none
Hyper-v virtualni adaptery RRS feed

  • Dotaz

  • Dobry den,

    mam nod (hw server), ktery ma sitovku a v hyper-v virtualni adapter k teto sitovce. Pak mam druhy virtualni adapter (interni). Virtualni pocitac s fw opnsense. Wan rozhrani je adapter s fyzickou sitovkou a lan rozhrani interni adapter. Na interni adapter pak pripojen virtualni pocitac s windows 10. Z konzoly hyper-v mi funguje internet....tedy z virtualni site do fyzicke.

    Nyni jsem zkusil nastavit na fw mapovani tcp portu 3389 (rdp) z wan adresy fw na interni ip virtualnich windows 10. Myslim si, ze mam nastavene vse spravne, ale rdp z fyzicke site, pripadne virtualniho pocitace na strane wan fw dovnitr neprojde.

    Moje otazka je, jestli mi to nemuze "sabotovat" virtualizace?

    Dekuji za odpoved.

    úterý 12. ledna 2021 15:43

Odpovědi

  • Ale abychom to zase uplne otocili:

    Ten VM s OpenSense je tam JENOM kvuli NATu? Zadna specializovana FW pravidla, jen OBYC NAT? Jestli ano, pak doporucuji se zamyslet nad myslenkou od MP, kterou tu (jak je jeho zvykem velmi skryte) naznacil :)

    A ja to reknu polapaticky: mas-li Hyper-v alespon na W2016, udelej si NATovaci vSwitch :) usetris VMko

    Cti treba zde:

    https://pixelrobots.co.uk/2017/06/create-a-hyper-v-nat-virtual-switch/
    https://pixelrobots.co.uk/2017/07/how-to-create-nat-rules-for-hyper-v-virtual-nat-switch/

    EDIT: a nakonec jsem mel pravdu, ze problem byl v NATovacim OS a jeho nastaveni. nikoliv v Hyper-V.


    pátek 15. ledna 2021 21:21

Všechny reakce

  • Nemohl bys to popsat nejak jinak? Obrazek? Asi jsem malo chapavy...

    - Mas server s jednou LAN, na nem Hyper-V. Chapu spravne?
    - Cituji: "Pak mam druhy virtualni apdapter (interni)..." Nechapu. VMko ma 2 virtualni LAN adaptery? OK. Do jakeho vSwitche? Tj. mas dva vSwitche, jeden zapojeny do LAN fyz. serveru a druhy, ktery nikam nevede, je jen interni?

    - v hyper-v mas W10. OK, chapu. Ma jeden virtualni LAN adapter. OK. Ten je pripojen kam? Do ktereho vSwitche?

    Cemu rikas WAN?

    Proste neumis vysvetlit nezaujatemu cloveku tvoje zapojeni. Zkus to znovu...

    POZN/EDIT: a jak si to ctu ponekolikate - opet nejasnost..
    Cituji - "a v hyper-v virtualni adapter k teto sitovce" - nerozumim. Tedy mluvis o tom, ze OS nainstalovany na fyz.serveru ma MGMT virtualni adapter zapojeny do vSwitche, do ktereho je zapojena i fyz.LAN?

    Namaluj obrazek.

    A zkus si neco precist o sitovani v Hyper-V. Treba zde
    https://www.altaro.com/hyper-v/simple-guide-hyper-v-networking/
    https://www.altaro.com/hyper-v/virtual-networking-configuration-best-practices/


    úterý 12. ledna 2021 20:11
  • Omlouvam se za spatnou formulaci. Jednak jsem to zkusil nakreslit a jednak asi pouzil spatne nazvoslovi. Fyzicky nod hyoerv ma fyzickou sitovku zapojenou do fyzickeho switche. Ve virtualizavi je nad tim vytvoren fyzicky switch. Dale pak existuje switch typu internal.

    Virtualni pocitac kde bezi firewall opnsense ma wan rozhrani pripojene k switchy vazanemu na fyzickou sitovku. Lan rozhrani pak na switch typu internal.

