Frage zum Thema Virtualbox und IP Adressen für den Gast

[M. Zink]

Ich bin dabei zu testen auf einem Webserver zusätzlich zu Debian noch einen Windows Server 2008 aufzusetzen. Dieser soll später für Exchange da sein. Ich bin jetzt auch soweit den Server installieren zu können und bekomme das ganze auch soweit ans Laufen. Mir kam jetzt nur der Gedanke das ich eine Sache nicht bedacht hab.

Der Webserver hat auch einen Postfix und dient somit auch als MX. Heißt die Domains von mir und meinen Kunden laufen alle über diesen Server, auch Mailseitig. Wenn ich nun einen Exchange aufsetze möchte ich ja nicht das dieser grundsätzlich alle Mails behandelt sondern nur eine einzige Domain. Da aber der Exchange ebenfalls über Port 25 und 110 usw. arbeitet könnte das zu einem Problem führen.

Jetzt war meine Idee da ich bei Hetzner die Möglichkeit hab zusätzliche IP's zu bekommen dem Exchange eine eigene IP zu geben. Nur wie läuft das von der Konfiguration, da der Host ja nur eine Netzwerkkarte hat und diese bereits auf eine IP konfiguriert ist.

[Laubie]

sollte kein Problem sein.

Wie es bei Hetzner genau funktioniert weiß ich nicht,
aber bei OVH gibt es s.g. FailOver-IPs.

Die kann man ganz einfach im Debian eingeben und dann verlinken (bei mir zum Beispiel 4) alle IPs auf deinen Rechner.
Ich häng dir mal das HowTo dafür an.

Grüße
Laubie

http://hilfe.ovh.de/AdministrationIpAliasHinzufuegen

[M. Zink]

OK das mit mehreren IP's auf eine Netzwerkkarte verstehe ich noch. Aber das ändert doch nichts an meinem Problem oder? Ich beschreibe es mal ein wenig detailierter.

Hostsystem (Debian Lenny als Webserver inkl. Mail, Apache, MySQL...)
Mails an div. Domains werden von dem Server aufgenommen. Die Domains haben alle einen MX Eintrag der auf die momentane IP des Servers leitet. Der Server nimmt die Mails in Empfang und verteilt sie entsprechend an die Domains und Postfächer.

Gastsystem (Windows Server 2008 mit Exchange)
Das Gastsystem soll mittels Pop Connector die Mails von einer speziellen Domain vom Webserver, also dem Hostsystem, abholen. Dies macht er durch die Netzwerkbrücke nicht intern zwischen Host und Gast sondern quasie wie als würde er irgendwo anders stehn und würde einfach zu dem Host verbinden. Das passiert allerdings nun auf den gleichen Ports wo normal der Host drüber arbeitet.

Heißt ich hab auf einer IP sowohl eingehend als auch ausgehend die gleiche verbindung und gehe einfach davon aus, dass das nicht funktionieren kann. Außer ich hab einen Denkfehler.

Deshalb war meine Idee eine gesonderte IP zu verwenden die zwar rein physikalisch über die gleiche Netzwerkkarte läuft aber die Softwareseitig getrennt ist. Heißt wenn eine Anfrage an IP 1 kommt soll der Host reagieren und bei einer Anfrage an IP 2 soll der Gast los legen. Am allerliebsten natürlich auch noch so, dass ich per Firewall oder sonstigem festlegen kann, dass der Gast alle Ports geschlossen hat bis auf die die zwingend nötig sind.

[F4RR3LL]

Was Du da beschreibst ist technisch eigentlich kein Problem.
Jedoch macht man das eigentlich ein bissl anders.
Aber ich fang mal vorn an.
Du hast auf jeder IP die alle an die gleiche Netzwerkkarte gebunden sein können alle Ports zur Verfügung. Du könntest also mit 20 Gastsystemen und 20 IPs 20 Mailserver betreiben und zusätzlich auf dem Host mit IP 21 einen weiteren. Das ist kein Problem. Um das ganze zu Routen gibts verschiedene Möglichkeiten.
Die meistgenutzten sind das Bridgen oder NAT.
Sinnvoller ist idr Bridgen zu verwenden. Ports sperrst du dann immer in dem jeweiligen Gastsystem. Bei NAT Routing könntest Du auch vom Host aus gleich sagen das Gast 1 nur angesprochen werden darf auf port 25 110 usw. Ebenso kannst du dort ausgehende Ports aus dem Host heraus beschränken.

Du beschreibst das du auf dem Hauptsystem Apache SQL Mailserver auf Linuxbasis laufen hast und der Host Windows werden soll.
Besser wäre es das auch das Hostsystem in eine virtualisierte Umgebung zu packen. So das der Host weitestgehend blank ist.

Sonst verlierst du bei einem Angriff auf den Host auch dein Windowssystem.
Was grade bei Apache/Sql/PhP schneller passieren kann als man möchte.
Trennst du es verlierst du maximal eine VM.

Gruß Sven

[M. Zink]

Naja hätte ich vor 6 Monaten gewusst das ich das irgendwann mal so machen möchte dann hätte ich wirklich alles virtualisiert. Aber jetzt würde das bedeuten ich muss die virtuelle Kiste aufbauen und restlos alles wieder umziehen. Und wenn dann was nicht so läuft wie es soll weiß ich nicht wie es weiter geht da ich dann nicht die Zeit hab irgendwas groß zu lesen oder zu suchen sobald das erste Kundenprojekt stehen bleibt rappelt sich mein Telefon tot. Linux Server betreibe ich nun schon fast 10 Jahre aber virtualisiert hab ich das auf einem Online Server noch nie.

