PC vorübergehend in Netzwerk einbinden; RDP-Zugriff auf VM's gewehren

D0Zi

Cadet 3rd Year
Registriert
Juni 2018
Beiträge
54
Hallo,

um als Dozent hin und wieder tätig zu werden möchte ich mir einen Raum mieten der bereits mit Computern (Windows OS) ausgestattet ist (s. Grafik orangener Bereich).
Das kann aber, da dies nicht immer ausgeübt wird, auch mal ein ganz anderer Raum, bei einem anderen (Seminar-)Raum-Vermieter sein.

Allerdings möchte ich nichts auf diesen Clients installieren, sondern würde meine eigene Workstation (s. Grafik blauer Bereich), auf welcher ich mehrere VM's vorbereitet habe, für jeden User eine, mitbringen.

Die User sollen sich per RemoteDesktop auf die jeweilige VM, die für sie vorbereitet ist, verbinden (s. Grafik grüne Pfeile).
Damit kein anderer User auf die VM eines anderen Benutzers zugreifen kann, dachte ich mir ich regle das in den Firewall-Einstellungen der jeweiligen VM in dem ich dort die MAC-Adresse des jeweiligen Clients binde.
Ob das geht? Wie könnte man das anders lösen?
Gewährleistet soll sein, dass auch nur UserA auf die VM'A käme, UserB nur auf VM'B usw.

Die Workstation, welche ich mit bringe, würde im gleichen Raum stehen wie die Clients und wird per Switch angeschlossen (s. Grafik roter Pfeil).
Zudem soll diese selbst ins Internet dürfen aber die einzelnen VM's nicht!

Weiter ist es so, dass es weitere VM's auf meiner Workstation gibt (s. Grafik blauer Bereich, orangene Pfeile), also im selben Netzwerk, auf welche nicht einfach zugegriffen werden darf.
Diese extra VM's sollen z.B. (Web-)Server im Internet darstellen.

So viel zum Aufbau!

Um was es bei dem Kurs geht soll an dieser Stelle auch nicht diskutiert werden, das ist hier ja nicht von Belang.
Danke!

Wer bis hierher gelesen hat der merkt schon, dass Netzwerke nicht wirklich meine Welt sind.

Jetzt kommt das Problem:
Meine vorbereiteten VM's sind in einem anderen Netzwerk sind als die Clients im gemieteten Raum (man kann ja vorab nicht das Netzwerk kennen, dem man sich "anschließen" möchte).
1. Reicht es da, wenn der Vermieter meine Workstation per Route ins Netzwerk hinzufügt?
2. Es muss gewährleistet werden, dass von meiner Workstation, für das Netzwerk des Vermieters, keine Gefahr ausgeht (könnte mir nämlich vorstellen, dass meine Workstation sonst nicht eingebunden wird; ich somit aber auch nichts lehren kann.).

Wer helfen kann, den bitte ich darum. Alle anderen bitte ich ihre Kommentare für sich zu behalten.

Die IP-Adressbereiche in der Grafik sind frei gewählt.
Netzwerk.png
 
Wenn Du einen fremden Rechner in ein bestehenden Netzwerk integrieren lässt, dann wirst Du zu 90% eine DHCP Adresse bekommen. Dass dann ein Netzwerkadmin eine statische Route auf diesen Rechner zeigen lässt bezweifle ich einfach mal, denn erstens kennt er Deinen Rechner nicht und zweitens wird er das bestehende Netzwerk nicht beeinflussen wollen (OSPF, EIGRP, …).

Im schlechtesten Fall rutscht Du mit deinem Rechner in eine Gäste VLAN und auf dieses sollte von außen (also von dem internen Netzwerk) nicht zugegriffen werden können.

Was ich damit sagen will ist, dass es diverse Netzwerktypen, Sicherheitsstufen und Gegebenheiten geben wird, die immer wieder eine neue Herausforderung für Dich darstellen wird und ich glaube dass der Aufwand enorm sein wird, um überhaupt eine lauffähige Infrastruktur hinzubekommen.

