VMware Workstation an ppp0 binden
Hallo, ich habe hier einige virtuelle Systeme die auf einem Notebook laufen und einen Internetzugriff benötigen. Der Haken: Sie sollen alle über das UMTS Device ppp0 laufen und nicht innerhalb der jeweiligen VMware direkt zugreifen. Hat jemand so etwas bereits gelöst? Gruß i.A. Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu 24 Sep 2009, prengel wrote:
ich habe hier einige virtuelle Systeme die auf einem Notebook laufen und einen Internetzugriff benötigen. Der Haken: Sie sollen alle über das UMTS Device ppp0 laufen und nicht innerhalb der jeweiligen VMware direkt zugreifen. Hat jemand so etwas bereits gelöst?
Du meinst, Du willst nicht den Bridge/NAT Modus von vmware benutzen? Nimm host-only und konfiguriere den Host als Router/Firewall. Das hat meiner Meinung nach viele Vorteile, insbesondere wenn das reale Interface manchmal nicht da ist. Es ist dann egal, ob Du über ppp0, wlan0 oder eth0 oder sonst was ins Internet gehst. Wenn die virt. Maschine nur ins Internet soll, machst Du einfach Masquerading auf dem Linux Host. Ich mache das auf meinen Notebooks seit Workstation 1. Du kannst dann sogar in der /etc/vmware/vmnet1/dhcpd/dhcpd.conf hinterlegen, daß Dein Host Router ist und wo sich der Nameserver befindet (bei mir auch auf dem Linux Host). Dann kannst Du irgendwelche Live-CDs booten, die gewöhnlich DHCP nach IP Adressen fragen, und auch sie kommen ins Internet. Torsten -- Need professional mod_perl support? Just hire me: torsten.foertsch@gmx.net -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Torsten Foertsch schrieb:
Nimm host-only und konfiguriere den Host als Router/Firewall.
Liest sich gut. Wie hast du Suse als Router/ Firewall konfiguriert? Einfach per Yast-Modul oder per Hand? Gruß i.A. Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu 24 Sep 2009, prengel wrote:
Torsten Foertsch schrieb:
Nimm host-only und konfiguriere den Host als Router/Firewall.
Liest sich gut. Wie hast du Suse als Router/ Firewall konfiguriert? Einfach per Yast-Modul oder per Hand?
Ich nehme Emacs oder Vi und editiere /etc/sysconfig/SuSEfirewall2 und /etc/sysconfig/scripts/SuSEfirewall2-custom (ist bei mir aktiviert). Das hier dürfte für eine Minimalkonfiguration reichen, damit Du aus der VM raus kommst, vorausgesetzt Dein host-only Interface heißt vmnet1 und hat die IP Adresse 192.168.7.1 mit netmask=255.255.255.0 FW_DEV_EXT='any' FW_DEV_INT='vmnet1' FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="zone:ext" FW_MASQ_NETS="0/0" FW_PROTECT_FROM_INT="no" FW_FORWARD="192.168.7.0/24,0.0.0.0/0 0.0.0.0/0,192.168.7.0/24" Der Rest bleibt so, wie er ist. Die vmnet1/dhcpd.conf sieht dann so aus: allow unknown-clients; default-lease-time 1800; # default is 30 minutes max-lease-time 7200; # default is 2 hours subnet 192.168.7.0 netmask 255.255.255.0 { range 192.168.7.129 192.168.7.254; option broadcast-address 192.168.7.255; option domain-name-servers 192.168.7.1; option domain-name "home"; option routers 192.168.7.1; default-lease-time 1800; max-lease-time 7200; } Auf meinem Notebook läuft ein nameserver, daher "option domain-name-servers 192.168.7.1". Ich weiß, daß "home" als Domain eigentlich nicht erlaubt ist. Torsten -- Need professional mod_perl support? Just hire me: torsten.foertsch@gmx.net -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Torsten Foertsch schrieb:
On Thu 24 Sep 2009, prengel wrote:
Torsten Foertsch schrieb:
Nimm host-only und konfiguriere den Host als Router/Firewall. Liest sich gut. Wie hast du Suse als Router/ Firewall konfiguriert? Einfach per Yast-Modul oder per Hand?
