OVH Community, your new community space.

VMWARE auf RootServer?


sledge0303
17.08.07, 20:44
Hi,

wenn das Routing so funktioniert... Hab selber lange Zeit keinen VMware Server auf einem dedizierten installiert. Bei mir hatte es damals so funktioniert wie oben beschrieben. Warum es so langsam mit der Datenübertragung läuft, es kommt immer darauf an man sich unter 'langsam' oder 'schnell' versteht

NETONE
17.08.07, 17:05
Hi,

genauso ist meine vorgehensweise.

NACHTRAG: Bei VMWare ist es einfach.... gerade gefunden.
Folgendes file ist zu ändern

/etc/vmware/vmnet8/nat/nat.conf

Dort z.b.
[incomingtcp]
8880 = 192.168.133.128:80

eintragen. Fertig. Nachteil ist das incoming relativ langsam ist.

IPTABLES brauchen KEINE angepasst zu werden. Auch eth0:1 braucht NICHT mehr eingebunden zu werden.

Suchbegriffe: VMWare Rootserver Portforwarding NAT Bridged HostOnly Port weiterleiten

Quelle: http://ip-forum.net/forum/index.php?topic=342.msg1167

sledge0303
17.08.07, 15:14
Probiere mal das hier aus...
Beipspiel, muss noch deiner Umgebung angepasst werden.

#!/bin/sh

IPTABLES="/sbin/iptables"

$IPTABLES -t nat -A POSTROUTING -s 192.168.0.100 -o eth0 -j SNAT --to 87.98.217.121
$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to $EXTIP
$IPTABLES -t nat -A PREROUTING -p tcp -d $EXTIP --dport 80 -i eth0 -j DNAT --to-destination 192.168.0.100:80
$IPTABLES -t nat -A PREROUTING -p tcp -d $EXTIP --dport 22 -i eth0 -j DNAT --to-destination 192.168.0.100:22
Das Skript packst in /etc/network/if-up.d/ (bei Debian oder Derivaten) oder bei (Heul)SuSE in sysconfig ab. chmod 755 und damit ist happy routing angesagt. Du musst auch darauf achten, dass iptables im Kernel unterstützt und Routing aktiviert wird. Siehe Posting von Oles.
Wenn nicht, musst selbst den Kernel erstellen, dann darauf achten, dass das Modul 'conntrack' statisch eingebunden wird.

Egal ob Xen, OpenVZ oder VMware. Routing bleibt immer gleich. NAT hat IMHO gegenüber Bridge einen Haufen Vorteile. Macht sich am Anfang mühselig alles einzurichten, so hast aber komplette Kontrolle über den eingehenden Datenverkehr.
Was aber wichtig ist: das Wirtsystem muss sauber bleiben, d.h.: bis auf VMware, dem Routing sowie SSH hat kein Dienst bzw. Skript etwas darauf zu suchen!

NETONE
17.08.07, 14:48
Hi slegde,

erstmal sorry. Nicht aufregen

Ich habe kein XEN...ich nutze VMWARE. Der NAT von VMWARE kann nur raus. Eingehende anfragen schmeisst er weg. Wie bei XEN der NAT-Router funktionert weiss ich nicht, da ich das nicht benutze.

Das einzige was ich machen kann, ist vom host die VM pingen (im NAT-Mode). Die iptables sind richtig eingstellt. Sonst würde es nirgends Funktionieren (im BRIDGED-Mode).

Wie gesagt, ich kenne XEN nicht und kann deswegen keinerlei aussagen darüber treffen. Ich kenne aber VMWare, und da ist es halt so das eingehende anfragen auf NAT bzw. HOSTONLY nicht durchkommen.

