damit kannst du das erstmal gegenprüfen.
-
Hast du beim VMKernel auch das Netz richtig konfiguriert? Die IP .1.100 sehe ich, aber hast du auch DNS und Routing/Gateway konfiguriert? Da muss natürlich das Gateway gesetzt sein (also die pfSense mit dem Interface im .1.x Netz.
Kannst du von dem WebWin2k8 denn hinpingen? Oder vom Xen? Die stehen ja im gleichen Netz, da muss nicht geroutet werden. Damit kannst du das erstmal gegenprüfen.
Also Ping vom WebWin2k8 funktioniert zum VMKernel 1.100….
DNS Routing/Gateway habe ich am VMKernel probiert zu konfigurieren - sobald ich zb als GW 192.168.1.1 einstelle (zur Router-VM) geht gar nix mehr.
Wie müsste ich das denn korrekt konfigurieren und wo überall?
-
Wie müsste ich das denn korrekt konfigurieren und wo überall?
Eigentlich genau da wo du es sagst. Am Kernel selbst, der muss natürlich geroutet werden, damit er via VPN erreichbar ist. Was geht denn dann nicht mehr wenn du die einträgst?
-
Wie müsste ich das denn korrekt konfigurieren und wo überall?
Eigentlich genau da wo du es sagst. Am Kernel selbst, der muss natürlich geroutet werden, damit er via VPN erreichbar ist. Was geht denn dann nicht mehr wenn du die einträgst?
Wenn ich 192.168.1.100 eintrage und als Gateway 192.168.1.1 - geht gar nix mehr. Es ist keinerlei Verbindung mehr möglich. Ich muss dann per Lara-Konsole auf die Shell und das Routing bzw. die Default-Route wieder auf das Gateway von Hetzner zurückstellen damit ich von außen hin komme.
Ich hab keine Ahnung wie es korrekt eingetragen gehört. An sich sind die Felder standardmässig auch bei dem 2ten VMKernel ausgegraut. Man kann sie aber "überschreiben" mit einem Click auf den nebenstehenden Button.
-
noch da :) ?
-
Ja, aber da ich das Setup selbst nicht mehr betreibe kann ich leider nicht mehr reinschauen, wie das aufgesetzt war. Ich kann leider nur noch rekonstruieren, dass es so wie beschrieben funktioniert hat, aber da ich auch nicht "davor" sitze, kann ich da leider auch gerade nichts mehr dazu sagen, da mir der Vergleich fehlt, wo vllt. die kleine fiese Schraube falsch gedreht ist, die dich gerade behindert. :/
Sorry, wäre gerne hilfreicher.
