none
Hyper-V, Internet Zugriff fuer Gast Maschinen im internen Netz RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo liebe Community,

    ich habe eine Frage zu Hyper-V und dessen Netzwerkkonfiguration.

    Folgende Ausgangssituation ist vorhanden:

    1 physischer Host Computer, Windows 2012R2 mit installierter Hyper-V Rolle
    1 physische Netzwerkkarte, per DHCP IP von einer Fritzbox, Netz 192.168.178.0, Internetzugriff
    1 interner vSwitch, feste IP 192.168.1.1
    1 virtueller Computer, verbunden mit dem internen vSwitch, feste IP 192.168.1.10
    Auf beiden Maschinen die ICMP Echoanforderung erlauben in der FW aktiviert

    Der physische Host kann die virtuelle Maschine im Netz 192.168.1.0 pingen, und umgekehrt. Die virtuelle Maschine hat keinen Internet Zugriff.

    Wie kann man nun die virtuelle Maschine für den Internetzugriff konfigurieren?
    Über den externen Switch ist es keine Option, da die virtuelle Maschine getrennt vom übrigen Netz laufen soll. Sie soll als DC dienen, und Dienste wie DNS und DHCP sollen in dem Netz 192.168.1.0 für weitere virtuellen Maschinen konfiguriert werden. 

    Für Lösungsansätze bin ich sehr dankbar.

    Viele Grüße
    Karsten


    • Bearbeitet Karsten2604 Donnerstag, 11. August 2016 21:19
    Donnerstag, 11. August 2016 21:18
    |

Antworten

  • Question
    Anmelden
    4
    Anmelden

    Hallo Karsten,

    Es gibt die Möglichkeit deiner Virtuellen Maschine (ggf. eine separate VM) mit einer Externen vNIC und einer internen/Privaten vNic zu konfigurieren. Dieser VM gibst du die Rolle Routing und RAS und konfigurierst sie als Router. Hierdurch kannst du deinen VMs Internet bereitstellen ohne dass alle im Externen Netz sein müssen.

    Hier ist ein MVA Kurs wo dies im zweiten Video vorgestellt wird.

    Gruß Benjamin

    Benjamin Hoch
    MCSE: Data Platform
    MCSA: SQL Server 2012/2014
    MCSA: Windows Server 2012
    Blog

    Freitag, 12. August 2016 03:30
    |
  • Question
    Anmelden
    4
    Anmelden

    Moin,

    um das nochmal zu verdeutlichen: Um einer VM externen Zugriff zu geben, muss Dein Hyper-V über einen externen Switch verfügen. Und eine Router-VM ist bei 2012R2 die einzige supportete Lösung (solange man nicht in Netzwerkvirtualisierung einsteigt). Mit 2016 wird sich das ändern bzw. mit Windows 10 hat sich das schon geändert - da kannst Du NAT mit einem internen vSwitch betreiben: https://msdn.microsoft.com/en-us/virtualization/hyperv_on_windows/user_guide/setup_nat_network?branch=scooley-client-nat&f=255

    Wenn Du derzeit kein Bock auf RRAS hast, kannst Du auch eine frei verfügbare Router-VM-Distro auf anderer Basis nehmen; mein persönlicher Favorit hier ist pfSense.

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Freitag, 12. August 2016 06:53
    |
  • Question
    Anmelden
    2
    Anmelden

    Die Netzwerkkarten auf dem Externe Switch brauchen eine Adresse des Fritzbox DHCP. Nur auf dem Internen Netz darf dein eigener DHCP Server Adressen verteilen. Sonst wirst du keine Verbindung bekommen. Und der RRAS Server braucht eine Statische (DHCP) Adresse um als Router erreichbar zu sein.

    Prüfe mal die NAT Konfiguration im RRAS 

    Wenn alles Richtig eingestellt ist muss bei den Internen LAN Karten als Gateway die Interne IP des RRAS Server stehen.

    Benjamin Hoch
    MCSE: Data Platform
    MCSA: SQL Server 2012/2014
    MCSA: Windows Server 2012
    Blog

    Freitag, 12. August 2016 11:26
    |

Alle Antworten

  • Question
    Anmelden
    4
    Anmelden

    Hallo Karsten,

    Es gibt die Möglichkeit deiner Virtuellen Maschine (ggf. eine separate VM) mit einer Externen vNIC und einer internen/Privaten vNic zu konfigurieren. Dieser VM gibst du die Rolle Routing und RAS und konfigurierst sie als Router. Hierdurch kannst du deinen VMs Internet bereitstellen ohne dass alle im Externen Netz sein müssen.