Das ich die iptables und eth0:1 richtig habe muss du mir leider einfach mal glauben. Ich habe es eben trotzdem nochmals getestet. Und zwar so:

eth0:1 in den NAT bereich gelegt. 192.168.81.100. Die VM hat 192.168.81.128 vom NAT-DHCP bekommen. Der iptables "gesagt" das anfragen auf port 80 nach 192.168.81.128 gehen sollen. Kein erfolg. Die eth0:1 (192.168.81.100) ist aus der VM pingbar. Vom Host-System kann ich die 100 und die 128 anpingen.

Wenn du natürlich wirklich weisst wie es geht, dann sei doch einfach mal so nett und schick mir die interfaces und einstellungen der iptables per PN. Ich würde mich sehr freuen.

Lieben Gruss

oles@ovh.net
17.08.07, 14:45
echo "1" > /proc/sys/net/ipv4/conf/eth0/arp_filter
echo "1" > /proc/sys/net/ipv4/conf/all/arp_filter

sledge0303 a écrit:

sledge0303
17.08.07, 14:21
Zitat Zitat von NETONE
Hi,

jo, ich denke das problem liegt an der MAC. Die VMWare biete zwar die möglichkeit eine Static-MAC zu vergeben, aber nicht eine beliebige, sondern nur in einem bestimmten bereich.
Nein, du kannst keine MAC doppelt vergeben oder eine neue erstellen. Der Switch schmeisst den Server raus-
Zitat Zitat von NETONE
Alles andere portforwarding usw. ist mir schon klar. Hab ich auch schon gemacht (allerdings nicht bei OVH da der server immer weg ist, wenn ich bridged nehme).
Ergo siehe oben. Bei Bridge schmeisst dich der Switch raus.
Zitat Zitat von NETONE
Mit NAT kommt man leider nur raus.
Wie kommst du darauf?
Wie schon gesagt, ich setze Xen produktiv mit NAT ein, genauso wie hier bei OVH, alle meine VMs, domUs etc lassen sich von außen ansprechen auf den freigeschalteten Ports.
Sonst könnte ich weder Mail- noch Webdienste anbieten

NETONE
17.08.07, 14:14
Hi,

jo, ich denke das problem liegt an der MAC. Die VMWare biete zwar die möglichkeit eine Static-MAC zu vergeben, aber nicht eine beliebige, sondern nur in einem bestimmten bereich.

Alles andere portforwarding usw. ist mir schon klar. Hab ich auch schon gemacht (allerdings nicht bei OVH da der server immer weg ist, wenn ich bridged nehme).

Mit NAT kommt man leider nur raus. Das bringt mich leider nicht weiter......

Trotzdem danke für deine Antwort.

sledge0303
17.08.07, 12:45
Zitat Zitat von NETONE
Hi,

nochmal zurück zum thema. Ich habe vmware am laufen. Allerdings mit NAT. Nun möchte ich aber auch zugriff von aussen auf das unix haben, welches in der vmware läuft.

Ich habe eth0:1 dazugefügt mit 192.168.1.x

In die interfaces habe ich folgendes eingefügt......

auto eth0:1
iface eth0:1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255


Dann einen "network restart" gemacht und nun kann ich die 192.168.1.1 pingen. Soweit so gut. Sobald ich aber in der vmware von NAT auf bridget gehe ist der Server nach einigen sekunden nichtmehr pingbar. Also garnichtmehr übers netz erreichbar.

Hier zuhause habe ich das gleiche system laufen (bis auf die hardware) und da klappt das einwandfrei.

Weis zufällig einer woran das liegen kann?

Thx im voraus

PS.: Die iptables habe ich noch nicht eingerichtet. Das wäre mein nächster schritt. Aber sollange das bridged nicht geht......

NACHTRAG: Beim umstellen selber passiert noch nix. Erst wenn ich einen ping 192.168.1.1 mach ist alles weg!!!!!!!!!!
Hallo,

ich virtualisiere ebenfalls auf einem OVH Server. Allerdings mit Xen statt VMware. Du musst ein funktionierendes Routing vorweisen, eine andere Lösung als NAT geht wegen der OVH Switch Konfiguration nicht. Wenn deine VM eine eigene MAC Adresse bekommen würde, schmeisst dieser deinen Server raus und ein Techniker/Oles/Angie muss ihn wieder entsperren.
Sprecha da aus Erfahrung...