    Na virtualnim fw se snazim premapovat port rdp do interni site na dalsi virtualni pocitac, coz neprochazi. V internim switchi kde je lan port vm fw jsou dalsi 2 vm (w10 stanice a domenovy kontroller). No a ja se z pocitace pripojeneho do fyzickeho switche, pripadne z vm pripojeneho do externiho swithe stejne jako wan port vn fw potrebuji dostat na rdp w10 stanice. Na fw se snazim port premapovat ale nefunguje to.


    středa 13. ledna 2021 6:03
  • takze se bavime o Add-NetNatStaticMapping (NetNat) | Microsoft Docs ? Tzn. nastavi jsi IP adresy, NAT a nyni chces vytvorit staticky mapping portu skrz NAT?

    MP

    středa 13. ledna 2021 8:58
    Moderátor
  • Ano. Firewall je v default konfiguraci. Tedy zevnitr ven vse povoleno po ip4 a ip6. Cil je se z "venku" dostat na w10 pres rdp. Na to jsem vytvoril pravidlo:

    - zdroj cokoliv

    - cil fw wan ip, port 3389

    - presmerovat na ip w10, tedy 100.100, port 3389

    No a proste to nefunguje.


    • Upravený Michal Churavy středa 13. ledna 2021 10:51 oprava preklepu
    středa 13. ledna 2021 10:50
  • Uz jsem konecne u pc, to psani z telefonu je peklo. No ja nevim, ja ten nat nastavuji na tom virtualnim pocitaci s firewallem opnsense. Ne v hyper-v. Nebo Vam spatne rozumim?

    Na obrazku je to zrejme.

    https://drive.google.com/file/d/17JCjJRZvcuKwJqEN5dg1Tl5x-DT2BZ2W/view?usp=sharing

    Potrebuji se tedy dostat z pcitace napr. 1.100 nebo 1.101 na pocitac 100.100 prostrednictvim rdp. V hyper-v jsem se snazil udelat "fyzickou" sit. Cvicny novy domenovy kontroler a stanici v nove domene a tu pres fw (virtualni pocitac) pripojit do internetu a na druhou stranu se tam dostat.

    Ale na urovni hyper-v jsem nic nenastavoval. Predpokladal jsem, ze nat mezi fyzickou a virtualni siti mi bude delat ten virtualni pocitac firewall opnsense.


    středa 13. ledna 2021 11:59
  • Ten obrázek sem prostě nedostanu a kreslit znovu se mi nechce :)

    Slovní popis.

    • Fyzická síť je připojena do fyz.adapteru Hyper-V serveru a tento adapter je připojen do vSwitche WAN.
    • existuje druhý vSwitch LAN, který nemá žádné spojení s okolním světem - je interní
    • Existuje VM s dvěma síťovými kartami, každá vede do jednoho vSwitche. Na VM je nainstalováv OS ve kterém běží NAT.
    • Existuje VM s Windows 10, které má jednu síťovou kartu připojenou na vSwitche LAN

    Cílem je zveřejnit RDP port VM s Win10 přes NAT běžící v druhém VM. Nebo-li z fyzické sítě (do které je připojen i vlastní Hyper-V server) se na nějakém nestandardním portu dostat na RDP VM s Win10.

    OK, chápu, obrázek konečně hodně vysvětlil :)

    Čemu opět nerozumím, jsou tvoje vyjádření: " V hyper-v jsem se snazil udelat "fyzickou" sit...." Nechápu nic.

    Pokud platí obrázek: Hyper-V v tom prsty IMHO nemá. Chyba je v NATu, nebo základním síťování.

    • Umíš se dostat z VM s OpenSense na RDP s Win10? Tj v rámci interní sítě realizované vSwitchem LAN.
    • jak má Win10 nastavenou GW a defaultní routu?
    • Jak má Opensesne nastavené routy?
    • NATuješ správným směrem?

    Možná úplně dementně - když změním IP adresu ve VM s Win10 na nějakou z "wan" a přepnu virtuální LAN tohoto VM do vSwitche WAN (tím se VM win10 objeví ve fyz.síti, vynechám NAT), tak se na RDP dostanu?

