ComputerBase Menü
Aktuelles

HyperV VMs vom übrigen Netz abkapseln

D

Der.Tobi

Cadet 4th Year
Registriert
Juli 2017
Beiträge
83
Hallo zusammen!

Ein Kaufmann benötigt einmal Hilfe bei etwas technischem. :)

Und zwar möchte ich zwei Hyper-V Maschinen vom restlichen Netz abschotten. Zur Zeit bekommen Host-PC und die VMs über ein Kabel in das selbe Netz.
Gern würd ich HyperV aber mitteilen das die beiden HyperV Maschinen in einem eigenem Netz bestehen sollen.
Ließe es sich so einstellen, das der HostPC sich ins 'normale' Netz einwählt und die beiden VMs in ein extra Netz. Internet sollen die beiden VMs trotzdem noch besitzen.
Ist Subnetting da der richtige Begriff?

Wie gehe ich da vor? Google erschlägt mich mit berechnen, und PiPaPo. Dabei weiß ich noch nichtmal ob ich auf dem richtigem Weg bin?

Danke für Unterstützung.


Viele Grüße!
 
Einfach die beiden Rechner auf NAT stellen im Netzwerk. Dann sind die in einem eigenem Netz und können ins Internet. Der lokale Rechner (Host) arbeitet dann quasi wie ein Router.

Glaube das heißt bei Hyper-V internes Netz im Netzwerkmanager.

Sorry, ich mache normal immer VMWare.
 
Hi

Hierfür nutzt man entweder ein VLAN oder (wenn ein Server) verwendet eine Dedizierte Schnittstelle für die VM's.
 
Grundsätzlich ist es so: Wenn die Netzwerkschnittstellen einer VM als Bridge laufen, dann sind sie effektiv im selben Netzwerk wie der Host. Die VMs haben eine eigene IP und für das übrige Netzwerk sieht es so aus als wenn die VMs ein separates Gerät sind obwohl sie ja nur virtuell sind.

Im Gegensatz zum bridged Modus kann man die Schnittstellen auch auf NAT umkonfigurieren. In dem Falle würden die VMs für das übrige Netzwerk hinter dem Host verschwinden, so wie ein PC hinter einem Internet-Router verschwindet und von außen nicht sichtbar ist.

Da ich bisher noch keine Berührungspunkte mit HyperV hatte, kann ich dir leider nicht konkret sagen was du wo einstellen musst. Ich betreibe VMs nur sporadisch mit VMWare und da findet man es in den VM-Einstellungen.
 
Ic3HanDs schrieb:
Glaube das heißt bei Hyper-V internes Netz im Netzwerkmanager.
Zum Vergrößern anklicken....
Darüber bin ich schon gestolpert.
Jedoch war mein Verständnis, das im Internen Netz nur Host-PC und VMs miteinander kommunizieren können? Oder lieg ich da falsch?
HyperV bietet drei Möglichkeiten
Extern = Einbindung in das physische Netzwerk
Intern = Beschränkt auf Kommunikation mit HostPC
privat = Nur VMs untereinander

GuardianAngel93 schrieb:
Hierfür nutzt man entweder ein VLAN oder (wenn ein Server) verwendet eine Dedizierte Schnittstelle für die VM's.
Zum Vergrößern anklicken....
BassFishFox schrieb:
Stichworte dazu sind virtueller Switch, VLAN und eine zweite Netzwerkkarte im Host..
http://www.searchnetworking.de/tipp...lle-Switches-in-Hyper-V-richtig-konfigurieren
Zum Vergrößern anklicken....

Dankeschön. In diese richtung hatte ich auch schon recherchiert. Habe aber angenommen vielleicht ginge das auch mit nur EINEM Kabel.
(Zweiter Ethernet Port ist verfügbar, aber mit ein paar Metern Kabel verbunden.:freak:)
..Danke für eure Unterstützungen.

Ich habe gerade Testweise einen neuen virtuellen Switch erstellt und habe dort 'Intern' als Kommunikationstyp gewählt.
Leider keine Internetverbindung.
 