Ich empfehle Dir ganz klar deine Workstation an einen potenten Internetanschluss zu schließen und über das Internet auf die VMs zuzugreifen (Firewalls helfen Dir dabei die Verbindungen einzuschränken, PAT anpassen, z.B. Port 50000 --> 3389 auf VM1, 50001 --> 3389 auf VM2, ...).

Das Problem mit UserA auf VM1 usw. löst Du ganz einfach durch Berechtigungen, das muss nicht per FW gemacht werden.
 
ich sehe folgendes problem :
wenn die vm's nicht ins netz dürfen können die nutzer ja immer noch auf dem client ins netz ?
um das zu unterbinden braucht es an unis einen admin der dir da hilft da dort die clients in einer domäne sind und du das netzwerkkabel nicht einfach rausnehmen kannst um einen switch reinzupacken
 
@andredc
Die Clients selbst dort dürfen logischerweise weiterhin ins Internet.

@dasTTS
Ob ich da per DHCP eine IP bekäme, wenn ich doch auf meiner Workstation kein DHCP aktiviert habe...
Der Ansatz die Workstation ans Internet anzuschließen, den habe ich ja, nur eben wollte ich den VM's kein Internet gestatten.
Da ich aber eh Snapshots habe, würde das ja nichts machen.
Die Frage ist halt auch ob die Remote-Verbindung übers Internet zu den VM's dann schnell genüg wäre.

Natürlich würde alles vorab mit dem Vermieter besprochen. Der würde dann bestimmt auch helfen die Workstation und somit die VM's anzubinden.
 
@D0Zi
1. Du bringst eine Workstation mit schliesst die ans Netzwerk und definierst manuell eine Ip (muss zum dortigem Netzwerk passen und sollte ausserhalb der DHCP range sein)
2. Die Nutzer melden sich an der Domäne an (haben die genug Rechte für eine RemoteVerbindung ?)
3. Du verbietest den VM's den Internetzugriff (warum auch immer wenn der Client Internet hat kann man per Remoteverbindung alles auf die VM Kopieren)
 
@D0Zi
Dann würdest Du natürlich keine IP bekommen, aber je nach Netzwerk und Sicherheit kann es sein, dass statische IP Adressen nicht funktionieren (IP ARP Inspection, bei z.B. Cisco). Der Vermieter muss Dir also wohlgesonnen sein. Und nur weil VMs vom Internet aus oder aus dem Internet genutzt werden können heißt es nicht, dass diese eine Verbindung in das Internet aufbauen können müssen. Das könnte entweder per Windows Firewall oder besser per dedizierter Firewall unterbunden werden. Ich empfehle letzteres, da dort auch ein Monitoring stattfinden kann.

Zugriffstechnisch sehe ich keine Probleme, auch nicht die Einschränkungen zu setzen. Einzig die Integration deines Rechners in ein bestehenden Netzwerk KANN problematisch werden.

Hast Du denn Infos zum bestehenden Netzwerk?
 
Erstmal danke für eure Vorschläge und Hilfe.:)
Noch liegen mir keine Informationen vor, da es quasi erst "Zukunftsmusik" ist und noch nicht wirklich aktuell.
Ich habe mir nur schon mal versucht Gedanken zu machen wie man es ggf. lösen könnte.
 
