Netzaufbau: Wie trennt ihr Hypervisor vom Rest?

Hi.
Die Überschrift sagt es eigentlich schon – ich wüsste rein aus Interesse mal gerne, wie ihr das bei euch geregelt habt, dass der Hypervisor möglichst getrennt vom Rest des Netzes ist und trotzdem von außen (pub-key, Webinterface?) erreichbar ist.

Auch von innen sollte der Hypervisor möglichst nicht von grün aus erreichbar sein (zumindest nicht aus allen Subnetzen). Daher mal in die Runde gefragt … wie ist das bei euch eingestellt?

Schöne Grüße,
Michael

Hallo Michael,

an meiner alten Schule hatten wir das so umgesetzt, dass der Hypervisor zusammen mit dem Rest der Infrastruktur (USVs, Switches, etc.) in einem Management-VLAN ist. Erreichbar ist er nur von einem Admin-PC im Serverraum aus oder per OpenVPN per dedizierter Firewall von außen.
Hab vor, das an meiner neuen Schule wieder so oder so ähnlich umzusetzen.
Weitere Meinungen dazu?

Viele Grüße,
Jochen

Hallo,

an meiner alten Schule hatten wir das so umgesetzt, dass der Hypervisor
zusammen mit dem Rest der Infrastruktur (USVs, Switches, etc.) in einem
Management-VLAN ist. Erreichbar ist er nur von einem Admin-PC im
Serverraum aus oder per OpenVPN per dedizierter Firewall von außen.
Hab vor, das an meiner neuen Schule wieder so oder so ähnlich umzusetzen.
Weitere Meinungen dazu?

das kann man schon so machen: ist in jedem Fall sicherer.

Ich für meinen Teil habe meine Latte weniger hoch gelegt: mein
Hypervisor (KVM) ist aus grün erreichbar: aber nur per ssh und mit ssh-key
Grafische Oberfläche gibt es eh nicht per webserver :slight_smile:

LG

Holger

Hi. Wenn man den Hypervisor in das grüne Netz legt, beißt sich die Katze doch in den eigenen Schwanz: wenn der Server ausfällt, muss aber der lml-Server laufen, damit man auf den Hypervisor kommen kann. Das halte ich für ungünstig, oder??
Schöne Grüße,
Michael

Hallo Michael,

Hi. Wenn man den Hypervisor in das grüne Netz legt, beißt sich die Katze
doch in den eigenen Schwanz: wenn der Server ausfällt, muss aber der
lml-Server laufen, damit man auf den Hypervisor kommen kann.

warum?
Routet der Server etwa?

Ich komme ohne Problme auf die 10.16.1.10 (unifi) wenn der Server nicht
läuft.

LG

Holger

Hi Holger.
Nein, aber wenn der Hypervisor in grün ist, kommt er zB nicht ins Internet, wenn der IPFire steht (bzw wenn der Hypervisor selbst irgendwas hat, so dass die VMs nicht starten). Daher finde ich es eher ungünstig, wenn der in grün steckt. Wenn er zudem von außen erreichbar sein soll, hängt das von den laufenden VMs ab. (IPFire & OpenVPN). Ungünstig, oder??
Schöne Grüße
Michael

Ja. Ein Grund, warum unsere Firewall “bare metal” ist.

Hi.
Eigener PC oder fertige Lösung?
Michael

Hallo Michael,

wir haben damals eine fertige Lösung gekauft. Die gibt es ja von jedem Hersteller der bekannten Firewalllösungen (IPFire, pfSense, OPNSense, …) welche.

vG Stephan

X-Post - schätze, dass du auch so etwas in der Art gekauft hast??

Hallo Michael,

mein Hypervisor ist auch von grün erreichbar, was ja aber nicht heißt, dass er keine IP im Roten Netz hat und zur Not auch darüber ins Internet käme. Alle Ports auf diese IP von außen sind von BelWü gesperrt, außer einem Port für SSH.

LG
Max

Hallo Max.

Ja, das ist bei uns auch so – allerdings ist er damit ja intern allen Netzen “ausgesetzt”. Das würde ich eigentlich gerne anders haben. Daher ist die Idee einer Firewall (auf Blech) mit getrenntem Netz für den HyperVisor gar nicht so schlecht!?

Oder hast du im IPFire zusätzliche Regeln, die den Zugriff auf rot weiter einschränken?
Schöne Grüße,
Michael

Hallo Michael,

es gibt hier zahlreiche Varianten. Um dem eine weitere hinzuzufügen noch
unsere:

Wir verwenden ziemlich durchgehend inzwischen Unifi Hardware. Zusätzlich
haben wir uns einen HW Router gegönnt, aus kosten Gründen den
EdgeRouter, ein passender Unifi Router ist derzeit einfach zu teuer.

Der Router hat an einem Port das Verwaltungsnetz, in dem ich alle Geräte
habe, die nicht unmittelbar aus den anderen Netzen erreichbar sein
müssen/sollen, unter anderem Auch der Zugriff auf den Hypervisor.
Vorteil ist, dass der Zugriff auf alle laufenden Geräte auch dann
möglich bleibt, wenn der IPFire ausfallen sollte. Auch ist es deutlich
schwerer sich selbst den Boden unter den Füßen wegzuziehen.

Nettes Extra Feature ist die Intel Management Konsole. Damit kann man
dann eigentlich so ziemlich alles von zuhause aus lösen.

Grüße
Björn

Hallo Björn.
Klingt gut – wir haben von Unifi das große USG Pro 4 hier rumliegen. Das hat auch zwei LAN-Eingänge. Damit müsste sowas ja auch funktionieren. (Der Edge Router ist der “große” Bruder, wenn ich das richtig gesehen habe…)
Michael

Hallo Michael,

ich habe keine VLANs, also ja, er ist intern ganz Grün ausgesetzt.

Das verstehe ich nicht, warum soll ich dem Hypervisor den Zugriff auf rot einschränken? Hab mir da aber auch nicht so viele Gedanken gemacht…

LG
Max

Hallo Max.

Nicht dem Hypervisor sondern dem Rest :slight_smile: . Also ich meinte es eher so, dass man zB allen PCs in den Computerräumen verbietet auf diese “heikle IP” überhaupt zugreifen zu können.
Da sie aber in rot liegt, ist sie per default von "überall’ aus erreichbar. Mit geht’s nur darum, dass das uU ungünstig ist – mehr nicht.
Schöne Grüße
Michael

Hallo Michael,

ah, ok. Da nur ssh per Zertifikat erlaubt ist, ist das Risiko glaube ich eher geringer. Die Gefahr droht sowieso eher aus dem Internet…

LG
Max