Du musst so vorgehen, erstmal den eingehenden sowie ausgehenden Datenverkehr regelmentieren. Das geht mit IPtables sehr schön.
Die VMs bekommen jeder eine eigene IP, soweit auch klar, dann erstellst für jede VM des Zwecks entsprechend das Routing:

Beispiel:
123.123.123.123:80 <--> 192.168.0.100
123.123.123.123:25 <--> 192.168.0.101
123.123.123.123:443 <--> 192.168.0.102
...
...
...

usw usw usw.

Wenn du nur eine externe IP hast, kann nur ein Port für eine IP festgelegt werden, sollte eigentlich auch klar sein.

Wenn du Hilfe brauchst, gib bescheid.

NETONE
17.08.07, 09:56
Hi,

nochmal zurück zum thema. Ich habe vmware am laufen. Allerdings mit NAT. Nun möchte ich aber auch zugriff von aussen auf das unix haben, welches in der vmware läuft.

Ich habe eth0:1 dazugefügt mit 192.168.1.x

In die interfaces habe ich folgendes eingefügt......

auto eth0:1
iface eth0:1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255


Dann einen "network restart" gemacht und nun kann ich die 192.168.1.1 pingen. Soweit so gut. Sobald ich aber in der vmware von NAT auf bridget gehe ist der Server nach einigen sekunden nichtmehr pingbar. Also garnichtmehr übers netz erreichbar.

Hier zuhause habe ich das gleiche system laufen (bis auf die hardware) und da klappt das einwandfrei.

Weis zufällig einer woran das liegen kann?

Thx im voraus

PS.: Die iptables habe ich noch nicht eingerichtet. Das wäre mein nächster schritt. Aber sollange das bridged nicht geht......

NACHTRAG: Beim umstellen selber passiert noch nix. Erst wenn ich einen ping 192.168.1.1 mach ist alles weg!!!!!!!!!!

sledge0303
31.05.07, 16:11
Zitat Zitat von OVH_Kunde
Aber warum eigentlich?
Ein IRC-Server ist doch auch nichts anderes als eine Client/Server Anwednung mit festen Spezifikationen, die Textdaten hin und herschickt?!
Sicherheitslücken.

OVH_Kunde
31.05.07, 11:54
Zitat Zitat von sledge0303
Bei IRC Diensten ist das schwer möglich, auch für Admins mit Erfahrung.
Aber warum eigentlich?
Ein IRC-Server ist doch auch nichts anderes als eine Client/Server Anwednung mit festen Spezifikationen, die Textdaten hin und herschickt?!

sledge0303
31.05.07, 09:20
Zitat Zitat von OVH_Kunde
Man könnte den Switch/Router doch sicher so konfigurieren, das die PCs von einander intern abgeschottet sind
Würde nicht viel bringen. Wenn man z.B. globale Settings vornimmt, auch im 'internen' Netzwerk, würde das ein Haufen Nebenwirkungen mitbringen.
Vergleichbar mit Nebenwirkungen bei Tabletten, wenn du Kopfschmerzen behandeln möchtest, diese nach Einnahme auch verschwinden aber durch das Medikament Durchfall bekommst
Auch wenn viele Punkte der AGB nicht dem BGB entspricht, der Betreiber eines dedizierten Rootservers ist verpflichtet selbst dafür zu sorgen, dass das Netzwerk nicht beeinträchtigt wird durch den Betrieb deines Servers.
Bei IRC Diensten ist das schwer möglich, auch für Admins mit Erfahrung.