    Jen abychom neřešili složitosti, a nehledali chyby v NAT, když třeba nefunguje ani základ




    středa 13. ledna 2021 13:53
  • Uplne zjednodusene k tomu co nas zajima, fyzicky server virtualizace (nod) ma jednu fyzickou sitovou kartu pripojenou k fyzicke siti:

    192.168.1.0/24, gw:1.3, dns1: 1.20, dns2: 1.13

    Kde gw je firewall fyzicky s pristupem do internetu. Dns servery jsou zaroven domenove kontrolery pro domenu, produkcni domenu, napr. domena1.

    Na nodu bezi virtualni produkcni servery, ktere jsou zapojeny do switche hyper-v, ktery je prirazen k fyzicke sitove karte, karta je pak fyzicky pripojena do vyse uvedene site. Virtualnimu switchi budeme rikat es1.

    Myslenka byla vytvorit nove cvicne prostredi, na uplny zacatek 2 virtualni pocitace, server (domenovy kontroler pro novou cvicnou domenu) a stanici (ovladani core kontroleru). To jsem udelal tak, ze jsem vytvoril 2 virtualni stroje, ktere jsem take pripojil k es1. V podstate mi to takhle stacilo do doby, nez jsem chtel na cvicnem novem serveru testovat dhcp (druhy dhcp server ve stejnem segmentu neni uplne idealni), tudiz vznikl napad vytvorit novy virtualni switch (interni), rikejme mu is2. Cvicny server i stanici jsem priradil k novemu switchi, respektive jejich sitove karty a byla to parada. Nastavil jim novou sit:

    192.168.100.0/24. V podstate jsem nepotrebopval branu a komunikoval pocitac s domenovym kontrolerem. Tedy do doby, nez jsem se na ne potreboval dostat ze site 192.168.1.0/24 pres rdp a zaroven jsem pro ne potreboval internet. Tak vznikl napad, ze nainstaluji dalsi virtualni server, firewall, ktery bude mit 2 rozhrani. wan, pripojene do 192.168.1.0/24 a lan do 192.168.100.0/24. A ten mi zajisti, ze sit 100.0 bude mit pristup do internetu a zaroven na druhou stranu mi bude posilat port rdp 3389 za fw na ip adresu win 10.

    Konfigurace fw, wan rozhrani:

    192.168.1.50/24, gw:1.3, dns1: 1.20, dns2: 1.13

    Konfigurace fw, lan rozhrani:

    192.168.100.1/24

    Konfigurace VM server, dale jen dc1:

    192.168.100.10/24, gw:100.1, dns1: 127.0.0.1

    Konfigurace VM stanice, dale jen w10:

    192.168.100.100/24, gw:100.1, dns1: 192.168.100.10

    V ramci site 192.168.100.0/24 jsou rdp funkcni, pingy funkcni, dostanu se vzajmene na sebe a do internetu...tudiz z is2 na es1 bez problemu...no a kdyz to funguje ven, rikal jsem si, ze to bude fungovat i dovnitr, tak jsem na fw nastavil pravidlo:

    zdroj - libovolny

    cil- 192.168.1.50, tcp, port: 3389

    prelozit do vnitrni site 192.168.1.100, port: 3389.

    Ale to jak rikam, nefunguje. Je to dano tim, ze na interni switch se musi definovat nat v odkaze, co jste uvedl...takze pozadavek z venku, dostanu dovnitr. No ale pak je otazka, jestli muzu i rict, ze vsechno zevnitr pujde ven? Abych tim switchem nasimuloval firewall. No a pokud to nejde, je nejaka cesta, jak vytvorit ve virtualizaci virtualni fw? Tak jak se to chova me napada jen vytvorit dalsi switch, ktery bude mit spojeni s jinou fyzickou sitovou kartou, napr. es2 a priradit napr. wan sitovce do es1 a lan sitovce do es2? To uz ale nemusim resit fw na urovni hyper-v, ale muzu to pres soucasne rozhrani poslat jinou vlanou do fyzickeho fw a tam si vse zaridit. Jenze me staci fakt jen aby mi moje zkusebni sit mohla jid do internetu a dalo se do ni dostat na spravu stanice, rdp host:

    192.168.1.50

    pripadne 192.168.1.50:6000 (bude rdp na 100.10 a prekladat 6000 z venku na 3389 dovnitr)

    Tak se pak dostanu na oba vm z produkcni site aniz bych musel pouzivat hyper-v konzoli.


    středa 13. ledna 2021 15:30
  • TL;DR. Nevidim jediny vyskyt klicoveho prikazu / metody "Add-NetNatStaticMapping"

    Jak tedy nastavujes NAT a posleze stat. mapping?

    MP

    středa 13. ledna 2021 15:41
    Moderátor
    • Umíš se dostat z VM s OpenSense na RDP s Win10? Tj v rámci interní sítě realizované vSwitchem LAN.
    • > ano, v ramci interniho switche a site 100.0 muzu pouzivat pozadovane sluzby, taktez to fungovalo, kdyz to bylo ve stejnem segmentu jak produkce
    • jak má Win10 nastavenou GW a defaultní routu?
    • > ip 100.100, vychozi brana 100.1 a routa 0.0.0.0 na 100.1 pres rozhrani 100.100
    • Jak má Opensesne nastavené routy?
    • > vychozi instalace, wan adresa nastavena staticky, takze co nezna, posila na branu 1.3
    • NATuješ správným směrem?
    • > ano, z venku dovnitr...nejde mi printscreen konzole

    • Možná úplně dementně - když změním IP adresu ve VM s Win10 na nějakou z "wan" a přepnu virtuální LAN tohoto VM do vSwitche WAN (tím se VM win10 objeví ve fyz.síti, vynechám NAT), tak se na RDP dostanu?
    • > presne tak, to byla prvotni konfigurace pred pozadavkem na test dhcp, nove vm byly v es1 a vse fungovalo jak melo.

    středa 13. ledna 2021 15:50
  • Ted jsem zkusil jeste zmenit is2 z interni na privatni ale chova se to porad stejne, ven se dostanu ale dovnitr ne. Jinak u stanice jsem uz zkousel vypinat fw a ruzne dalsi kraviny, abych vyloucil nejakou hloupou chybku.
    středa 13. ledna 2021 15:58
  • No nenastavuju...nevedel jsem, ze se ma nastavovat. Nat nastavuji jen na urovni virtualniho fw.  Jenze jak rikam, kdyz nastavim nat na is2, tak nepotrebuju ten virtualni firewall...ale mel jsem dotaz, jde pak ten nat nastavit i ven, abych mel internet nebo to jde jen dovnitr? Musim si nekde nastudovat jak ty adaptery a switche funguji, doted jsem pouzival jen ten vazany na fyzickou sitovku.


    středa 13. ledna 2021 16:47
  • to MP: jestli spravne chapu, pouziva se pro NATovani neWindows OS = IMHO prikaz Add-NetNatStaticMapping tu neuvidis.

    to MCH: bezne v Hyper-V provozujeme VM, ktera delaji NAT. Typicky u zakazniku treba KerioFW appliance. Tj chybu bych nehledal v Hyper-V, ale v nastaveni NATu

    Mas moznost druhe sitove karty ve fyzickem OS s hyper-V? Tj, ze bys misto karty "WAN" pripojene do vSwitche es1 pouzil primo namapovanou LAN kartu do VM. Tato LAN karta bude primo pripojena do fyz.switche.

    Tim ti zmizi jedna promenna z tve rovnice. Porad typuji na chybu v NAT.

    A nebo neni pravdivy obrazek, ktery si dodal.



    čtvrtek 14. ledna 2021 11:17
  • Uz mi to funguje. Obrazek pravdivy je, jen jsem zmenil ip rozsahy oproti realu (192.168.x.x ale pouzivam, menil jsem jen konce). Chyba nebyla v natovani, ale v nastaveni firewallu opnsense.