Sorry, wenn ich den Thread wieder hochhole... ich versuche mich gerade zumindest etwas einzulesen um es zu verstehen.

dasTTS schrieb:
Im schlechtesten Fall rutscht Du mit deinem Rechner in eine Gäste VLAN und auf dieses sollte von außen (also von dem internen Netzwerk) nicht zugegriffen werden können.
So ein isoliertes VLAN wäre doch dann schon das richtige?!
Das könnte man doch selbst auf der Workstation einrichten.

andredc schrieb:
wenn die vm's nicht ins netz dürfen können die nutzer ja immer noch auf dem client ins netz ?
Glaube das können die Dozenten per Software steuern.
Genauso haben sie nämlich die Möglichkeit alle User-Bildschirme von Teilnehmern zu sperren und das auch per Software.

andredc schrieb:
2. Die Nutzer melden sich an der Domäne an (haben die genug Rechte für eine RemoteVerbindung ?)
3. Du verbietest den VM's den Internetzugriff (warum auch immer wenn der Client Internet hat kann man per Remoteverbindung alles auf die VM Kopieren)
Das mit den Rechten für die Remote-Verbindung müsste ich selbstverständlich auch vorab abklären.
Sicher, dass man per Remoteverbindung keine (Einstellungs-)Möglichkeit hat, dass man nichts auf die VM's kopieren kann?
Glaube nämlich schon, denn ich habe auch auf einen Server per remote Zugriff und konnte da erstmals - soweit ich mich erinnere (müsste sogar die "Zwischenablage", unter den "Lokale Ressorurcen" der Remotedesktopverbindung sein) - nichts von meinem PC rüberkopieren, bis ich die Einstellung eben aktiviert hatte.

Ich weiß auch, dass man eine RDP-Verbindung einfach als Desktop-Symbol ablegen kann, dann hat auch keiner die Möglichkeit die "Optionen" aufzurufen. Somit startet das Desktop-Symbol immer die RDP-Verbindung zum Ziel ohne weitere Einstzellungen machen zu können - außer ggf. die Zugangsdaten vom Server einzutippen (aber auch das kann gespeichert werden). Jemand der sich eh nicht damit auskennt, wird kaum in der Lage sein die Zwischenablage zu aktivieren.
 
D0Zi schrieb:
Ich weiß auch, dass man eine RDP-Verbindung einfach als Desktop-Symbol ablegen kann, dann hat auch keiner die Möglichkeit die "Optionen" aufzurufen.
Wenn du es auf dem Desktop als Verbindung speicherst kannst du einen Rechtsklick machen und dann auf bearbeiten, unter dem Reiter Lokale Ressourcen kannst du sogar die Laufwerke mit einbinden also usb Sticks usw. da steht auch was von Ports allerdings weiß ich nicht welche gemeint sind aber das hört sich mächtig an =D
du müsstest dem Nutzer also auch auf deiner VM die Rechte dementsprechend einschränken.
 
Das ist dennoch ein Umweg den nicht jeder finden wird.;)
Zudem arbeite ich ja mit Snapshots, heißt ich kann zu jeder Zeit die VM zurücksetzen.

Ist der User erstmal auf der VM (Vollbildmodus) glaube ich kaum, dass er dran denkt zurück auf den Client zu wechseln und dann irgendwas anderes probiert, als dem Kurs zu folgen.;)
 
Eine VM kann ja unterschiedlich an das Netzwerk angebunden sein.

1) VM-LAN = NAT -> VM bekommt eine IP in einem separaten Subnetz zwischen Host und VM(s)
2) VM-LAN = Bridge -> VM wird vom Host ans LAN "durchgereicht" und kann zB via DHCP eine IP aus dem Host-LAN bekommen

Wenn man die VMs nun mittels NAT (1) konfiguriert, können sie selbst nur ins Internet, wenn der Host es zulässt. Der Host ist dann quasi der Router zwischen LAN und VM und kann dementsprechend auch den Traffic vom/ins LAN steuern. Ein Seminar-PC könnte dann per RDP auf die VM zugreifen, indem die LAN-IP des VM-Hosts eingegeben wird und ein an die jeweilige VM weitergeleiteter Port. So könnte dein VM-Host per DHCP eine IP aus dem Seminar-LAN bekommen, inkl. Internet. Den Seminarteilnehmern gibst du dann die IP des Hosts und einen Port. Teilnehmer1 öffnet dann eine RDP-Sitzung mit host-ip:10001 und Teilnehmer2 nimmt host-ip:10002 etc.. Der Host-PC leitet dann eingehende Verbindungen auf Port 10001 an vm-ip:3389 weiter und los geht's.