Zuletzt bearbeitet von einem Moderator:
Ein "NAT-Switch" ist in Hyper-V erst ab Win10/Server 2016 möglich, und dann auch nur über die PowerShell. Einen DHCP-Server gibts dann auch nicht, so dass das alles in Hyper-V (noch) nicht wirklich praktikabel ist. Ist aber auch nicht weiter schlimm.
Ansonsten zum Nachlesen: https://www.windowspro.de/wolfgang-sommergut/nat-switch-hyper-v-einrichten-windows-10-server-2016

Um in Hyper-V die VMs vom Host (Parent Partition) abzutrennen, wird entweder mit VLANs gearbeitet, oder indem der Host eine andere physische Netzwerkkarte bekommt & die VMs einen separaten virtuellen (externen) Switch der auf eine andere physische NIC geht. Und von da aus auf einen Router der an dem Port ein unterschiedliches LAN aufmacht. Letzteres ist die imho gängigere und... "sichtbarere" Variante.

Aber viel wichtiger: Was gibt es für Switches? Sind die managebar/VLAN-fähig? Was für einen Router gibt es?

Die VMs bloß in ein anderes Subnetz zu stellen ergibt nicht die "richtige" Trennung wie es mit VLANs/separaten Router-Interfaces möglich ist.
 
Ja es gibt 3 Varianten:
Extern (du hast Zugriff auf dein Netzwerk, welches auch bei VLAN benutzt wird)
Privat (Es ist nur möglich zwischen den VM's mit dem selben Privat Adapter sowie deinem eigenen Rechner zu kommunizieren)
Intern (Es ist nur möglich zwischen den VM's mit dem selben Intern Adapter zu kommunizieren.

Über ein Kabel geht natürlich schon, aber da muss dein Router auch VLAN fähig sein ;) bzw. deine Firewall.
 
GuardianAngel93 schrieb:
Über ein Kabel geht natürlich schon, aber da muss dein Router auch VLAN fähig sein ;) bzw. deine Firewall.
Zum Vergrößern anklicken....
Soso..
Ich hab nämlich in HyperV dem Switch eine VLAN gegeben und der VM. Funktioniert nicht. Fehlt wohl noch der Router. ;)
Kann die Fritzbox VLAN Tagging?

Wie sähe denn die Konfig aus, wenn ich ein zweites Netzwerkkabel anschließen würde? Die Lösung würde sich doch kaum von Lösung 1, über ein Kabel, unterscheiden, oder?
 
Also ob eine Fritzbox dies kann, weiss ich leider nicht. Verwende keine dieser Produkte.

Bei einem Zweiten Netzwerk Kabel, muss natürlich dein Router bzw. deine Firewall auch die Ports Physikalisch trennen können und nicht nur einen eingebauten Switch haben.

Also Lösung 2:
Deine Firewall / dein Router trennt Physikalisch die Ports. Du hast 2 Physikalische Kabel sowie 2 Physikalische Netzwerkkarten in deinem Server / Rechner. Nun kannst du im Hyper-V direkt eine Netzwerkkarte für die VM's verwenden. Netzwerkzugriff für den VM-Server selber erfolgt über die andere Netzwerkkarte.
Ich meine, dazu benötigt man Windows Server - Ein Pro etc. kann diese Funktion glaube ich nicht! Bin aber nicht sicher, da ich nicht auf einem normalen Pro etc. Virtualisiere bzw. wenn, dann ist mir der Netzzugriff eh egal ;)

Vorteil von Lösung 2:
Ist dein VM Netzwerk infiziert mit Viren etc. kann dies nicht auf dein anderes Netzwerk übergreiffen (ausser die Firewall würde versagen) - Da alles Physikalisch getrennt ist (ja auch wenn alles im selben Server steckt ist dies durch die "Passrtuh" - hoffe richtig geschrieben) so geschützt, dass zugriffe nicht mehr möglich sind. Klar irgendeiner wird dies schon hinbekommen irgendwie.. aber Für gewöhnlich reicht dies ;)
 
Lösung 2 liest sich für erste ganz gut.

Aber wie werden da die Netze getrennt, wenn beide Kabel von der Fritzbox kommen? Das wäre dann ja der bestehende Sachverhalt nur mit einem zusätzlichem Kabel. :(
= Selbes Netz, nur, das die VMs ein eigenes Kabel haben, und die Host Maschine.

Was mich noch verunsichert ist die Aussage: "[...] natürlich muss dein Router [...] auch die Ports Physikalisch trennen können und nicht nur einen eingebauten Switch haben."
 
Mit einer Fritzbox geht das auch nicht wirklich. Die kann höchstens ein zweites Netz ausschließlich auf LAN4 aufmachen, für den Gastzugang. Da könntest du dann das Kabel für die VMs einstecken und den Host selber in LAN1-3.

