ESXI + IPFire + Unitymedia IPv4 - (Minecraft) Server Hosten

[SinnedNima]

Hallo Zusammen,

schlaflose Nächte und Alkohol bringen nichts mehr, darum wende ich mich vertrauensvoll an die Netzwerk-Gurus unter euch.
Bevor ich noch komplett den Verstand verliere.

Folgend ist mein Netzwerk strukturiert:

		/"""ROT(192.0.1.1)
Fritzbox 6490 (x.x.10.101/30)	--- IPFire (x.x.10.102/30)	---GRÜN (192.0.2.1)
		\__ORANGE (192.0.3.1)	--- ESXI Host (192.0.3.6)	--- Ubuntu Server (192.0.3.10)
		\__ BLAU (192.0.4.1)

Ich möchte gerne den Ubuntu Server erreichbar machen. Der Minecraft Server ist korrekt installiert und lokal auch erreichbar/betretbar.
Versucht habe ich gefühlt alles an Freigaben, Forwarding, NAT usw. leider ohne Erfolg.
Die Fritzbox und die IPFire Firewall sind beide via ping von Außen zu erreichen. Vom Provider UM habe ich einen Business Tarif mit fester IPv4 im 30er Subnetz. IPFire ist exposed host und der Rest kommt wie gewünscht ins Netz. In der DMZ (Orange) haben ebenfalls host und
Clients des ESXI keine Schwierigkeiten ins Internet zu kommen.

Ich komme nur nicht von Außen auf den Server. Blöde Frage, aber kann ich das überhaupt von GRÜN (Heimnetz) aus testen, wenn ich den
exposed host (x.x.10.102/30) pinge / beitrete, oder geht mein Rechner (Minecraft) eine interne Route? Die anderen pings habe ich vom
Mobiltelefon gemacht, um auf Nummer sicher zu gehen.

Ich würde mich über eure Ratschläge sehr freuen, es lässt mir einfach keine Ruhe mehr.

LG
SinnedNima

 

[xexex]

Meine erste Frage wäre, ist das dein ernst?

192.168.x.x ist ein Bereich für private Netzwerke, 192.0.x.x ist es keineswegs!

 

[Nizakh]

Fast, aber nicht ganz. Es gibt da noch ein paar Ausnahme Netze.

192.0.0.0/24 ist private
192.0.2.0/24 ist TEST-NET-1
192.168.0.0/16 ist private

Das heißt von den 4 Konfigurierten Netzen wäre das 192.0.2.0/24er Netz „zulässig“, die anderen drei Netze allerdings nicht. (Das Netz wo der Ubuntu Server u. ESXi vorhanden ist, also das 192.0.3.0/24 Netz, ist eine public IP Adress Range)

Aus dem Heimnetz kannst du das nicht 100%ig testen, Defaultmäßig erreicht man das Ziel dann gar nicht. Außer es ist eine Loopback Funktion in deiner IP-Fire Standardmäßig aktiv, welche das Ziel samt Policies und NAT/PAT erkennt und dann direkt dahin weiterleitet.

 

[snaxilian]

https://tools.ietf.org/html/rfc1918 Liest denn keiner mehr RFCs oder meinetwegen auch Wikipedia o.ä.?
192.0.0.0/24 als auch 192.0.2.0/24 sind nicht als private Netze deklariert und sollten daher nicht für interne Netze genutzt werden.

Ein Ping ist nicht zwingend sinnvoll auch wenn es von vielen gern genutzt wird. Gibt mehr als genug Admins, die Ping blockieren, besser wäre direkt auf den Port der Anwendung zu testen...
Testen aus Heimnetz wie gesagt schwer bis unmöglich aufgrund von loopback.

Aber: Warum zur Hölle hast du den ESXi und deine VM im selben Subnet? Übernimmt jemand deine VM kann er sich von da aus weiter hangeln zum ESXi. Management sollte man immer von Applikation trennen.

 

[SinnedNima]

Hallo Zusammen,

vielen Dank für die Antworten. Ich hatte die 192.0.2.0 noch in Erinnerung und bin von daher ausgehend einfach hochgezogen. War mein blöder Fehler .

Habe jetzt alle internen Netze umgestrickt auf 192.168.x.x

@snaxilian
Danke für den Tipp, macht auf jeden Fall Sinn den Host nicht komplett in die DMZ zu setzen.
Wie kann ich das am geschicktesten bewerkstelligen? Den ESXI nach ins GRÜN nehmen und dann wie Firewallregeln den Guest in die DMZ bringen? Hab momentan nur ein NIC deshalb frage ich.