Bei Variante 2 bekäme ja jede VM eine eigene IP im Seminar-LAN und hättte dann ohne weitere Gegenmaßnahmen auch Internetzugriff. Man könnte aber beispielsweise das Standard-Gateway bei den VMs einfach weglassen bzw. die Firewall so einstellen, dass das Internet geblockt wird. Sofern man die Berechtigungen des Seminar-Users auf der VM entsprechend einstellt, kann er das auch nicht so ohne weiteres umstellen.

VLANs müssen von der beteiligten Infrastruktur unterstützt werden, also Switch, Router, etc.. Da du ja kaum den Seminar-Raum umverkabeln willst und höchstwahrscheinlich auch keinen administrativen Zugriff auf die Switches dort hast, fällt das flach. In Variante 1 wären die VMs sowieso ausschließlich in einem eigenen Subnetz innerhalb des Host-PCs.
Ergänzung ()

Je nach VM-Software kann es sich im übrigen unterscheiden ob und wie man den Modus der VM-LANs umstellen kann (NAT/Bridge). Sollte es da zu Problemen führen oder der Host-PC kann nicht wie beschrieben adäquat routen - ein Windows-Host ist als Router zB denkbar ungeeignet, weil Windows nur sehr rudimentär routen kann - wäre da noch Variante 3:

3) VMs nicht per NAT, sondern Bridge an das Netzwerk koppeln. Statt den Host-PC und somit die VMs nun aber direkt ans Seminar-LAN zu klemmen, kann man einen 08/15 Router (zB TP-Link Archer, o.ä.) dazwischenhängen. Seminar-LAN in den WAN-Port, Host-PC in einen LAN-Port. Router bekommt an WAN eine IP via DHCP vom Seminar-LAN. Host-PC und VMs bekommen via DHCP eine IP vom Router (oder statische IPs). Router macht Portweiterleitung von WAN (Seminar-LAN) --> VM nach obigem Konzept (1)
In diesem Setup könntest du auch weitere Ressourcen in dein eigenes SubLAN einbinden, zB ein NAS, o.ä. Dazu einfach das NAS an den eigenen Router hängen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: D0Zi
Raijin schrieb:
Bei Variante 2 bekäme ja jede VM eine eigene IP im Seminar-LAN und hättte dann ohne weitere Gegenmaßnahmen auch Internetzugriff. Man könnte aber beispielsweise das Standard-Gateway bei den VMs einfach weglassen bzw. die Firewall so einstellen, dass das Internet geblockt wird. Sofern man die Berechtigungen des Seminar-Users auf der VM entsprechend einstellt, kann er das auch nicht so ohne weiteres umstellen.

Das ist IMHO die eleganteste Lösung, wenn man damit leben kann, dass von den VMs aus Verbindungen zu den Clients initiiert werden können. Bei den VMs einfach das Standardgateway aussparen - dann sind wie beschrieben nur noch Verbindungen ins eigene Netz möglich. Zugriff würde ich über Zugangsdaten lösen oder die IPs der VMs randomisieren; das ist kaum unsicherer als die Ports durchwechseln. Gäbe zwar mit SSH dann noch die Möglichkeit durch Tunneln eine Verbindung von den VMs aus nach draußen aufzubauen, aber dafür bräuchte man SSH Zugriff auf einen Host der eben aus dem Netz darf.
 
Danke!:)
Das muss ich mir alles ein paar mal durchlesen, damit ich es auch wirklich verstehe.;)

Edit:
emulbetsup schrieb:
Zugriff würde ich über Zugangsdaten lösen oder die IPs der VMs randomisieren;
Kannst du bitte darauf nochmal näher eingehen?
Speziell darauf was du mit randomisieren der IP's für die VM meinst.