    Hier ist ein MVA Kurs wo dies im zweiten Video vorgestellt wird.

    Gruß Benjamin

    Benjamin Hoch
    MCSE: Data Platform
    MCSA: SQL Server 2012/2014
    MCSA: Windows Server 2012
    Blog

    Freitag, 12. August 2016 03:30
    |
  • Question
    Anmelden
    4
    Anmelden

    Moin,

    um das nochmal zu verdeutlichen: Um einer VM externen Zugriff zu geben, muss Dein Hyper-V über einen externen Switch verfügen. Und eine Router-VM ist bei 2012R2 die einzige supportete Lösung (solange man nicht in Netzwerkvirtualisierung einsteigt). Mit 2016 wird sich das ändern bzw. mit Windows 10 hat sich das schon geändert - da kannst Du NAT mit einem internen vSwitch betreiben: https://msdn.microsoft.com/en-us/virtualization/hyperv_on_windows/user_guide/setup_nat_network?branch=scooley-client-nat&f=255

    Wenn Du derzeit kein Bock auf RRAS hast, kannst Du auch eine frei verfügbare Router-VM-Distro auf anderer Basis nehmen; mein persönlicher Favorit hier ist pfSense.

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Freitag, 12. August 2016 06:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Benjamin,

    vielen Dank für Deinen Beitrag, der mir weiter geholfen hat. So habe ich nun den externen Switch konfiguriert, basierend auf der einen physischen Netzwerkkarte und die IP Adresse 192.168.178.200 zugewiesen. Nun die Rolle Routing installiert, und unter Routing und RAS das NAT (2. Option) konfiguriert. Die FWs habe ich auf beiden Maschinen deaktiviert, nur für alle Fälle. Der Host findet natürlich immer noch seinen Weg ins Internet (Netz 192.168.178.0).

    Die virtuelle Maschine kann nun von 192.168.1.10 die IP 192.168.178.200 pingen. Jedoch findet sie immer noch keinen Weg ins Internet. Auch andere IPs aus dem 192.168.178.x können nicht angepingt werden.

    Frage(n):
    Spielt hier die Funktion DirectAccess eine Rolle? Die Beschreibung dazu hört sich sinnvoll an...
    -> Dazu müssen aber beide Maschinen in einer Domäne sein, bislang ist das nicht der Fall.
    Habe ich etwas vergessen? Vielleicht eine statische Route?
    -> Auch in der Fritzbox können statische Routen aktiviert werden. Nützt mir das hier etwas?

    Dazu müsste ich vielleicht noch schreiben, dass die DHCP Funktion in der Fritzbox deaktiviert ist. In diesem Netz 192.168.178.0 arbeitet bereits ein DC, der DHCP und DNS bereitstellt. Darum hat der externe vSwitch auch die .200 bekommen, da der DHCP Server bis .199 verteilt.

    Vielen Dank für Eure Hilfen!

    Gruß
    Karsten

    Freitag, 12. August 2016 11:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Evgenij,

    auch Dir vielen Dank für Deine Antwort. pfSense werde ich mir mit Sicherheit einmal genauer anschauen. Auch warte ich gespannt auf den Server 2016, der nun bald endlich herauskommt.

    Hier allerdings baue ich mir eine Testumgebung, unter anderem um für die Microsoft Exams 70-410 bis 412 auch in der Praxis zu üben. Darum setzte ich hier tatsächlich nur die Windows Server 2012 Bordmittel ein.

    Einen 2016 Mitgliedsserver dieser neuen Domäne welche ich aufbaue, wird es garantiert auch geben.

    Viele Grüße
    Karsten

    Freitag, 12. August 2016 11:17
    |
  • Question
    Anmelden
    2
    Anmelden

    Die Netzwerkkarten auf dem Externe Switch brauchen eine Adresse des Fritzbox DHCP. Nur auf dem Internen Netz darf dein eigener DHCP Server Adressen verteilen. Sonst wirst du keine Verbindung bekommen. Und der RRAS Server braucht eine Statische (DHCP) Adresse um als Router erreichbar zu sein.