    Studoval jsem na internetu, jak funguji jednotlive adaptery (privatni, interni a externi). Ze zoufalstvi jsem na nodu rozbil team fyzickych sitovek (vyjmul jednu), abych mohl vytvorit dalsi externi switch. Bal jsem se, ze fw v appliance nebude fungovat na interni nebo privatni switch. No a kdyz to nefungovalo ani na externim switchi a byl jsem si jisty, ze mam nat a jine ip nastaveni spravne spravne, zacal jsem se jeste stourat v nastaveni fw. No a na wan rozhrani jsem objevil dva chceckboxy:

    - Block private networks

    - Block bogon networks

    Po odskrtnuti to zaclo fungovat jak ma. Jeste jsem si povolil ping na wan, ale to nemelo zasadni vliv na funkci rostlinare.

    Mam tedy v hyper-v externi switch (jiz existujici), ktery ma wan sitovka vm opnsense. Lan sitovka vm opnsense je novy switch (privatni) a k tomuto switchi jsou pripojeny i dalsi vm (server dc a w10 desktop). Mam tedy vlastni zkusebni sit, pres pravidla na fw vm opnsense si urcuji co a jak pujde ven i dovnitr. Coz je presne co jsem chtel. Abych se dostal na rdp dc01 a w10, mam nat dvou portu zvenku dovnitr na ip adresy tech vm a port 3389.

    Dekuji za trpelivost, snahu pomoci a vlasne se omlouvam za spam, jelikoz jsem to tema vubec nepatrilo, jelikoz chyba byle jinde, nez v nastaveni MS.


    pátek 15. ledna 2021 11:46
  • Ale abychom to zase uplne otocili:

    Ten VM s OpenSense je tam JENOM kvuli NATu? Zadna specializovana FW pravidla, jen OBYC NAT? Jestli ano, pak doporucuji se zamyslet nad myslenkou od MP, kterou tu (jak je jeho zvykem velmi skryte) naznacil :)

    A ja to reknu polapaticky: mas-li Hyper-v alespon na W2016, udelej si NATovaci vSwitch :) usetris VMko

    Cti treba zde:

    https://pixelrobots.co.uk/2017/06/create-a-hyper-v-nat-virtual-switch/
    https://pixelrobots.co.uk/2017/07/how-to-create-nat-rules-for-hyper-v-virtual-nat-switch/

    EDIT: a nakonec jsem mel pravdu, ze problem byl v NATovacim OS a jeho nastaveni. nikoliv v Hyper-V.


    pátek 15. ledna 2021 21:21
  • Ne, kdyby byl jen kvuli natu, tak bych po tom co jste radili a co jsem nacetl udelal nat na urovni hyper-v switche. Myslenka je vytvorit cvicnou sit se vsim vsudy (vpn, nat, rizeny pristup do internetu, routing, vlan, atd...), tudiz mi vm fw vyhovuje.

    Jeste jednou diky.

    sobota 16. ledna 2021 7:58
  • Muzes dat cloveku rybu

    Muzes jej naucit rybarit

    Muzes jej prinutit premyslet a vyresit svuj problem samostatne

    MP

    sobota 16. ledna 2021 14:44
    Moderátor
  • To sice ano, ale s postupujicim casem je pocet lidi samostatne premyslejicich stale mensi.
    Tj system "chytremu napovez" bohuzel prestava stacit.

    Ja to vidim u zakazniku, ty predpokladam vidis i jako ucitel :)

    Nic proti MCH - ten patri do te premyslejci skupiny a snazi se neco sam zjistit.. Super... :)

    sobota 16. ledna 2021 18:58
  • Neboj, zakazniky mam taky.

    Ale sem snad stale jeste chodi profici pro nakopnuti, aby prozreli a problem si vyresili SAMI, STANDARDNIM zpusobem a OPAKOVATELNE.

    MP

    pondělí 18. ledna 2021 7:25
    Moderátor