Also den Remote-Zugriff würde ich sowieso mit Benutzer und Passwort schützen - für das PW da habe ich auch schon eine Idee wie ich das auf den Kursteilnehmer, im Vorfeld, schon spezifiziere, so dass ich dieses nicht "öffentlich" am Kurstag ausgeben/ausplaudern muss und wirklich jeder Teilnehmer nur Zugriff auf seine VM hat.
 
Zuletzt bearbeitet:
Eigentlich ist das gar nicht so kompliziert, man muss es etwas abstrakt betrachten.

Ich mal versucht, das grafisch darzustellen:

VM_Setups.png


Wenn man sich das genau anschaut, sind dort zwei Grundprinzipien zu erkennen, die zum Teil virtuell oder physisch ausgeführt sind.

Prinzip 1: Mehrere Geräte mit eigener Verbindung zum Netzwerk, via Switch/Bridge
Prinzip 2: Mehrere Geräte mit geteilter Verbindug zum Netzwerk, via Router

Überall dort wo NAT steht, sind Portweiterleitungen erforderlich, um von außen (unten) nach innen (oben) zu kommen. Wie man sieht ähneln sich die Setups in weiten Teilen. Ich persönlich würde wohl Variante 3 vorziehen, weil dabei dein eigenes kleines (physisches) Netzwerk entsteht und du zB noch ein NAS, einen eigenen Drucker oder sonstiges Zubehör an den Router anschließen kannst - ggfs sogar via WLAN. Wechselst du die Location, klemmst du den Host-PC an den Router an, steckst das Seminar-LAN in den WAN-Port des Routers, loggst dich in den Router ein und findest seine Seminar-IP heraus und verteilst diese nebst einem VM-Port an die Teilnehmer, fertig.
 
  • Gefällt mir
Reaktionen: D0Zi
D0Zi schrieb:
Kannst du bitte darauf nochmal näher eingehen?
Speziell darauf was du mit randomisieren der IP's für die VM meinst.

Also den Remote-Zugriff würde ich sowieso mit Benutzer und Passwort schützen - für das PW da habe ich auch schon eine Idee wie ich das auf den Kursteilnehmer, im Vorfeld, schon spezifiziere, so dass ich dieses nicht "öffentlich" am Kurstag ausgeben/ausplaudern muss und wirklich jeder Teilnehmer nur Zugriff auf seine VM hat.

Irgendwie kam ich auf die Idee, dass du eine gewisse Sicherheit dadurch sicherstellen möchtest, dass du den Port auf dem das Forwarding für den RDP-Dienst der VM des jeweiligen Teilnehmers eingerichtet ist, nur dem jeweiligen Teilnehmer mitteilst. Das Port-Forwarding kannst du ja fast frei wählen und die Teilnehmer müssten erstmal rausbekommen auf welchem Port die anderen VMs lauschen, wenn sie sich auf diese (unerwünschterweise) verbinden möchten. Das wäre beim NAT (bzw. in dem Fall PAT) eine Möglichkeit gewesen den anderen Teilnehmern den Zugriff auf die anderen VMs zu erschweren. Selbstverständlich löst sich die Möglichkeit in Luft auf, sobald sie berechtigt wären Portscans auf ihren Rechnern durchzuführen.

Bei der von mir präferierten Variante 2, wären die Maschinen ja jeweils über eine eigene IP im Seminar-LAN ansprechbar. Man könnte also einen ähnlichen Effekt wie bei den zufällig gewählten Ports durch zufällig gewählte (randomisierte) IP-Adressen erreichen. Dann könnten die Teilnehmer auch nicht einfach aus der Adresse der eigenen VM auf die Adresse der anderen VMs schließen. Selbstverständlich löst sich auch die Möglichkeit in Luft auf, sobald sie berechtigt wären Portscans auf ihren Rechnern durchzuführen.