    Prüfe mal die NAT Konfiguration im RRAS 

    Wenn alles Richtig eingestellt ist muss bei den Internen LAN Karten als Gateway die Interne IP des RRAS Server stehen.

    Benjamin Hoch
    MCSE: Data Platform
    MCSA: SQL Server 2012/2014
    MCSA: Windows Server 2012
    Blog

    Freitag, 12. August 2016 11:26
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Benjamin,

    "Die Netzwerkkarten auf dem Externe Switch brauchen eine Adresse des Fritzbox DHCP."

    Diese haben wie oben beschrieben eine statische IP zugewiesen, im Netz 192.168.178.0/24, hier die .200 für den externen Switch. Dort ist die Internetkonnektivität auch gegeben. Die Fritzbox bietet zur Zeit keine DHCP Funktionalität, das übernimmt mein Domain Controller in der produktiven Umgebung. Ich kann dem externen Switch auch per DHCP eine IP beziehen lassen, funktioniert natürlich auch und ich lasse es nun auf DHCP stehen (IP .96 hat er bekommen).

    Der RRAS Server Computer, welcher ja nun auch der physische Hyper-V Server ist, hat eine feste IP auf dem internen vSwitch, 192.168.1.1/24. und auf dem externen Switch nun eine IP vom DHCP erhalten.

    Die Eigenschaften meines externen vSwitches sehen genau so aus wie in dem Screenshot gezeigt.

    Auf dem virtuellen Computer habe ich dann den Gateway korrigiert, auf die interne IP des Host Servers, was vorher nicht der Fall war.

    Situation nun:
    Immer noch kein Internetzugriff auf dem virtuellen Computer. 
    Der Host hat nach wie vor Internetzugriff, kann die virtuelle Maschine pingen.
    Der virtuelle Computer kann von seinem Netz 192.168.1.0/24 auch die IP des externen vSwitches pingen, 192.168.178.96/24, welche per DHCP verteilt wurde.

    Fazit: Das NAT scheint zu funktionieren, aber da hört es dann auf. Firewall ist weiterhin offline, auf dem Host und auch auf der virtuellen Maschine. Irgendwo muss noch was fehlen, oder nicht passen?

    Vielen Dank und Grüße
    Karsten

    P.S.

    Obwohl ich nichts weiter gemacht habe, funktioniert es plötzlich. Sehr interessant. Ich wollte eigentlich mal einen tracert auf 8.8.8.8 machen. Zwar gab es eine Zeitüberschreitung im zweiten Knoten (vielleicht wg. der Namensauflösung die ja noch nicht funktionieren kann?), aber dann hat er sich bis 8.8.8.8 durchgepingt. Und auch der Ping auf 8.8.8.8 funktioniert.

    Demnach hat sich dann dieses Thema hier erst einmal erledigt. Vielen Dank für Eure Hilfen!

    • Bearbeitet Karsten2604 Freitag, 12. August 2016 13:23
    Freitag, 12. August 2016 12:43
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Karsten,

    deine Infrastruktur ist komplexer als man es bei ersten lesen vermuten würde, aber wenn es jetzt funktioniert ist es ja super.

    Es wäre schön wenn du die Antworten von Evgenij und mir "als Antwort" markierst.

    Gruß und schönes Wochenende

    Benjamin Hoch
    MCSE: Data Platform
    MCSA: SQL Server 2012/2014
    MCSA: Windows Server 2012
    Blog

    Freitag, 12. August 2016 13:49
    |
  • Question
    Anmelden
    2
    Anmelden

    Obwohl ich nichts weiter gemacht habe, funktioniert es plötzlich. Sehr interessant.

    Mark Minasi hat mal, 2008 glaube ich, einen Vortrag über einige Überlebensregeln für Windows-Admins gehalten, die er aus seiner Erfahrung heraus abgeleitet hat. Ganz prominent dabei war:

    --- Wait 15 minutes

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Freitag, 12. August 2016 14:23
    |
  • Question
    Anmelden
    0
    Anmelden

    --- Wait 15 minutes

    Evgenij,

    you made my day :P

    Freitag, 12. August 2016 14:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Benjamin,

    nein ist nicht komplex, definitiv noch nicht. Wenn ich in eine größere Firma gehe, dann ist alles komplexer ;).
    Ja ich werde die Antworten entsprechend markieren.

    Viele Grüße
    Karsten

    Freitag, 12. August 2016 14:53
    |