VMWare ESXi - túnel VPN para VMs

2

Estamos procurando alugar um servidor VMWare ESXi por meio de um provedor. Este servidor VMWare ESXi será alocado em um IP público. A maioria das VMs que iremos hospedar neste servidor destina-se apenas a ser usada internamente.

Minha pergunta é se seria possível configurar um túnel VPN (ipsec) do gateway em nosso escritório (Cisco RV082) para o servidor host VMWare, para que não exponha todas as VMs à Internet? Não temos acesso a nenhum equipamento na frente do servidor host VMWare.

Por exemplo, seria possel configurar tal tnel em, e. uma máquina virtual Debian, e então conseguir o seguinte;

  1. Podemos alcançar todas as VMs no host VMWare por meio de um endereço IP local em nossa intranet
  2. As VMs podem acessar máquinas em nossa intranet por meio de um endereço IP local

A alternativa a isso seria "comprar" 1 endereço IP público do provedor por VM e depois acessar as VMs pela Internet, cada uma com sua própria configuração iptables para bloquear o acesso de IPs não provenientes de nosso escritório. .

Qualquer ajuda é apreciada.

    
por John B 21.11.2012 / 14:48

2 respostas

6

My question is if it would be possible to set up a VPN tunnel (ipsec) from the gateway in our office (Cisco RV082) to the VMWare host server so that we do not have to expose all VMs to the internet?

Não. Você não pode instalar serviços de terceiros como um cliente VPN no hipervisor.

Isso é o que você precisa:

  • Um endereço IP de gerenciamento para o próprio ESXi. Isso pode ser público ou privado, contanto que você possa alcançá-lo para gerenciar. Se for público, verifique se ele está bem protegido por firewall.

  • Uma VM para atuar como um gateway de VPN (OpenVPN, pfsense, RRAS, o que for)

  • Pelo menos um endereço IP público para uma VM atuar como o gateway da VPN.

  • Um vSwitch público que possui a interface pública da sua VM do gateway de VPN.

  • Um vSwitch particular ao qual o restante de suas VMs "somente privadas" se conecta.

Você conectará sua VM VPN a ambos os vSwitches e configurará o roteamento por meio dela. Dessa forma, você irá encapsular para uma VM que tenha acesso à rede pública (para que você possa VPN nela) e à rede privada, para que suas VMs não sejam expostas ao mundo externo desnecessariamente e você não precisará IPs públicos para todos eles.

    
por 21.11.2012 / 14:57
1

Minha empresa faz isso o tempo todo com endpoints de firewall virtualizados ... Somos um provedor de nuvem privada, portanto, esse é um cenário realista.

  • Isso pode vir na forma de um sistema Linux virtualizado executando um túnel n2n (se não houver controle dos dispositivos intermediários ou IP públicos não / insuficientes).

  • Também temos clientes que usaram Quagga para roteamento e OpenVPN como um endpoint em uma VM.

  • Outra opção popular em nossas configurações, bem como uma necessidade em algumas das soluções Amazon Web Services é usar um firewall virtual Vyatta como um terminal VPN.

por 22.11.2012 / 21:32