Da du aber ohnehin individuelle Zugangsdaten für die VMs hast, brauchst du keine weiteren Vorkehrungen treffen. Sowohl zufällige Ports als auch zufällige IPs sind nur eine kleinere Hürde; die individuellen Zugangsdaten sind dagegen sehr gut geeignet, mir war eben nur nicht klar, ob du den gewünschten Zugriff eben so absichern kannst, also ignoriere bitte die zwei oberen Absätze.

Raijin schrieb:
Ich persönlich würde wohl Variante 3 vorziehen, weil dabei dein eigenes kleines (physisches) Netzwerk entsteht und du zB noch ein NAS, einen eigenen Drucker oder sonstiges Zubehör an den Router anschließen kannst - ggfs sogar via WLAN. Wechselst du die Location, klemmst du den Host-PC an den Router an, steckst das Seminar-LAN in den WAN-Port des Routers, loggst dich in den Router ein und findest seine Seminar-IP heraus und verteilst diese nebst einem VM-Port an die Teilnehmer, fertig.

Zusätzliches Zubehör kann der TE auch bei Variante 2 anschließen. Reichen die physikalischen Ports vom Seminar-Lan nicht aus, kann er einen Switch statt eines Routers zwischenschalten. Variante 3 hat imho zwei andere Vorteile gegenüber Variante 2, aber eben auch einen riesigen Nachteil.

Vorteil von 3 zu 2
  • Es werden weniger IP-Adressen im Seminar-LAN benötigt. Sollte das Netz ziemlich knapp bemessen sein, kommen möglicherweise nicht alle Geräte unter.
  • Von den VMs aus können Verbindungen zu allen Geräten innerhalb des Netzes initiiert werden. Wenn man das nicht möchte, kommt man um Layer-3+ Techniken (Router, Firewall, geschicktes Subnetting) nicht herum. Die Konnektivität ins Internet kann bei den VMs über das ausgesparte Standardgateway verhindert werden.
Vorteil von 2 zu 3
  • Dadurch, dass man sich einen zusätzlichen Router und die damit verbundene Konfiguration von Portforwarding spart, ist der Konfigurationsaufwand sehr viel geringer. Es gibt weniger Fehlerquellen und auch das Troubleshooting (wenn´s mal dann doch nicht tut wie gewünscht) ist sehr viel einfacher.
  • Man braucht nur dann zusätzliche Hardware (in dem Fall einen Switch) wenn die Ports im Seminar-LAN nicht ausreichen. Reichen die Ports im Seminar-LAN aus, ist keine weitere Hardware notwendig und es fallen keine weiteren Kosten an.
 
Zuletzt bearbeitet:
emulbetsup schrieb:
Zusätzliches Zubehör kann der TE auch bei Variante 2 anschließen.
Natürlich kann man das, aber da es sich beim Seminar-LAN um ein fremdverwaltetes Netzwerk handelt, ist das immer so eine Sache. Gerade, wenn sich die Location regelmäßig ändert, würde ich die Kontaktfläche möglichst niedrig halten - sprich: nur ein Gerät im Seminar-LAN, der Rest im "eigenen" Netzwerk. Wenn es beispielsweise ein spezieller Drucker wäre - zB ein Plotter - dann müsste man bei jeder Location erstmal die IP nachschauen und auf allen VMs neu einrichten. Bei Variante 3 nimmt man ja sein eigenes Netzwerk als Insel immer mit, überall hin. Den Konfigurationsaufwand des Routers lasse ich mal außer Acht, da sich dessen Einrichtung kaum von der des heimischen Routers nebst dortiger Portweiterleitungen unterscheidet.