Das ganze mit dem ESXI ist erstmal vorübergehend, bis ich neue Hardware beschaffe.

Ich probiere es nochmals mit den Regeln von außen auf den Minecraft Server zu kommen.

 

[snaxilian]

Wenn du nur eine NIC hast und Netze am ESXi trennen willst kommst du zwangsweise nicht um VLANs drum herum. Dann packst den ESXi in ein VLAN, die VMs in ein oder mehrere andere VLANs, verbindest deine eine NIC mit der Firewall und musst natürlich auch auf der Firewall einrichten, dass auf dem einen Interface mehrere VLANs ("Farben") anliegen und welche dies sind. Ansonsten zweite NIC besorgen.

 

[SinnedNima]

Vorneweg: Vielen Dank für die Prügel mit dem Zaunpfahl. @xexex & @snaxilian

Echt so dumme Anfängerfehler von meiner Seite

Es funktioniert alles nun einwandfrei!

@Nizakh & @snaxilian
Scheinbar macht er die Loopback defaultmäßig in IPFire. Ich hatte nach erfolgreicher Freigabe der Ports keine
Probleme auf den ESXI-Guest zu kommen.

Ich habe in der Theorie zwei NICs, leider ist der eine ein Realtek-Chip. Von daher müsste ich nochmal Hand
anlegen. Bin in der ganzen Thematik noch etwas neu, Netzwerk war in meiner Ausbildung doch etwas
stiefmütterlich behandelt worden. Da muss ich mich noch etwas rein fuchsen.

Sobald ich das Hardwareupgrade mache, zieh ich den Managementbereich aus der DMZ raus.
Falls Ihr noch ein paar Tipps, Lektüre usw. für einen frischen Admin habt, würde ich mich sehr übers teilen freuen.

LG

SinnedNima

 

[snaxilian]

Na immerhin weißt du um deine Schwächen, gibst selbst du wenig Ahnung von Netzwerken zu haben und willst dann ne Firewall administrieren? Lern die Grundlagen, was wann wie Subnetting, VLANs und der daran hängende Rattenschwänze (Inter-VLAN routing, DHCP helper, etc), wie man rudimentär Wireshark oder direkt tcpdump bedient und so Datenflüsse analysieren kann.

Wenn du VMware Zeugs lernen willst schau dir die englischsprachigen Kurse an. Gerade viele Grundlagen bekommt man so vermittelt. https://mylearn.vmware.com/mgrReg/plan.cfm?plan=33611&ui=www_edu

Ansonsten gibt es einen Grund für IPFire und gegen pfsense o.ä.? Generell findet man solche Firewall-Lösungen selten in freier Wildbahn und wenn dann eher die BSD-basierten Varianten

Generell gibt es haufenweise freie Tutorials und Möglichkeiten neben den oft frei zugänglichen Dokus der diversen Hersteller. Wenn du in der IT arbeitest, dann ist Eigeninitiative gefragt und nicht vorkauen lassen. Lerne Logs zu lesen und zu analysieren und/oder stelle spezifische Fragen. Es gibt haufenweise Tipps, Lektüren, etc aber nicht alles ist sinnvoll. Arbeitest du viel mit Virtualisierung? Dann lerne die Basics zu NFS, iSCSI und FC denn ohne Storage läuft keine VM. Bringt dir nur wenig, wenn du fast nur Windows administrierst oder vorrangig $Anwendung wie Exchange oder Webserver oder Datenbankserver oder etwas anderes betreust.

 

[SinnedNima]

Vielen Dank für deine Ratschläge! Ich nehme mir so viel ich kann davon zu Herzen.
Ich bin eigentlich in der Windows Client Administration, Exchange und AD zu Hause. Will mich halt stetig weiterbilden. Ich hatte noch Mobile Devices und Medientechnik in petto, nach der Ausbildung verlor sich das etwas (Blackberry ist ja nicht mehr und in meiner jetzigen Firma haben wir schon einen für die Medienräume, da spring ich nur zur Vertretung ein)

Das Backend also blieb weitestgehend von mir unberührt und ich versuche mich entsprechend Zuhause damit auseinander zu setzen. Vorkauen lassen ist eher weniger mein Ding komme halt aus komplett anderen Ecken und ich Frage nur wenn ich echt nicht mehr weiter weiß.

IPFire hatten wir in der Berufsschule im Einsatz. Bin natürlich für neues und besseres offen.

LG

SinnedNima