VMWare: mit Gast in Internet
Hallo zusammen, Ein Bekannter hat mich gebeten, ihm zu helfen, seinen VMWare-Gast den Internet-Zugang zu legen. Um nicht als kompletter Trottel dazustehen, habe ich nun bei mir VMWare mit einem XP-Gast installiert. Beim google habe ich dann erfahren, dass "Host-Only" der in aller Regel empfohlene Netzwerk-Modus ist. Darüber hinaus bin ich aber einer Lösung nicht wirklich näher gekommen. Folgende Situation: Wirt: - SuSE/OpenLinux 10.1 bzw. 10.2 - Internet: eth0 mit fester (lokaler) IP an Router - Firewall: einfaches Script aus eigener Produktion Gast: - Windows XP Die Lösungsvorschläge, die ich gefunden habe, beziehen sich darauf, die Firewall durch YaST einzurichten bzw. wie man einen Port freigibt, um aus dem Internet auf eine Server des Gastes zu zugreifen. Meine eigenen Versuche, via Masquerading die Verbindung zu schaffen, waren nicht erfolgreich. (Ich weiß allerdings nicht genau, ob ich den Gast richtig konfiguriert haben.) Welche (rudimentären) Regeln sind in einem Firewall-Script erforderlich? Wie muss der Wirt konfiguriert werden (Gateway, DNS, etc.)? Ist außerdem noch etwas zu beachten? Vielen Dank für Eure Mühe. Mit freundlichen Grüße Uwe Diederich -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Uwe Diederich schrieb:
Hallo zusammen,
Ein Bekannter hat mich gebeten, ihm zu helfen, seinen VMWare-Gast den Internet-Zugang zu legen. Um nicht als kompletter Trottel dazustehen, habe ich nun bei mir VMWare mit einem XP-Gast installiert. Beim google habe ich dann erfahren, dass "Host-Only" der in aller Regel empfohlene Netzwerk-Modus ist. Darüber hinaus bin ich aber einer Lösung nicht wirklich näher gekommen.
Bridged Modus und schon läuft die VMware als unabhängiger PC mit im Netz. http://wwwbs.informatik.htw-dresden.de/svortrag/ai96/Guettler/vmware.html für den Einstieg und www.vmware-forum.de -- i.A. Ralf Prengel Customer Care Manager Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49231 97575- 904 Fax +49231 97575- 905 EMail ralf.prengel@comline.de www.comline.de Vorstand Stephan Schilling,Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ralf Prengel wrote:
Uwe Diederich schrieb:
Hallo zusammen,
Ein Bekannter hat mich gebeten, ihm zu helfen, seinen VMWare-Gast den Internet-Zugang zu legen. Um nicht als kompletter Trottel dazustehen, habe ich nun bei mir VMWare mit einem XP-Gast installiert. Beim google habe ich dann erfahren, dass "Host-Only" der in aller Regel empfohlene Netzwerk-Modus ist. Darüber hinaus bin ich aber einer Lösung nicht wirklich näher gekommen.
Bridged Modus und schon läuft die VMware als unabhängiger PC mit im Netz.
Es soll die Firewall des Wirts genutzt werden, um die Internet-Anbindung zu kontrollieren. Das ist im Bridged Modus nicht möglich. Uwe -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Uwe Diederich wrote:
Ralf Prengel wrote:
Uwe Diederich schrieb:
Hallo zusammen,
Ein Bekannter hat mich gebeten, ihm zu helfen, seinen VMWare-Gast den Internet-Zugang zu legen. Um nicht als kompletter Trottel dazustehen, habe ich nun bei mir VMWare mit einem XP-Gast installiert. Beim google habe ich dann erfahren, dass "Host-Only" der in aller Regel empfohlene Netzwerk-Modus ist. Darüber hinaus bin ich aber einer Lösung nicht wirklich näher gekommen.
Bridged Modus und schon läuft die VMware als unabhängiger PC mit im Netz.
Es soll die Firewall des Wirts genutzt werden, um die Internet-Anbindung zu kontrollieren. Das ist im Bridged Modus nicht möglich.
