Servidores ESX em um DMZ

Question

Servidores ESX em um DMZ

#1 resposta do (3 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)
#4 resposta do (0 votos)

1

Eu tenho dois servidores ESX 3.5 em um DMZ. Eu posso acessar esses servidores em qualquer porta da minha LAN através de uma VPN. Servidores na DMZ não conseguem iniciar conexões de volta à LAN, por razões óbvias. Eu tenho um servidor vCenter na minha rede local e posso conectar-me inicialmente aos servidores ESX. No entanto, os servidores ESX tentam enviar uma pulsação para o servidor vCenter no UDP / 902 - obviamente, isso não retornará ao servidor vCenter, o que marca os servidores ESX como não respondendo e desconectando.

Existem duas soluções amplas em que posso pensar:

1) Tente dizer ao vCenter para ignorar a não obtenção de pulsações. O melhor que posso fazer aqui é atrasar a desconexão em 3 minutos.

2) Tente alguma solução de rede inteligente. No entanto, mais uma vez estou em perda.

Observação: o servidor vCenter está em uma LAN e não pode receber um IP público, portanto, as regras de firewall não funcionarão. Além disso, não consigo configurar uma VPN da DMZ para a LAN.

** Estou adicionando a seguinte explicação que adicionei aos comentários

OK, talvez seja esse o pouco que eu não estou explicando bem. A DMZ está em um site remoto, uma rede totalmente independente (rede 1). O servidor vCenter está na rede local do nosso escritório (rede 2). A rede 2 pode se conectar a qualquer máquina em qualquer porta da rede 1. Mas a rede 1 não tem permissão para iniciar uma conexão com a rede 2. Qualquer tráfego destinado à rede 2 da rede 1 é interrompido pelo firewall, pois é tráfego para uma rede não endereço roteável. A única solução que consigo pensar é a configuração de uma VPN da rede 1 para a rede 2, mas isso não é aceitável.

Então, qualquer pessoa inteligente tem alguma idéia?

J

vpn vmware-esx vmware-vcenter dmz rules

por James 14.02.2010 / 17:05

4 respostas

Tags vpn vmware-esx vmware-vcenter dmz rules

Grátis / Avaliação do Microsoft Exchange Server com acesso owa na web Alterando a área de trabalho / plano de fundo da tela de login (Win2003)

score 3 · Answer 1

James, por que não configurar os hosts ESX no local remoto para que os guests fiquem em uma DMZ, mas o console de serviço ESX etc esteja em uma sub-rede de back-zone que você pode estabelecer uma VPN com? Dessa forma, seus hosts são isolados da conectividade da Web (uma coisa boa), mas seus convidados podem continuar a operar de frente.

Quanto ao problema do site remoto ... você realmente precisa de um link VPN de site para site acontecendo aqui, entre sua LAN interna e a sub-rede remota (não-DMZ, se possível).

score 0 · Answer 2

Seu firewall não permitirá que uma porta seja encaminhada de um IP específico (os servidores ESX) para um IP interno específico (vCenter)? A maioria dos firewalls que eu vi (diferente de home-grade) fará isso. Ou fará a mesma coisa fazendo o encaminhamento de porta, em seguida, definindo uma ACL (ou algo semelhante) para permitir apenas esse tráfego sob certas condições (sendo dos servidores ESX).

score 0 · Answer 3

Além disso, se for uma "DMZ", deve ser possível ter endereços internos (mas protegidos pelo firewall interno) para as portas do console de serviço (e VMKernel, etc) e ter apenas os uplinks conectados externamente ao firewall externo (para VM NIC com IPs públicos). Deve ser seguro abrir a porta relevante para o tráfego do UDP 902 no console do ESX Service.

Mesmo em um ambiente interno exclusivo, as NICs do uplink do Service Console devem ser separadas dos uplinks da porta da VM de produção, em um cenário como esse que "deveria" realmente se torna um "must".

Suponho que você tenha várias NICs nos servidores ESX e tenha uma DMZ em vez de uma situação com os servidores ESX localizados fora de um único firewall. Se for esse o caso, a resposta de Chris S deve ser possível.

score 0 · Answer 4

Ok, eu tenho uma solução que funciona, é um pouco frágil, mas funciona, no entanto. Requer que você use um host na lan local como um "proxy"

no servidor esx (lan remoto) IP: 10.XX.XX.XX

1) / sbin / iptables -t nat -I OUTPUT -p udp -s 10.XX.XX.XX --dport 902 -j DNAT - a 127.0.0.1

isso redireciona o udp para o vCenter de volta à interface de loopback.

2) nc -u -l -p 902 | nc 127.0.0.1 1002

Isso converte o udp para tcp e envia para o host local na porta 1002

Em esx-proxy (lan local)

Configure os túneis ssh de saída

ssh -Nf -g -L 902: localhost: 902 -L 903: localhost: 903 -L 443: localhost: 443 10.XX.XX.XX

configure um túnel reverso para capturar o udp que você converteu para tcp

ssh -Nf-R 1002: 127.0.0.1: 1002 10.XX.XX.XX

agora converta o tcp na porta 1002 de volta para o udp

nc -l -p 1002 | nc -u 10.YY.YY.YY 902

Onde 10.YY.YY.YY é o servidor vCenter.

No servidor vCenter (lan local)

conecte-se ao proxy como se você estivesse se conectando ao host real.

E essas senhoras e senhores permitem que você se conecte a um servidor esx em uma lan remota, usando um túnel ssh

Também tenho instruções estendidas que permitem que você se conecte a muitos servidores esx remotos usando o mesmo proxy.

J

(Posso me dar 50 pontos? :))