[ESXi] Nichts geht, bin verzweifelt ._.

JeGr

@robby1337: Empfehlung ist definitiv, das später nur auf spezifische QuellIP freizugeben (siehe Tipp mit Dyndns Alias in Firewall Rules) oder besser per VPN. Den Alias kann man immer noch als Fallback nutzen.

Jede Portverschieberei ist absolut nutzlos. Vergesst es darauf zu vertrauen. Nur zum Vergleich: mit ZMap ist es mittlerweile möglich das GESAMTE Internet für einen Port (bspw. 5900 für VNC) unter einer Stunde abzugrasen. Wenn mir da noch jemand kommt mit "ich nehm aber keinen Standard Port" - gut gelacht ;) ZMap drüber, Fingerprint an, BING Port gefunden. Ne ne. Nix da.

Ansonsten poste doch mal kurze Shots von deinem vswitch wie die VM da drin hängt, von deinem NAT und deinen Firewall Regeln (ggf. ausschwärzen), dann sieht man vielleicht besser was noch klemmt.

@viragomann: Nein die Filter müssen auf die interne IP gehen, weil der Filter die externe gar nicht mehr sieht. Da gehts nicht um besser oder schlechter, es geht nur so :) NAT greift bei PF vor den Filtern, also sehen die Paketfilter nur noch Pakete umgeschrieben an die interne IP und die würden ohne Regel blocken oder bouncen/rejecten.

viragomann

@JeGr
Danke. Meine Frage hat sich ja auf den Fall von Port Forwarding bezogen, wo ich auch immer die Regeln auf die interne IP setzte. Hab das nie anders gemacht.
Dass es beim Bridging kein intern/extern gibt ist mir soweit klar. ;)

robby1337

@JeGr:

@robby1337: Empfehlung ist definitiv, das später nur auf spezifische QuellIP freizugeben (siehe Tipp mit Dyndns Alias in Firewall Rules) oder besser per VPN. Den Alias kann man immer noch als Fallback nutzen.

Jede Portverschieberei ist absolut nutzlos. Vergesst es darauf zu vertrauen. Nur zum Vergleich: mit ZMap ist es mittlerweile möglich das GESAMTE Internet für einen Port (bspw. 5900 für VNC) unter einer Stunde abzugrasen. Wenn mir da noch jemand kommt mit "ich nehm aber keinen Standard Port" - gut gelacht ;) ZMap drüber, Fingerprint an, BING Port gefunden. Ne ne. Nix da.

Okay, sobald die erste VM gescheit läuft, versuch ich das umzubauen. :)

Ansonsten poste doch mal kurze Shots von deinem vswitch wie die VM da drin hängt,

Hier weiß ich leider nicht genau, was du genau meinst ^^
Ich dachte eigentlich, das ist die Ansicht die ich im Screen auf Seite 1 des Threads gepostet habe? (ohne die vmnic1 bei vSwitch1 :))

von deinem NAT und deinen Firewall Regeln (ggf. ausschwärzen), dann sieht man vielleicht besser was noch klemmt.

Jau, siehe Anhang!

@viragomann: Nein die Filter müssen auf die interne IP gehen, weil der Filter die externe gar nicht mehr sieht. Da gehts nicht um besser oder schlechter, es geht nur so :) NAT greift bei PF vor den Filtern, also sehen die Paketfilter nur noch Pakete umgeschrieben an die interne IP und die würden ohne Regel blocken oder bouncen/rejecten.

Danke, die Beschreibung hilft mir tatsächlich auch beim verstehen :P!

Danke für die Rückmeldungen und Geduld! ^^

edit Achja! VIPs hab ich nicht separat definiert

edit2 Dank deinem Tipp & https://doc.pfsense.org/index.php/Aliases hab ich es geschafft, das die VM von außen erreichbar ist über die nötigen Ports! der Rest müsste mit der angelegten Regel meines Screenshots ja weggeblockt werden :o ?

edit3 haha, anscheinend doch nicht..das was ich testete, funktionierte aufgrund eines Logins, der wahrscheinlich von Intern funktioniert hat. Der Dienst der aber darauf zugreifen will, kommt von außen nicht drauf.

11mapping.jpg_thumb

FWRules.jpg_thumb

robby1337

Quelle: IP, Alias oder any
Ziel: interne IP der WindowsVM (nicht externe, die im NAT Mapping vergeben wurde)

Hab FW Rule mit any
und Destination 192.168.1.101

Tut nit :(

FWRules1.jpg_thumb

csamaggi

Sorry das ich mich hier mit einklinke. Ein weiterer Thread wäre überflüssig.

Da ich das selbe Problem habe.

Ich kann von meinen VMs raus gehen, also wenn ich per ESXi dann über die Konsole drauf gehe alles super die VMs kommen ins Netz aber ich kann sie nicht anpingen oder bei Unix per SSH drauf.

Auch habe ich in der Firewall wie bei Robby das eingestellt.

Kurz Technische Info: Ich habe den Root bei Hetzner.

Eine IP für VMWare und eine für pfSense mit MAC und eine 6er Subnet auf dem die VMs sollen.

Hoffe das ihr da eine Lösung zu habt.

MFG Maggi

![ESXi Netzwerk Topo.jpg](/public/imported_attachments/1/ESXi Netzwerk Topo.jpg)
![ESXi Netzwerk Topo.jpg_thumb](/public/imported_attachments/1/ESXi Netzwerk Topo.jpg_thumb)

robby1337

boah ich komm echt nicht mehr weiter. Weder mit Logik, noch mit probieren jeder erdenklichen config :P

Im Anhang nochmal Screens meiner aktuellen konfiguration. Ich komm mit der Maschine "Media" fein nach außen, von außen aber nicht an sie ran.

Hilfe :/

![vSphere Client.jpg](/public/imported_attachments/1/vSphere Client.jpg)
![vSphere Client.jpg_thumb](/public/imported_attachments/1/vSphere Client.jpg_thumb)

1-1mapping.jpg_thumb

FWRules.jpg_thumb

JeGr

@robby: Aber kommst du bspw. von extern auf die pfSense (sollte nicht, es sei denn du hast den Port auf WAN geöffnet)? Bzw. siehst du einen fehlgeschlagenen Portzugriff auf 80/443 auf die pfSense WAN IP wenn du drauf zugreifst?

Ich versuche nur auszuschließen, dass da überhaupt was ankommt ;) da aber das NAT ja läuft von innen nach außen gehe ich mal sicher davon aus.
Die andere Frage wäre, ob du in den FW Logs was siehst. Also bspw. mal testen bei "wieistmeineip" o.ä. wie deine aktuelle IP ist und schauen, ob die im FW Log auftaucht beim Zugriff auf die media-Maschine.

@csamaggi: Dein Setup sieht irgendwie verbogen aus. Die vmWare Einstellungen sollten schon wie bei robby aussehen, wenn deine VM nicht im LAN, sondern direkt "neben" der pfSense auf dem WAN Interface hängt, wird das nie funktionieren, da Hetzner einen MAC Blocker auf dem Port hat und die VMs dann nicht raus können. Deshalb muss man ja den Spaß mit Routing VM machen :)

Grüße
Jens