Host-Only macht hier keinen Sinn; Brigded willst Du nicht. Also stelle für den Vmware Guest als Networking Mode "NAT" ein und lasse den Host das Masquerading machen. Dann kann auch die Firewall auf dem Host zur Kontrolle der Guest-Netzwerkverbindung genutzt werden. Wo liegt das Problem? Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Uwe, Du mußt im Sysconfig-Editor von yast natürlich IP_FORWARD auf yes stellen. Aber viele DSL-Router können nur ein lokales Netz bedienen, z.Bsp. 192.168.46.0 mit Netzmaske 255.255.255.0. Um trotzdem mehrere Netze hinter dem Router zu betreiben, habe ich zum guten alten ARP-Hack gegriffen. Der sorgt dafür, daß Dein Hauptrechner sich auf Ethernet-Ebene für alle IP-Adressen für zuständig erklärt, die in /etc/ethers eingetragen sind. Um beim obigen Beispiel zu bleiben, benutzt man dann Subnetze mit der Netzmaske 255.255.255.224; das sind Subnetze, in denen man jeweils 30 Rechner betreiben kann. Mein DSL-Router arbeitet also mit der Netzmaske 255.255.255.0, alle anderen Rechner mit 255.255.255.224. Folgende Zuordunung der Netze habe ich dabei getroffen: 192.168.46.0 Der DSL-Router und alle direkt daran angechlossenen Rechner 192.168.46.32 Netzwerk über zweite Netzwerkkarte des Hauptrechners 192.168.46.64 Hostonly-Netzwerk meines Hauptrechners 192.168.46.96 NAT-Netzwerk meines Hauptrechners 192.168.46.128 Hostonly-Netzwerk meines Laptops 192.168.46.160 NAT-Netzwerk meines Laptops Dazu verwende ich folgende /etc/ethers: siehe ethers und folgendes Startspript: siehe arp Da die Datei /etc/ethers ursprünglich keine Angaben zum Interface, auf dem die IP-Adressen bekannt gemacht werden sollen, enthält, aber eine überflüssige Ethernet-Adresse, ist dem Kommentar "# if eth0" besondere Beachtung zu schenken. Auf diesem Interface werden nämlich die IP-Adressen bekannt gegeben. Der Trick beruht darauf, daß der Hauptrechner mit seiner Ethernet-Adresse antwortet, wenn der DSL-Router über das arp-Protokoll anfragt, wer denn für eine übergebene IP-Adresse zuständig ist. Und Holla, alle IP-Pakete, die für die virtuellen Maschinen bestimmt sind, werden vom DSL-Router an meinen Hauptrechner geschickt, der diese dann (weil er eine andere Netzmaske hat) an die entsprechenden Interfaces der virtuellen Maschinen weiterreicht. Ich hoffe, daß Dir das hilft, es ist ein kompliziertes Thema. Ich habe den ARP-Hack aus einem Buch von Douglas Comer, erschienen bei Prentice Hall in 1988 (also uralt). Hatte das schon mal in 1996 verwendet, um eine Dial-In Verbindung als lokal im Netzwerk erscheinen zu lassen (zwecks Datenbank-Zugriff). Tschö, Emil Am Freitag 21 September 2007 17:50:52 schrieb Uwe Diederich:
Ralf Prengel wrote:
Uwe Diederich schrieb:
Hallo zusammen,
Ein Bekannter hat mich gebeten, ihm zu helfen, seinen VMWare-Gast den Internet-Zugang zu legen. Um nicht als kompletter Trottel dazustehen, habe ich nun bei mir VMWare mit einem XP-Gast installiert. Beim google habe ich dann erfahren, dass "Host-Only" der in aller Regel empfohlene Netzwerk-Modus ist. Darüber hinaus bin ich aber einer Lösung nicht wirklich näher gekommen.
Bridged Modus und schon läuft die VMware als unabhängiger PC mit im Netz.
Es soll die Firewall des Wirts genutzt werden, um die Internet-Anbindung zu kontrollieren. Das ist im Bridged Modus nicht möglich.
Uwe
-- Registered Linux User since 19940320 -------------------------------------------------- Emil Stephan, Marktplatz 39, 53773 Hennef, Germany voice: +49-2242-84438 Accelerate Windows: 9.81 m/sec^2 would be adequate
Hallo Uwe! Uwe Diederich wrote:
Folgende Situation: Wirt: - SuSE/OpenLinux 10.1 bzw. 10.2 - Internet: eth0 mit fester (lokaler) IP an Router - Firewall: einfaches Script aus eigener Produktion Gast: - Windows XP
- Gast auf Bridged Networking einstellen - IP aus demselben Subnetz zuweisen wie sie eth0 auf deinem Suserechner hat - als Gateway und DNS deinen Router zuweisen - fertig Noch einfacher: Falls der Router DHCP macht, kann sich der Windows-Gast auch alle Netzwerkeinstellungen automat. vom Router holen. Host-Only Networking ist für Deine Zwecke ungeeignet (deswegen heisst es ja so wie es heisst). NAT geht auch, dann musst Du auf dem Host-System aber Masquerading machen. Zu Deinem selbstgestrickten Firewall-Skript kann ich mangels Info nichts sagen. Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Joachim Marx wrote:
Hallo Uwe!
Uwe Diederich wrote:
Folgende Situation: Wirt: - SuSE/OpenLinux 10.1 bzw. 10.2 - Internet: eth0 mit fester (lokaler) IP an Router - Firewall: einfaches Script aus eigener Produktion Gast: - Windows XP
- Gast auf Bridged Networking einstellen - IP aus demselben Subnetz zuweisen wie sie eth0 auf deinem Suserechner hat - als Gateway und DNS deinen Router zuweisen - fertig
Noch einfacher: Falls der Router DHCP macht, kann sich der Windows-Gast auch alle Netzwerkeinstellungen automat. vom Router holen.
Host-Only Networking ist für Deine Zwecke ungeeignet (deswegen heisst es ja so wie es heisst). NAT geht auch, dann musst Du auf dem Host-System aber Masquerading machen.
Bei meinen Internet-Recherchen wurde - falls nicht eh auf Bridged verwiesen wurde - immer der Host-Only Modus dem NAT Modus vorgezogen. Der NAT Modus soll in Richtung VM sehr langsam sein. Ich habe sogar einen Hinweis gefunden, wie man die SuSE-Firewall entsprechend konfigurieren kann. (Ich hab es nicht ausprobiert.) Meine Lösung (nur für den Test): ... IPTABLES="/usr/sbin/iptables" ... # Adresse von eth0 IP_PC_THIS="..." ... # forwarding aktivieren echo 1 > /proc/sys/net/ipv4/ip_forward # masquerading fuer vmnet1 auf eth0 $IPTABLES -t nat -A POSTROUTING -s 192.168.86.0/24 -o eth0 -j MASQUERADE # dns Abfragen $IPTABLES -A FORWARD -o eth0 -s 192.168.86.0/24 -d ! $IP_PC_THIS -p tcp --dport 53 -j ACCEPT $IPTABLES -A FORWARD -i eth0 -s ! $IP_PC_THIS -d 192.168.86.0/24 -p tcp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT IPTABLES -A FORWARD -o eth0 -s 192.168.86.0/24 -d ! $IP_PC_THIS -p udp --dport 53 -j ACCEPT $IPTABLES -A FORWARD -i eth0 -s ! $IP_PC_THIS -d 192.168.86.0/24 -p udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT # http Abfragen $IPTABLES -A FORWARD -o eth0 -s 192.168.86.0/24 -d ! $IP_PC_THIS -p tcp --dport 80 -j ACCEPT $IPTABLES -A FORWARD -i eth0 -s ! $IP_PC_THIS -d 192.168.86.0/24 -p tcp --sport 80 -m state --state RE .... Der VM wurde eine feste IP aus 192.168.86.0/24 zugewiesen, der Standard-Gateway auf 192.168.86.1 festgelegt und als DNS-Server die des Providers eingetragen. (Falls diese auf dem Router schon eingegragen sind, könnte die IP des Routers reichen.) Das Ganze ist nur als Ansatz einer Lösung zu verstehen. Verbesserungsvorschläge werden dankbar entgegengenommen. Ich wünschen allen ein schönes Wochenende. Mit freundlichen Grüßen Uwe Diederich -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Emil Stephan -
Joachim Marx -
Ralf Prengel -
Uwe Diederich