Wie dem auch sei, ich hätte die 3 Varianten ja nicht aufgezählt, wenn ich sie nicht alle für machbar und mehr oder weniger sinnvoll erachten würde. Letztendlich haben aber alle Varianten ihre Vor- und Nachteile wie du schon richtig schreibst. Je nachdem wie der Ablauf der Seminare ist bzw. welche zusätzlichen Ressourcen benötigt werden, kann dies ebenfalls ein Grund für bzw. gegen eine Variante sein. Wird überhaupt keine zusätzliche Hardware benötigt - zB bei einem banalen Word-Seminar - sind entfallen auch die diesbezüglichen Vorteile der einen oder anderen Lösung.

Ich denke da muss @D0Zi nun selbst entscheiden welche Lösung sich am besten für sein Szenario eignet und/oder was er/sie sich zutraut. Zwei Favoriten wurden nun ja schon dargelegt ;)


Übrigens: Was den vermeintlich nicht genehmigten Zugriff auf eine Fremd-VM betrifft: Worin liegt da genau das Problem? Ich meine, normalerweise loggt man sich in einem Seminar in seinem Rechner/VM ein und arbeitet dann mit. Ob man da überhaupt spezielle Schutzmechanismen einbauen müsste, um zu gewährleisten, dass Teilnehmer3 nicht in VM7 einloggt, kann ich nicht beurteilen. Ich würde wohl ganz banal für jede VM jeweils einen anderen Login erstellen und einem Teilnehmer dann auch nur den Login für seine VM mitteilen. Ob er dann die IP und/oder den Port der anderen VMs kennt, ist dann nebensächlich. Es ist ja wohl kaum zu erwarten, dass da ein Hacker im Raum sitzt, der sich zu pösen pösen Seminar-VMs Zugang verschafft? Zur Not macht man Snapshots von den VMs und setzt sie nach jedem Seminar wieder zurück.
 
Danke, dass ihr euch da noch so viele Gedanken für mich macht!:)
Das muss ich euch hoch anrechnen!;)

Die Grafiken sind schön, nur muss ich das alles erstmal richtig verstehen.
Das liegt also nicht an euch.

Die 2 untersch. Varianten sind sicherlich beide gut, da muss ich eben schauen was dann passen würde.
Ein eigenständiges Subnetz, das vom Seminar-Netzwerk getrennt ist, wäre auf alle Fälle schon gut.
Das mit dem extra Router und einem extra Switch behalte ich auch einmal im Hinterkopf.;)

Was ich definitiv nicht brauche sind weitere Ressourcen wie NAS, Drucker etc..
 
Hallo,

jetzt habe ich doch noch weitere Fragen:lol: und hoffe, dass ihr mir da auch weiterhelfen könnt.;)
Noch ist keine Entscheidung gefallen, auch bin ich noch nicht wirklich schlauer :(, was aber nur an mir liegt.

Ich beschäftige mich jetzt auch ein bisschen mit Netzwerk, damit ich davon wenigstens etwas weiß.:rolleyes:

Das Seminar-LAN wäre ein eigenständiges LAN (Beispiel 192.168.10.x) und ich mit meinem "isolierten" LAN (10.x.x.x) hänge mich da mit einem Router (per NAT) und einem Switch dran.
Kann ich meinen Router und den Switch auch simulieren mit z.B. GNS3/NUL etc.?:confused_alt:
Somit würde ich mir extra Hardware sparen.;)

Meinen Rechner würde ich ja per NAT an das Seminar-LAN (Beispiel 192.168.10.x) anschließen.
Mein Rechner hätte auch eine andere feste IP (Beispiel 192.168.200.x) und mein "isoliertes" LAN (Beispiel 10.x.x.x) hat wiederrum eine ganz andere IP.

Mit meiner Rechner-IP (Beispiel 192.168.200.x) würde ich dennoch gerne über das Seminar-LAN ins Internet wollen, während ich das "Isolierte" LAN (Beispiel 10.x.x.x) komplett vom Internet abtrenne (Einstellung in VMware).

Wie müsste ich was konfiguieren?