OVH_Kunde
30.05.07, 23:35
Zitat Zitat von paul_panzer
Bevor du anfängst Äpfel mit Birnen zu vergleichen, informiere dich erstmal richtig über IRC Dienste, wie man diese mißbräuchlich einsetzen und wie schnell ein IRC Server zum Sicherheitsrisiko eines gesamten RZ wird.
PHP, alter Webserver und SQL sind da ein weitaus andere Kaliber mit anderem Schadenpotential.
Was ich nicht so ganz verstehe, warum es überhaupt ein "Netzwerk" im Rechenzentrum gibt? Man könnte den Switch/Router doch sicher so konfigurieren, das die PCs von einander intern abgeschottet sind

paul_panzer
30.05.07, 22:54
Zitat Zitat von OVH_Kunde
Warum sollte IRC unsicher sein? Ein alter Webserver, unsichere PHP-Scripts, falsch konfigurierte SQL Server usw. sind mit Sicherheit unsicherer....
Bevor du anfängst Äpfel mit Birnen zu vergleichen, informiere dich erstmal richtig über IRC Dienste, wie man diese mißbräuchlich einsetzen und wie schnell ein IRC Server zum Sicherheitsrisiko eines gesamten RZ wird.
PHP, alter Webserver und SQL sind da ein weitaus andere Kaliber mit anderem Schadenpotential.

OVH_Kunde
30.05.07, 20:39
Zitat Zitat von mathias
IRC ist hauptsächlich wegen den dadurch entstehenden Sicherheitslücken nicht gestattet (was natürlich sehr schade ist).

Mathias
OVH Kundendienst
Warum sollte IRC unsicher sein? Ein alter Webserver, unsichere PHP-Scripts, falsch konfigurierte SQL Server usw. sind mit Sicherheit unsicherer....

mathias
30.05.07, 15:31
IRC ist hauptsächlich wegen den dadurch entstehenden Sicherheitslücken nicht gestattet (was natürlich sehr schade ist).

Mathias
OVH Kundendienst

OVH_Kunde
30.05.07, 15:10
Zitat Zitat von Crash
warum sollte das nicht erlaubt sein,kannst ja installieren was du willst.Ausser natürlich P2P crap und IRC Server.Es steht ja nix in den AGB davon.
Ist jetzt OT, aber warum darf man keinen IRC-Server betreiben?

sledge0303
30.05.07, 10:55
Ich hab openVZ auf dem Server zum laufen gebracht - ohne Probleme.
Man muss beachten, wie Mathias schrieb, wenn man nur eine IP hat, per IPTABLES und unter Nutzung interner IP Ranges (192.xxx.xxx.xxx) zu routen.
Dürfte jedoch für jeden ambitionierten Admin kein Problem sein.
Was das 'blocken des Switch' betrifft. Hab ich die Erfahrung gemacht in einem Test: es hat auch mit einer gefakten MAC funktioniert.
Angie hatte diesbezüglich einen Bericht erhalten, ob es heute noch funktioniert, keine Ahnung.

mathias
30.05.07, 10:17
Hallo,

prinzipiell ist das natürlich gestattet. Allerdings könnte es Probleme geben, wenn VMWare versucht, vergebene IP- oder andere MAC-Adressen zu benutzen.

Wenn also VMWare installiert wird und plötzlich kein Zugriff auf den Server mehr möglich ist, dann könnte dies die Ursache für das Problem sein (Grund: Switch blockt).
In jedem Fall sollte man uns mitteilen, dass diese Software installiert wurde.

Mathias
OVH Kundendienst

Crash
28.05.07, 10:58
warum sollte das nicht erlaubt sein,kannst ja installieren was du willst.Ausser natürlich P2P crap und IRC Server.Es steht ja nix in den AGB davon.

oliver-siewert
28.05.07, 09:32
Hallo,


Hab nur einee kurze Frage, darf man auf den Servern von euch eigentlich auch
VMWARE laufen haben?