[gelöst]ESXI hinter pfsense nicht erreichbar
- Ersteller tommy1735
- Erstellt am
Moin
habe einen Server im Internet mit ESXI, dieser hat nur eine IP.
Folgendermaßen bin ich vorgegangen:
- pfsense als VM installiert, dieser hab ich die LAN IP 192.168.1.1 gegeben, WAN bekommt erstmal keine IP weil der ESXI diese noch hat.
- eine Windows VM installiert damit ich per Browser auf pfsense zugreifen kann. (IP 192.168.1.22)
- pfsense NAT so eingerichtet das port 443 (für den vSphere client) auf die zukünftige ESXI IP (192.168.1.11) umgeleitet wird und im windows RDP zugriff aktiviert und port 3389 auf die windows VM (192.168.1.22) weitergeleitet
jetzt wurde es spannend:
dem pfsense habe ich dann die öffentliche IP für das WAN interface gegeben, habe vorsichtshalber die MAC adresse des ESXI servers kopiert und dem WAN interface gegeben, somit haben beide die gleiche MAC adresse. (ist bestimmt nicht optimal, aber ich wusste nicht ob es notwendig ist um online zu kommen)
dem ESXI habe ich dann diese IP weggenommen und 192.168.1.11 gegeben.
in dem moment ist die natürlich die verbindung zum ESXI getrennt... ping auf die IP antwortet nicht mehr, dachte erst "shit alles umonst gemacht" dann fiel mir ein das pfsense ICMP standarmäßig blockt.
RDP verbindung versucht und bin in der Windows VM gelanden (*juhu* es hat funktioniert)
jetzt hat die Windows VM auch internet zugriff... vSphere client geladen und kann mich damit auf den ESXI verbinden.
Problem ist das ich mich nur von der VM auf den ESXI verbinden kann.
Versuche ich es direkt von zuhause bekomme ich einfach keine verbindung zum ESXI, was doch eigentlich funktionieren müsste da Port 443 von überall auf die 192.168.1.11 geleitet wird, der State Filter von pfsense zeigt auch folgendes an wenn ich mich von zuhause mit dem vSphere client verbinden will:
verbinde ich mich von zuhause per SSH auf die pfsense und pinge den ESXI an sieht das folgendermaßen aus:
wo kommen die duplikate her? ich kann nur vermuten das es durch die identischen MAC adressen ausgelöst wird.
pinge ich von pfsense die windows VM an sind keine duplikate vorhanden.
insgesamt bin ich zufrieden das das expermient geglückt ist, Problem ist nur das ich gerne direkt auf den ESXI verbinden würde ohne die windows VM nutzen zu müssen.
mfg
Tom
habe einen Server im Internet mit ESXI, dieser hat nur eine IP.
Folgendermaßen bin ich vorgegangen:
- pfsense als VM installiert, dieser hab ich die LAN IP 192.168.1.1 gegeben, WAN bekommt erstmal keine IP weil der ESXI diese noch hat.
- eine Windows VM installiert damit ich per Browser auf pfsense zugreifen kann. (IP 192.168.1.22)
- pfsense NAT so eingerichtet das port 443 (für den vSphere client) auf die zukünftige ESXI IP (192.168.1.11) umgeleitet wird und im windows RDP zugriff aktiviert und port 3389 auf die windows VM (192.168.1.22) weitergeleitet
jetzt wurde es spannend:
dem pfsense habe ich dann die öffentliche IP für das WAN interface gegeben, habe vorsichtshalber die MAC adresse des ESXI servers kopiert und dem WAN interface gegeben, somit haben beide die gleiche MAC adresse. (ist bestimmt nicht optimal, aber ich wusste nicht ob es notwendig ist um online zu kommen)
dem ESXI habe ich dann diese IP weggenommen und 192.168.1.11 gegeben.
in dem moment ist die natürlich die verbindung zum ESXI getrennt... ping auf die IP antwortet nicht mehr, dachte erst "shit alles umonst gemacht" dann fiel mir ein das pfsense ICMP standarmäßig blockt.
RDP verbindung versucht und bin in der Windows VM gelanden (*juhu* es hat funktioniert)
jetzt hat die Windows VM auch internet zugriff... vSphere client geladen und kann mich damit auf den ESXI verbinden.
Problem ist das ich mich nur von der VM auf den ESXI verbinden kann.
