Test-Lab – Firewall – meine erste VM
hier geht es zum vorherigen Artikel (Hyper-V Einstellungen)
Den Zugang der VMs in das externe Netz regelt bei mir eine PfSense Firewall.
Dazu erstelle ich eine Generation1 VM mit 512MB RAM. Das heruntergeladene ISO File stelle ich gleich als CD-Rom bereit, welches auch in der Boot Reihenfolge ganz oben steht.
Aus allen vier eingerichteten Hyper-V Switches stelle ich eine Netzwerkkarte zur Verfügung.
2xextern (WLan, Ethernet), 2x intern.
Booten, anhand der Mac-Adressen zuordnen von WAN (Ethernet), LAN.
Für mein VM-Lan nehme ich ein C-Netz im Bereich 192.168.1.1/24 mit aktiviertem DHCP Server.
Wenn die PfSense VM läuft und die Grundkonfiguration erledigt ist, muss ich nur noch am Hostsystem einstellen, dass DHCP verwendet wird. Kurz darauf wird eine IP-Adresse zugewiesen, und die restliche Konfiguration kann komfortabel über die Admin Oberfläche von PfSense erledigt werden.
Die zweite externe Netzwerkkarte (WAN-Wireless) richte ich analog der ersten als Gateway Schnittstelle ein. Die zweite interne bekommt 192.168.2.1/24. Wieder mit DHCP.
Da ich verhindern will, dass wenn ich über mein Handy einen Hotspot zur Verfügung stelle, die VMs fleissig Updates downloaden, richte ich die PfSense so ein, dass sie nur beim Routen vom 192.168.2er Netz ein Failover Gateway Group (WAN und WAN-Wireless), für die 192.168.1er nur das Gateway WAN verwendet wird.
Bei den zukünftigen VMs setze ich somit 192.168.2.x auf eine „metered“ Connection.
Ein Problem gilt es allerdings noch zu lösen.
Das Hostsystem bekommt von der PfSense ebenfalls ein Gateway geliefert. Funktioniert auch tadellos, solange man über WLan (USB) und/oder Ethernet sauber in einem Netzwerk hängt.
Sobald das aber nicht der Fall ist, will auch der Host über die VM in das Internet routen. Warum?
Die Metric der Route sagt dem Betriebssystem welche Route die Beste ist. Und da hat der Netzwerkadapter zur PfSense Priorität
Um das zu ändern öffne ich eine Powershell Sitzung und suche mir die den ifIndex (NN) der betroffenen (vEthernet (intern…) (ix=26/16) Adapter heraus, für die ich die InterfaceMetric (YY) anpassen muss.
Die Metric muss für die betroffenen Interfaces größer sein, als beim gewünschten (vEthernet (WAN-ETH (ix=13) bzw. Wlan (ix=17)) – in meinem Fall 25 (ETH) und 35 (WLAN)
powershell:
Get-NetIPInterface
Set-NetIPInterface -InterfaceIndex NN -InterfaceMetric YY
Wenn ich das wieder zurückstellen will, dann brauche ich nur
Set-NetIPInterface -InterfaceIndex NN -AutomaticMetric enabled
Durch diese Änderungen habe ich jetzt folgende Metric
vEthernet (WAN-ETH) 25
WLAN 35
vEthernet (Intern(1.x)) 50
vEthernet (Intern(2.x)) 51
.. und das bedingt, dass das Host-Betriebssystem zuerst über das Netzwerkkabel, dann über die WLAN Schnittstelle versucht ein Gateway zu erreichen. Über die VM versucht es erst dann – und das ist mir recht so – denn wenn ich nicht am Netzwerk hänge, dann kann auch die PfSense nicht hinein.
Über die Route ist gewährt, dass aber Verbindungen in das 192.168.1er bzw. 192.168.2er Netz über die virtuellen Adapter Intern(1/2.x) gehen.
Der Einfachheit halber vergebe ich für den Host auch noch fixe IP-Adressen in der PfSense.
Nachtrag: ich hab jetzt eine fixe IP-Adresse eingetragen und kein Default Gateway
hier geht es zum nächsten Artikel (Domain Controller im Test-Lab)
Schreibe einen Kommentar