Mit getaggten VLANs (wenn mehrere VLANs über ein Kabel gehen sollen) kann sie auf LAN-Seite überhaupt nicht umgehen. Das sind alles ausschließlich untagged Ports.

Wenn es hier um ein produktiv genutztes System geht, ist die Fritzbox sowieso schon mal fehl am Platz und höchstens als Modem für einen richtigen Router bzw. Firewall tauglich.

Draytek Vigor wäre hier wohl die nächst-günstigste Alternative wenn es um mehrere VLANs gehen soll.
 
Zuletzt bearbeitet:
Das ist jetzt eine blöde Ausgangslage.
LAN4 kann ich nicht benutzen.

Anderes Netzwerkkabel wäre kein Problem, da die Fritze über LAN1 in den Sicherungsschrank auf den Devolo Phasenkoppler geht, und dann Powerline daraus zaubert. Da der Powerline-Adapter am anderen Ende noch Ports zur Verfügung hat, wäre das kein Thema ein weiteres Kabel in die zweite Netzwerkkarte zu stecken.

Bei LAN4 sieht es da schon anders aus:
Dafür müsste ein eigenes Kabel aus dem EG in den Keller gelegt werden. Keine Leerrohe, o.ä. vorhanden. - Das ist dann keine Option für mich.

Alternativ könnte ich ein zweites Powerline-Netz extra für die VMs benutzen, mit zwei anderen Adaptern bzw. Passwort.
Aber 1. weiß ich nicht ob man zwei Powerline Netze parallel im selben Stromnetz betreiben kann.
2. Kann ich aus Erfahrung sprechen, das Steckdose-Steckdose ziemlicher schlecht ist. Kein Vergleich zur ordentlichen Powerline Installation.


Ok... Gäbe es denn noch eine andere Alternative? z.B. innerhalb der VM Regeln erstellen, das nicht 'zurück gefunkt' werden kann?
1x Linux
1x Windows
 
Du könntest zwei managed Switches nehmen. Einer bei der Fritzbox, einer bei deinem PC. Die Verbindung zwischen den beiden Switches geht über Powerline.
Auf den beiden Switches definierst du zwei VLANs, bspw:

VLAN 1000 - LAN
VLAN 1001 - VMLAN

Am Switch am oberen PC definierst du ein paar Buchsen untagged auf VLAN 1000 und schließt dort u. A. die Netzwerkkarte des Hosts an.
Dann eine Buchse untagged VLAN 1001. Hier wird die Netzwerkkarte vom PC für die VMs angeschlossen.
Auf den Switchport der in den Powerline-Adapter geht werden beide VLANs tagged geschaltet.

Am unteren Switch definierst du wiederum den Port der in den Powerline-Adapter geht tagged für beide VLANs.
Ein paar Ports setzt du untagged VLAN 1000. Von hier geht es in LAN1-LAN3 der Fritzbox.
Ein anderer Port wird untagged VLAN 1001 geschaltet und geht in LAN4 der Fritzbox.

Zack, sind die VMs im "Gastnetz" der Fritzbox.
 
Hi

Kurz zum Thema Physikalisch getrennt aus dem Selben Gerät:
Beispiel:
Du hast eine Firewall von z.B. Fortinet (Fortigate 60D oder was auch immer).
Dieses Gerät ist in der Lage jeden Internen Port einzeln zu verwalten. Sprich: Du kannst von Port 1 eine Regel für Port 2, 3, 4.. sowie Extern etc. erstellen. Diese Ports sind intern gegenseitig geschützt durch Firewall etc.
Du kannst z.B. einrichten, dass alles von Port 1 nach Extern sowie allen internen Ports kommt aber von Port 2 etc. kommst du nicht an das, was in Port 1 hängt (Firewall Regeln).
Ist ein Gerät in der Lage dies vorzunehmen, spricht man von einer Physikalischen Trennung (da jeder Abgesonderte Port auch einen eigenen IP Range bekommt)! Also du baust dann wirklich 2 Physikalische Netzwerke auf.

Ein Normaler Router kennt eigentlich nur folgende Funktion:
WAN Port/s vom Internen Lan Physikalisch getrennt und das wars.

Wie erwähnt gewisse Geräte gehen weiter und können (falls gewünscht) die Einzelnen Ports noch verwalten. Können aber auch auf "dumm" gestellt werden wie bei einem 0815 Router ;)

Ich hoffe, es ist etwas verständlich geschrieben?

LG
 
Ein EdgeRouter-X für 50€ kann wunderbar mit/ohne VLANs routen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz