none
Белый IP адрес в Hyper-V RRS feed

  • Вопрос

  • Задача такая: на виртуальной машине под Hyper-V поднять Microsoft Forefront TMG 2010 и присвоить ей (виртуальной машине) 4 выделенные IP адреса. Все они размещены на одном шнуре от провайдера. Структура сети следующая: от провайдера кабель подключен к свитчу, от свитча через два патч-корда идут два выхода, один к шлюзу с отдельным IP для внутренней сети, второй к хостовой машине (Windows Server 2008 R2) на которой установленна роль Hyper-V и два сетевых интерфейса (один для локальной сети, второй - соединен с тем же  свитчём с провайдером). На виртуальной машине развернут MS TMG 2010, и на ней я создал две виртуальные сети подключенные к этим двум сетевым интерфейсам (один внутренний второй внешний соответственно). Вопрос где и какие IP адреса прописать, чтобы выделенные (белые) IP адреса проходили мимо хостовой машыны и попадали только на виртуальную.

    Пробовал такие варианты:
    1. на хостовой машине, на внешнем интерфейсе ничего не прописывал, а на виртуалке прописал белые IP, интернета небыло, точнее, как то появился даже правильный IP определился, и потом пропал (Без доступа к Интернет)

    2. на хостовой для внешнего сетевого интерфейса прописывал локальный IP  например 192.168.1.1, на виртуалке те же белые IP - Без доступа к Интернет

    3. может надо как то на хостовой машине прописать белые IP, а на виртуалке будут внутренние, не знаю только как это реализовать, и возможен ли такой вариант для MS TMG 2010 под Lync

    Может MS TMG 2010 где то блокирует соединение, а может пакеты вообще не доходят к виртуальной машине?!

    Ещё что интересно, что с этой виртуалки пингуються другие компьютеры в сети (это когда внутренняя сеть подключена) а с других компьютеров даная виртуалка не пингуеться ни по имени ни по IP.  


    • Изменено Vitaly_xxx 2 июля 2013 г. 14:34 ошибка в заголовке
    2 июля 2013 г. 14:33

Ответы

  • Если говорить кратко, то:

    При установке TMG вы определяете, какие сетевые интерфейсы куда будут смотреть- и к ним применяются определенные наборы правил, назализирующиеся сверху вниз, и работающие по принципу, все что не разрешил администратор TMG- отбрасываем, как ненужный траффик.

    Присоединюсь к совету коллег- монитор сессий Ваш лучший друг, и он поможет понять, на каком конкретном правиле что происходит.

    >Может надо еще отдельно протоколы (dns,ldap и т.д.) внести в правило или создать новое???

    Нет. Большинство правил уже предустановлены в системных политиках, и работают из коробки- такие, как dns, ldap и т.д.

    Надо открыть встроенную справку и устроить для себя несколько часов полезнейшего, увлекательнейшего чтения.

    • Предложено в качестве ответа Gazizov Almaz 2 августа 2013 г. 2:49
    • Помечено в качестве ответа Elina LebedevaModerator 5 августа 2013 г. 10:37
  • не надо на хостовой машине вообще никаких ип прописывать, кроме управляющего интерфейса, на котором само собой должен быть один внутренний адрес. делаете виртуальный свич, вешаете его на внешний интерйфес хостовой машины, и даете виртуальному tmg нужные внешние адреса.

    по умолчанию tmg блокирует весь трафик кроме разрешенного системными правилами. так делает любой файрвол.

    2 июля 2013 г. 15:49

Все ответы

  • не надо на хостовой машине вообще никаких ип прописывать, кроме управляющего интерфейса, на котором само собой должен быть один внутренний адрес. делаете виртуальный свич, вешаете его на внешний интерйфес хостовой машины, и даете виртуальному tmg нужные внешние адреса.

    по умолчанию tmg блокирует весь трафик кроме разрешенного системными правилами. так делает любой файрвол.

    2 июля 2013 г. 15:49
  • Напрямую пробовали подключать? Для проверки работоспособности данных каналов со стороны провайдера. Как правильно заметил Дмитрий Никитин, ничего прописывать не надо. Удостоверьтесь , что в Virtual Network Manager (из консоли Hyper-V) физические адаптеры , к которым подключен интернет, ассоциируется с виртуальной сетью типа External. Для этой сети определите имя Internet, к примеру, и привяжите к нужным виртуальным машинам. На TMG в св-ах адаптера определите необходимые IP (при необходимости добавьте альтернативные адреса во вкладке дополнительно в св-ах адаптера) 

    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com

    2 июля 2013 г. 17:20
  • Спасибо за ответ Дминитрий.

    Сделал следующим образом, удалил все виртуальные сети которые создавал ранее, и создал новую внешнюю сеть, в принципе такую же как и ранее,  привязал её к свободному физическому адаптеру, на нём не вводил ни каких адресов, подключил этот виртуальный адаптер к виртуальной машине с TMG, и уже непосредственно на ней ввел адреса IP, маски, шлюза и DNS провайдера.

    Интернет не заработал, а после того как я зашел в Службы и остановил Службу межсетевого экрана TMG, интернет заработал. Сейчас буду искать как открыть доступ к Интернету только с этой виртуальной машины (с TMG), и чтобы к другим машинам в сети, в том числе и к хостовой доступа, с этих IP адресов, не было. 

    Может если вы ранее делали подобную операцию, то подскажете как это можно организовать? 

  • Создайте правило "all traffic from localhost to external" + проверьте в Networks правила External должен быть действительно external , т.е. Ваши IP-адреса отображаться должны. 

    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com

  • Спасибо за ответ Роман, всё так и сделал. Выяснил что трафик блокируется межсетевым экраном TMG. Когда останавливаю Службу межсетевого экрана TMG, интернет подключаеться. Сейчас буду искать как открыть доступ к Интернету только с этой виртуальной машины (с TMG), и чтобы к другим машинам в сети, в том числе и к хостовой доступа, с этих IP адресов, не было. 

    Может если вы ранее делали подобную операцию, то подскажете как это можно организовать? 

  • Спасибо за ответ Роман, всё так и сделал. Выяснил что трафик блокируется межсетевым экраном TMG. Когда останавливаю Службу межсетевого экрана TMG, интернет подключаеться. Сейчас буду искать как открыть доступ к Интернету только с этой виртуальной машины (с TMG), и чтобы к другим машинам в сети, в том числе и к хостовой доступа, с этих IP адресов, не было. 

    Может если вы ранее делали подобную операцию, то подскажете как это можно организовать? 

    Для начала определитесь с Вашими сетями. Какие сети считать внутренние и т.д. Потом создавайте соответствующие правила. Если хотите, чтобы никто не имел доступа к интернету , кроме ТМГ, то правила localhost <> external будет достаточно. Все остальные будут блокироваться по default правилу (в самом низу оно). Во время настройки правил активно используйте Traffic Simulator + Log  для отслеживания того, по какому правилу идет ограничение доступа. Не забудьте о том, что внутренние протоколы(dns,ldap и т.д.) необходимо будет разрешать на ТМГ, т.к. он тоже их фильтрует по умолчанию

    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com

  • Создайте правило "all traffic from localhost to external" + проверьте в Networks правила External должен быть действительно external , т.е. Ваши IP-адреса отображаться должны. 

    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com

    Вот видимо в этом вся и проблема, я правило создавал, но когда проверил настройки External то действительно там не были указаны адреса, где добавить их тоже найти не могу. В отличии от Internal, там добавлены адреса, и есть вкладки для их редактирования, а в External только вкладка "Общее" с описанием. 

    Не подскажете как указать внешний сетевой адаптер с IP адресами?

    3 июля 2013 г. 14:10
  • крайне рекомендую почитать документацию к TMG прежде чем лезть в настройки. объект типа network в TMG и в частности External не имеет ничего общего с объектами в hyper-v - это абсолютно разные сущности. External в TMG это подмножество всех хостов не определенных в других сетях, то есть при настройке по умочалнию это все кроме internal, localhost и vpn clients. поэтому он не настраивается и не может быть настроен.

    3 июля 2013 г. 14:16
  • крайне рекомендую почитать документацию к TMG прежде чем лезть в настройки. объект типа network в TMG и в частности External не имеет ничего общего с объектами в hyper-v - это абсолютно разные сущности. External в TMG это подмножество всех хостов не определенных в других сетях, то есть при настройке по умочалнию это все кроме internal, localhost и vpn clients. поэтому он не настраивается и не может быть настроен.

    да согласен, документацию надо перечитать, но когда я упоминал External подключение в последнем сообщении, то я и имел ввиду интерфейс TMG, там в пункте меню Внешняя сеть, не указаны адреса и сетевой интерфейс.

    Скриншот прилагается! При конфигурироавании TMG, после его установки, я указывал виртуальнуб сетевую плату, но видимо после того как я её удалил и наново создал, она не подтянулась в TMG.

    Можно как то указать сетевой интерфейс для Внешней сети? 

     

    3 июля 2013 г. 15:25

  • Для начала определитесь с Вашими сетями. Какие сети считать внутренние и т.д. Потом создавайте соответствующие правила. Если хотите, чтобы никто не имел доступа к интернету , кроме ТМГ, то правила localhost <> external будет достаточно. Все остальные будут блокироваться по default правилу (в самом низу оно). Во время настройки правил активно используйте Traffic Simulator + Log  для отслеживания того, по какому правилу идет ограничение доступа. Не забудьте о том, что внутренние протоколы(dns,ldap и т.д.) необходимо будет разрешать на ТМГ, т.к. он тоже их фильтрует по умолчанию

    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com

    С сетями я определился внутренняя сеть 192.168.0.0 - 192.168.0.224, сетевой адаптер "Внутренний" и есть сеть "Внешняя" с IP адресом провайдера. В интерфейсе TMG в объекте "Внутренняя" сеть IP адреса отображаются которые я указывал при установке, а вот в объекте "Внешняя" сеть, ничего не отображается , кроме вкладки Объект с описанием, а в сетевых платах, то наоборот во "Внешней" сети видны прописаны адреса, а во "Внутренней" стоит Автоматически выбор IP и DNS . Доступа в интернет так и нет!!!

    Пробовал вручную создавать сеть, для внешнего подключение - интернет не появился.

    Создавал правило, для доступа в интернет, от внутренней сети и локальной машины к Внешней сети, и для эксперимента пробовал добавить все сети сразу во Входящие и в Исходящие, интернет не появился! Скриншот внизу прилагается!

    Может надо еще отдельно протоколы (dns,ldap и т.д.) внести в правило или создать новое???

    Или что ещё мне можно предпринять, чтобы доступ в интернет осуществлялся с Внешнего интерфейса??? 

  • Если говорить кратко, то:

    При установке TMG вы определяете, какие сетевые интерфейсы куда будут смотреть- и к ним применяются определенные наборы правил, назализирующиеся сверху вниз, и работающие по принципу, все что не разрешил администратор TMG- отбрасываем, как ненужный траффик.

    Присоединюсь к совету коллег- монитор сессий Ваш лучший друг, и он поможет понять, на каком конкретном правиле что происходит.

    >Может надо еще отдельно протоколы (dns,ldap и т.д.) внести в правило или создать новое???

    Нет. Большинство правил уже предустановлены в системных политиках, и работают из коробки- такие, как dns, ldap и т.д.

    Надо открыть встроенную справку и устроить для себя несколько часов полезнейшего, увлекательнейшего чтения.

    • Предложено в качестве ответа Gazizov Almaz 2 августа 2013 г. 2:49
    • Помечено в качестве ответа Elina LebedevaModerator 5 августа 2013 г. 10:37
  • http://rlevchenko.com/category/tmg/ в начале есть рекомендации по настройке сет.адаптеров 

    + дополнительно запомните, что лучше добавлять адаптер в св-ах сети, а не прописывать диапазон адресов. 

    + хотелось бы увидеть Network Relationship/Rules (Сетевые правила)


    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com


    • Предложено в качестве ответа R.LevchenkoMVP 2 августа 2013 г. 3:39
    • Изменено R.LevchenkoMVP 2 августа 2013 г. 3:41
    2 августа 2013 г. 3:39
  • Подскажите мне пожалуйста. У меня стоит Hyper-V и виртуалка с UNIX. Т.е. мне на Hyper-V надо создать 2 вирт свитча, подсоединить свитчи в виртуалке, а на самой виртуалке 1 адрес прописать внутренний, а другой с внешним IP?
    5 июня 2014 г. 12:38