Danke vorab für die Hilfe.;)
 
Router und Switch simulieren? Wie soll das denn gehen? Router geht im Prinzip schon, wenn das Betriebssystem auf deinem Rechner adäquat routen kann. Windows ist für's Routing denkbar ungeeignet - Design-Entscheidung seitens Microsoft. Selbst Windows Server ist nur ein sehr schlechter Router, weil Windows an sich nur absolutes Standard-Routing beherrscht und 0,garkeine Funktionen bietet, die auch nur 1 bit von 08/15 abweichen.
Man kann dafür allerdings auch eine Linux-VM verwenden, da Linux sich ganz hervorragend als Router eignet - ist schließlich auch bei einem Großteil der Router tatsächlich unter der Haube (abgesehen von Cisco-OS und dergleichen).

Ein Switch wiederum impliziert mehrere LAN-Ports, die er switchen kann. Mit 1x LAN kann man nicht switchen und selbst mit 2x LAN wird das nix, wenn eines davon die WAN-Verbindung ist.

Die Frage stellt sich in meinen Augen aber überhaupt nicht, da es ziemlich witzlos ist, sich am PC eine komplette VM für's banale Routen zu bauen, wenn man einfach einen 20€ WLAN-Router hinstellen kann. Wenn die Größe ein Problem ist, dann gibt es u.a. von TP-Link winzige WLAN-Router, die so groß sind wie eine Schachtel Zigaretten (zB TP-Link MR3020 @ 30€). Ein kleiner 5-Port-Switch ist auch nicht viel größer. Wenn man etwas sucht, findet man vermutlich auch einen All-In-One-WLAN-Router-mit-Switch im handlichen Format. Den MR3020 habe ich selbst im Einsatz und einen D-Link Go-SW-5G als 5er Switch dazu. Letzterer braucht 5V/1A und kann somit theoretisch sogar via USB betrieben werden. Hab ich noch nicht ausprobiert, aber müsste prinzipiell gehen.


Zu deinen IP-Spielchen hin und her: Ein Subnetz ist ein Subnetz und eine IP ist Teil eines Subnetzes. Man kann nicht "einfach so" seinem PC eine beliebige IP verpassen und Daumen drücken, dass es klappt. Wenn das Seminar-LAN 192.168.10.x hat und dein isoliertes LAN 10.0.0.x, dann kannst du dir nicht einfach so eine IP 192.168.200.x aus den Fingern saugen. Du könntest jedoch je nach Router zB den Zugriff vom 10.0.0.x Subnetz ins 192.168.10.x Subnetz (bzw. ins Internet) nur für zB 10.0.0.254 freischalten. Die Seminar-Teilnehmer bekämen dann vom DHCP zB 10.0.0.10 - 10.0.0.19 und dein PC selbst direkt die 10.0.0.254 damit er weiterhin Internetzugriff hat. Da muss man sich aber anschauen ob der Router den Zugriff so blockieren bzw. freigeben kann.
 
Du könntest die Windows-VMs zusammen mit dem virtuellen LAN-Interface einer beliebigen Firewall-VM (IPFire, pfSense oder opnSense) in ein eigenes virtuelles Netz hängen. Die WAN-Seite der Firewall-VM dann via Netzwerkbrücke auf dein physikalisches LAN-Interface deines Rechners konfigurieren und voilà - der vollständige Aufbau ist virtualisiert. Beim Anlegen der Firewall-VM aber darauf achten, dass der promiskuitive Modus der LAN-Interfaces erlaubt ist. Sonst führt das absehbar zu Problemen.

Aber: Wie Raijin schon angedeutet hast, solltest du dir noch mal die Grundlagen von IPv4 ansehen. Egal für welchen Aufbau du dich entscheidest, solltest du dir über Netze, Netzgrößen (Subnetting) und Bedeutung des Standardgateways im Klaren sein. Sonst wirst du keinen Router/Firewall ordentlich konfiguriert bekommen.
 
Zurück
Oben