Ich nehme Emacs oder Vi und editiere /etc/sysconfig/SuSEfirewall2 und /etc/sysconfig/scripts/SuSEfirewall2-custom (ist bei mir aktiviert).
Danke, das werde ich testen sobald Zeit ist. Gruß i.A. Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Torsten Foertsch, Donnerstag 24 September 2009:
Nimm host-only und konfiguriere den Host als Router/Firewall.
Hm... hast Du Erfahrung, ob man auf diese Weise eine VM vernünftig mit SuSE's Firewall gegen das böse Internet schützen kann, sprich: Schützende Firewall und zu schützender Gast laufen auf ein und demselben Blech? Dem Gefühl nach würde ich sagen, daß das gegen die Regeln der Kunst verstößt, daß beides auf derselben Hardware läuft... -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann schrieb:
Torsten Foertsch, Donnerstag 24 September 2009:
Nimm host-only und konfiguriere den Host als Router/Firewall.
Hm... hast Du Erfahrung, ob man auf diese Weise eine VM vernünftig mit SuSE's Firewall gegen das böse Internet schützen kann, sprich: Schützende Firewall und zu schützender Gast laufen auf ein und demselben Blech?
Dem Gefühl nach würde ich sagen, daß das gegen die Regeln der Kunst verstößt, daß beides auf derselben Hardware läuft...
Hallo, in meinem Fall ist das ok. Die Systeme würden durch die Host-Firewall und noch durch ihre eigene Firewall geschützt. Ich denke das, wäre die Suse-Firewall löchrig, wir hier schon davon gelesen hätten. Von aussen blocke ich eh alles ab. Die Gefahr das jemand den Host übernimmt und sich über einen Fehler in den VMware-Modulen Zugriff auf die Gäste verschafft ist natürlich da aber aus meiner Sicht für meinen Einsatz eher theoretischer Natur. das Notebook ist nur zeitweise an und häufig auch noch in Hausnetzten hinter anderen Firewalls plaziert. Aussnahe sind nur die Zeiten in denen ich mich direkt per UMTS einwähle was aber hoffentlich die Ausnahme bleibt. Gruß i.A. Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu 24 Sep 2009, Andre Tann wrote:
Hm... hast Du Erfahrung, ob man auf diese Weise eine VM vernünftig mit SuSE's Firewall gegen das böse Internet schützen kann, sprich: Schützende Firewall und zu schützender Gast laufen auf ein und demselben Blech?
Dem Gefühl nach würde ich sagen, daß das gegen die Regeln der Kunst verstößt, daß beides auf derselben Hardware läuft...
Sicher, das Ganze ist so sicher, wie der Host abgesichert ist. Wenn Du mit einem Notebook unterwegs bist, trägst Du wahrscheinlich nicht ein Weiteres mit Dir rum, nur um eine Firewall in eigener HW vorrätig zu haben. Wenn Du den Host so betreibst, als wäre es eine Firewall, d.h. minimales System, apparmor oder selinux richtig konfiguriert, keine Dienste sondern nur Routing etc, dann kommst Du recht nah an die "richtige" Konfiguration heran. Besser noch kannst Du auch eine weitere VM als Firewall/Router konfigurieren, wenn Du ihr Zugriff auf den USB UMTS Stick gibst. Dort rennt dann der pppd und der Host und alle anderen Maschinen benutzen diese VM als default Router. Beides ist mir ehrlich gesagt zu umständlich. Und der Sicherheitsgewinn ist, denke ich, marginal, wenn man sein System gut kennt. Das war auch nicht die Frage. Ralf wollte, so wie ich es verstanden hatte, ein vmware Problem umgehen, nämlich, daß ppp0 nur vorhanden ist, wenn der pppd läuft. Torsten -- Need professional mod_perl support? Just hire me: torsten.foertsch@gmx.net -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Torsten Foertsch schrieb:
Das war auch nicht die Frage. Ralf wollte, so wie ich es verstanden hatte, ein vmware Problem umgehen, nämlich, daß ppp0 nur vorhanden ist, wenn der pppd läuft.
Genau das ist das Thema. i.A. Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Torsten Foertsch, Donnerstag 24 September 2009:
Sicher, das Ganze ist so sicher, wie der Host abgesichert ist. Wenn Du mit einem Notebook unterwegs bist, trägst Du wahrscheinlich nicht ein Weiteres mit Dir rum, nur um eine Firewall in eigener HW vorrätig zu haben.
Klar, aber man kann das ganze ja auch auf einem echten Server machen. Stelle ich den nämlich zum Hoster, dann krieg ich eine öffentliche IP, und das wars. Will ich ein privates Subnetz, dann muß ich mir das selbst bauen, mit Switch usw. Kostet alles HEs. Also sagen wir zwei Pizzaboxen + ein Switch, dann sind wir schon bei drei HE, nur um eine Maschine hinter der Firewall zu haben. Geht es dagegen in einer einzigen Maschine, kommt es deutlich einfacher/günstiger, eine Pizzaschachtel, und gut ist. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann schrieb:
Torsten Foertsch, Donnerstag 24 September 2009:
Sicher, das Ganze ist so sicher, wie der Host abgesichert ist. Wenn Du mit einem Notebook unterwegs bist, trägst Du wahrscheinlich nicht ein Weiteres mit Dir rum, nur um eine Firewall in eigener HW vorrätig zu haben.
Klar, aber man kann das ganze ja auch auf einem echten Server machen. Stelle ich den nämlich zum Hoster, dann krieg ich eine öffentliche IP, und das wars. Will ich ein privates Subnetz, dann muß ich mir das selbst bauen, mit Switch usw. Kostet alles HEs. Also sagen wir zwei Pizzaboxen + ein Switch, dann sind wir schon bei drei HE, nur um eine Maschine hinter der Firewall zu haben.
Geht es dagegen in einer einzigen Maschine, kommt es deutlich einfacher/günstiger, eine Pizzaschachtel, und gut ist.
Habe ich lange bei Hetzner so gemacht. Host nur per ssh von mir zuhaus eerreichbar. Alle Gäste host-only und nur die virtuelle Firewall (Astaro) hatte ein "Beinchen" nach aussen. Auf Netzwerkebene also fast keine Berührungspunkte. Für mich war das vertretbar. gruß i.A. Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu 24 Sep 2009, Andre Tann wrote:
Torsten Foertsch, Donnerstag 24 September 2009:
Sicher, das Ganze ist so sicher, wie der Host abgesichert ist. Wenn Du mit einem Notebook unterwegs bist, trägst Du wahrscheinlich nicht ein Weiteres mit Dir rum, nur um eine Firewall in eigener HW vorrätig zu haben.
Klar, aber man kann das ganze ja auch auf einem echten Server machen. Stelle ich den nämlich zum Hoster, dann krieg ich eine öffentliche IP, und das wars. Will ich ein privates Subnetz, dann muß ich mir das selbst bauen, mit Switch usw. Kostet alles HEs. Also sagen wir zwei Pizzaboxen + ein Switch, dann sind wir schon bei drei HE, nur um eine Maschine hinter der Firewall zu haben.
Geht es dagegen in einer einzigen Maschine, kommt es deutlich einfacher/günstiger, eine Pizzaschachtel, und gut ist.
Es sollte auch gehen, die FW in eine VM zu packen und auf dem Host das Interface unkonfiguriert zu lassen. Steht das Ding aber bei einem Hoster und Du hast keinen Zugriff auf die Konsole, würde ich das nicht machen. Das habe ich aber noch nie probiert. Mach das mal und sag uns, ob und wie. Torsten -- Need professional mod_perl support? Just hire me: torsten.foertsch@gmx.net -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Torsten Foertsch schrieb: nfacher/günstiger, eine Pizzaschachtel, und gut ist.
Es sollte auch gehen, die FW in eine VM zu packen und auf dem Host das Interface unkonfiguriert zu lassen. Steht das Ding aber bei einem Hoster und Du hast keinen Zugriff auf die Konsole, würde ich das nicht machen.
Das habe ich aber noch nie probiert. Mach das mal und sag uns, ob und wie.
ssh Zugriff reicht. Alles grafische kann man sich sehr konfortabel per NX über ssh übertragen wenn man es denn braucht. Gruß i.A. Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Andre Tann -
prengel -
Torsten Foertsch