Hi.
Die Überschrift sagt es eigentlich schon – ich wüsste rein aus Interesse mal gerne, wie ihr das bei euch geregelt habt, dass der Hypervisor möglichst getrennt vom Rest des Netzes ist und trotzdem von außen (pub-key, Webinterface?) erreichbar ist.
Auch von innen sollte der Hypervisor möglichst nicht von grün aus erreichbar sein (zumindest nicht aus allen Subnetzen). Daher mal in die Runde gefragt … wie ist das bei euch eingestellt?
an meiner alten Schule hatten wir das so umgesetzt, dass der Hypervisor zusammen mit dem Rest der Infrastruktur (USVs, Switches, etc.) in einem Management-VLAN ist. Erreichbar ist er nur von einem Admin-PC im Serverraum aus oder per OpenVPN per dedizierter Firewall von außen.
Hab vor, das an meiner neuen Schule wieder so oder so ähnlich umzusetzen.
Weitere Meinungen dazu?
an meiner alten Schule hatten wir das so umgesetzt, dass der Hypervisor
zusammen mit dem Rest der Infrastruktur (USVs, Switches, etc.) in einem
Management-VLAN ist. Erreichbar ist er nur von einem Admin-PC im
Serverraum aus oder per OpenVPN per dedizierter Firewall von außen.
Hab vor, das an meiner neuen Schule wieder so oder so ähnlich umzusetzen.
Weitere Meinungen dazu?
das kann man schon so machen: ist in jedem Fall sicherer.
Ich für meinen Teil habe meine Latte weniger hoch gelegt: mein
Hypervisor (KVM) ist aus grün erreichbar: aber nur per ssh und mit ssh-key
Grafische Oberfläche gibt es eh nicht per webserver
Hi. Wenn man den Hypervisor in das grüne Netz legt, beißt sich die Katze doch in den eigenen Schwanz: wenn der Server ausfällt, muss aber der lml-Server laufen, damit man auf den Hypervisor kommen kann. Das halte ich für ungünstig, oder??
Schöne Grüße,
Michael
Hi. Wenn man den Hypervisor in das grüne Netz legt, beißt sich die Katze
doch in den eigenen Schwanz: wenn der Server ausfällt, muss aber der
lml-Server laufen, damit man auf den Hypervisor kommen kann.
warum?
Routet der Server etwa?
Ich komme ohne Problme auf die 10.16.1.10 (unifi) wenn der Server nicht
läuft.
Hi Holger.
Nein, aber wenn der Hypervisor in grün ist, kommt er zB nicht ins Internet, wenn der IPFire steht (bzw wenn der Hypervisor selbst irgendwas hat, so dass die VMs nicht starten). Daher finde ich es eher ungünstig, wenn der in grün steckt. Wenn er zudem von außen erreichbar sein soll, hängt das von den laufenden VMs ab. (IPFire & OpenVPN). Ungünstig, oder??
Schöne Grüße
Michael
wir haben damals eine fertige Lösung gekauft. Die gibt es ja von jedem Hersteller der bekannten Firewalllösungen (IPFire, pfSense, OPNSense, …) welche.
mein Hypervisor ist auch von grün erreichbar, was ja aber nicht heißt, dass er keine IP im Roten Netz hat und zur Not auch darüber ins Internet käme. Alle Ports auf diese IP von außen sind von BelWü gesperrt, außer einem Port für SSH.
Ja, das ist bei uns auch so – allerdings ist er damit ja intern allen Netzen „ausgesetzt“. Das würde ich eigentlich gerne anders haben. Daher ist die Idee einer Firewall (auf Blech) mit getrenntem Netz für den HyperVisor gar nicht so schlecht!?
Oder hast du im IPFire zusätzliche Regeln, die den Zugriff auf rot weiter einschränken?
Schöne Grüße,
Michael
es gibt hier zahlreiche Varianten. Um dem eine weitere hinzuzufügen noch
unsere:
Wir verwenden ziemlich durchgehend inzwischen Unifi Hardware. Zusätzlich
haben wir uns einen HW Router gegönnt, aus kosten Gründen den
EdgeRouter, ein passender Unifi Router ist derzeit einfach zu teuer.
Der Router hat an einem Port das Verwaltungsnetz, in dem ich alle Geräte
habe, die nicht unmittelbar aus den anderen Netzen erreichbar sein
müssen/sollen, unter anderem Auch der Zugriff auf den Hypervisor.
Vorteil ist, dass der Zugriff auf alle laufenden Geräte auch dann
möglich bleibt, wenn der IPFire ausfallen sollte. Auch ist es deutlich
schwerer sich selbst den Boden unter den Füßen wegzuziehen.
Nettes Extra Feature ist die Intel Management Konsole. Damit kann man
dann eigentlich so ziemlich alles von zuhause aus lösen.
Hallo Björn.
Klingt gut – wir haben von Unifi das große USG Pro 4 hier rumliegen. Das hat auch zwei LAN-Eingänge. Damit müsste sowas ja auch funktionieren. (Der Edge Router ist der “große” Bruder, wenn ich das richtig gesehen habe…)
Michael
Nicht dem Hypervisor sondern dem Rest . Also ich meinte es eher so, dass man zB allen PCs in den Computerräumen verbietet auf diese „heikle IP“ überhaupt zugreifen zu können.
Da sie aber in rot liegt, ist sie per default von "überall’ aus erreichbar. Mit geht’s nur darum, dass das uU ungünstig ist – mehr nicht.
Schöne Grüße
Michael