Versuche ich es direkt von zuhause bekomme ich einfach keine verbindung zum ESXI, was doch eigentlich funktionieren müsste da Port 443 von überall auf die 192.168.1.11 geleitet wird, der State Filter von pfsense zeigt auch folgendes an wenn ich mich von zuhause mit dem vSphere client verbinden will:
Code:
WAN tcp 94.114.17.xxx:51814 -> 192.168.1.11:443 (195.154.xxx.xxx:443) CLOSED:SYN_SENT 2 / 0 104 B / 0 B
WAN tcp 94.114.17.xxx:51814 -> 192.168.1.11:443 CLOSED:SYN_SENT 228 / 2 12 KiB / 160 Bverbinde ich mich von zuhause per SSH auf die pfsense und pinge den ESXI an sieht das folgendermaßen aus:
Code:
[2.3.2-RELEASE][admin@pfSense.localdomain]/root: ping 192.168.1.11
PING 192.168.1.11 (192.168.1.11): 56 data bytes
64 bytes from 192.168.1.11: icmp_seq=0 ttl=64 time=0.261 ms
64 bytes from 192.168.1.11: icmp_seq=0 ttl=64 time=0.389 ms (DUP!)
...
...
64 bytes from 192.168.1.11: icmp_seq=1 ttl=64 time=4.549 ms (DUP!)
^C
--- 192.168.1.11 ping statistics ---
2 packets transmitted, 2 packets received, +126 duplicates, 0.0% packet loss
round-trip min/avg/max/stddev = 0.261/2.494/4.549/1.196 ms
[2.3.2-RELEASE][admin@pfSense.localdomain]/root:pinge ich von pfsense die windows VM an sind keine duplikate vorhanden.
insgesamt bin ich zufrieden das das expermient geglückt ist, Problem ist nur das ich gerne direkt auf den ESXI verbinden würde ohne die windows VM nutzen zu müssen.
mfg
Tom
Zuletzt bearbeitet:
Eye-Q
Grand Admiral Special
Ich denke, dass das leicht behebbar wäre (ich habe schon eine sehr starke Vermutung), aber willst Du wirklich den ESXi und die Windows-VM per Portweiterleitung direkt im Internet haben? Meiner Meinung nach ist das sicherheitstechnisch sehr bedenklich, da solltest Du eher VPN in der pfSense einrichten und entweder ein Site-to-Site-VPN oder zumindest ein Einwahl-VPN von zuhause einrichten. Weder ESXi noch Windows haben die Möglichkeit, einen Brute Force-Angriff auf die Anmeldedaten abzuwehren und somit können die mehr oder weniger im Nullkommanichts gecrackt werden.
BoMbY
Grand Admiral Special
Könnte es sein, dass Antwortpakete weg gefiltert werden? Ich würde mal meinen da stimmt irgendwas mit dem NAT nicht, oder irgendeine andere Regel blockiert/verändert einen Teil des Traffics. Zum Beispiel "Block private networks and loopback addresses" auf dem falschen Interface, für diese Art der Verbindung, aktiviert? Sowas hatte ich mal. Ist aber im Moment schwer für mich zu sagen, ohne die Einstellungen alle zu sehen.
Edit: Eye-Q hat natürlich mit dem VPN recht, das wäre vermutlich besser. Einfach einen OpenVPN Tunnel Server auf pfSense einrichten, und da drüber gehen.
Edit: Eye-Q hat natürlich mit dem VPN recht, das wäre vermutlich besser. Einfach einen OpenVPN Tunnel Server auf pfSense einrichten, und da drüber gehen.
danke für die antworten
wenn es denn so läuft wie es soll, also von außen erreichbar ist würde ich es auf VPN umbauen, aber dazu müsste es erstmal laufen.
ein freund hat per teamviewer geholfen (er hat viel mehr plan als ich) und hat wie im screen zu sehen ist ein zweites vswitch erstellt und pfsense eingstellt das es dort hin leitet... wie auch immer es funktioniert jetzt von zuhause... werde mich jetzt mal bei VPN schlau machen und es absichern
hierzu noch die firewall:
Schönes Wochenende allen
ein freund hat per teamviewer geholfen (er hat viel mehr plan als ich) und hat wie im screen zu sehen ist ein zweites vswitch erstellt und pfsense eingstellt das es dort hin leitet... wie auch immer es funktioniert jetzt von zuhause... werde mich jetzt mal bei VPN schlau machen und es absichern
hierzu noch die firewall:
Schönes Wochenende allen
Ähnliche Themen