Aber irgendwie hab ich physikalisch da irgendwas immer noch nicht so ganz geschnallt. In meinem Server steckt eine Netzwerkkarte die ich als eth0 mit einer IP konfiguriert hab. Nun würde ich eine zweite (und ggf. dritte IP) bestellen damit ich erst den Windows Server und dann den Webserver ggf. doch später mal virtualisieren kann. Ich kann dann ja der einen Netzwerkkarte sagen sie soll zusätzlich auf die zweite und ggf. dritte IP lauschen. Heißt alle Anfragen egal an welche IP von den dreien landen erst mal auf dieser einen Karte. Momentan hat der Host ja einen Postfix und der nimmt die eingehenden Mails in Empfang und sortiert die den einzelnen Postfächern der einzelnen Domains zu. Mein Windows Server würde nun gerne mittels mail.domain.tld auf eine dieser Domains des Host Systems zugreifen und die dort liegenden Mails via Pop Connector in den Exchange abrufen. Bei zwei getrennten Geräten ist es ja so das mein Webserver alles entgegen nimmt und ob ich dann mit Outlook oder mit einem Exchange Server die Mails aus dem Postfach abhole spielt ja keine Rolle. Aber wenn die Kiste virtuell auf dem Host sitzt teilen die sich ja so gesehen eine Netzwerkkarte. Das wiederum bedeutet doch wenn ich dem Gast sage rufe bitte die Mails ab dann stellt der die Anfrage über die virtuelle Netzwerkkarte die gebrückt auf die physikalische läuft und somit auf sich selbst oder? Genau so wenn ich eine Mail über den Exchange verschicke. Wie schnalle der denn dann das er über den Smarthost die Mail an den Host übergeben muss? Also sprich gleichzeitig eine ausgehende und eingehende Verbindung über den gleichen Port auf der gleichen Netzwerkkarte.

Oder hab ich inzwischen so dermaßen einen Knoten im Hirn und schnall da einfach was falsch? Denn das Problem würde sich dann ja auch nicht erledigen wenn beides virtualisiert wäre.

Oder kann ich irgendwie festlegen das zwar beide IP's auf der gleichen Karte laufen aber z.B. der Host nur IP1 beachtet und der Gast nur IP2?

[F4RR3LL]

Zitat:

Zitat von M. Zink

Oder kann ich irgendwie festlegen das zwar beide IP's auf der gleichen Karte laufen aber z.B. der Host nur IP1 beachtet und der Gast nur IP2?

Na mit deinem letzten Satz haste dich sozusagen wieder selbst entknotet

Denn das ist genau der springende Punkt. Und die Art das umzusetzen ist dann eben NAT oder Bridge.

Gruß Sven

[M. Zink]

OK also laut dem was ich bisher angewendet habe würde ich jetzt zuerst mal unter /etc/network/interfaces die bestehende Netzwerkkarte erweitern.

Zitat:

auto eth1
iface eth1 inet static
address 192.168.178.209
netmask 255.255.255.0
network 192.168.178.0
broadcast 192.168.178.255
gateway 192.168.178.1
auto eth1:1
iface eth1:1 inet static
address 192.168.178.210
netmask 255.255.255.0
network 192.168.178.0
broadcast 192.168.178.255
gateway 192.168.178.1

So würde das dann aussehen wenn ich das jetzt lokal auf meiner Bastelkiste umsetze (eth1 weil die OnBoard Karte kaputt is).

Der virtuellen Kiste kann ich dann ja festlegen, dass diese die IP 210 am Ende haben soll. Aber jetzt muss ich doch dem Host noch sagen bitte beachte nur 209 aber die 210 reiche einfach durch ohne darauf zu reagieren oder?

Ach ja, zum Thema Sicherheit. Ich denke bei meinem Linux Host hab ich alles getan was in normalem Umfang möglich ist zum Thema Sicherheit. Wäre der Windows Server nicht der wesentlich anfälligere beim Thema Hacken Knacken und sonstiger Unfug? Ist der bei NAT oder Brigde denn so gesehen direkt mit der Außenwelt verbunden oder greifen da trotzdem so Dinge wie Firewall vom Host oder Jailkit usw.? Ich glaube nicht da der Host ja extra gesagt bekommen soll lass die IP2 in ruhe und kümmer dich nur um IP1 oder?

[F4RR3LL]

So wie du das jetzt in der interfaces drin hast könntest Du nur per nat arbeiten.
Du könntest die ip dann per iptables an die VM leiten.
Das würde Beispielsweise so ausschauen.

Code:

cat > /etc/network/if-up.d/routing << "EOF"
#!/bin/sh
 
IPTABLES="/sbin/iptables"
 
#loesche alle Regeln
$IPTABLES -t nat --flush
 
# Routing fuer VM
# 10.0.0.1
# damit der VServer nach aussen kommunizieren kann:
$IPTABLES -t nat -A POSTROUTING -s 10.0.0.1 -o eth0 -j SNAT --to $deine_externe_ip
# 10.0.0.1:22 frei schalten fuer SSH Kommunikation
$IPTABLES -t nat -A PREROUTING -p tcp -d $deine_externe_ip --dport 22 -i eth0 -j DNAT --to-destination 10.0.0.1:22
EOF

Beim bridgen schaut das anders aus.
Bridgen mit KVM ist hier ganz nett erklärt. http://wiki.hetzner.de/index.php/KVM...Ps_aus_Subnetz
Insgesamt wirst du um ein bissl einlesen nicht rumkommen.

Bzgl Firewall im Host. Bei NAT wie du oben lesen kannst findet eine gewisse Filterung auf Ports statt wenn man dies möchte. Man kann auch bei NAT einfach alles raus und reinlassen.

Beim Bridgen interessiert den Host eigentlich nicht was da ankommt.

Bzgl dem Absichern. Wenn auf dem Host nur der Kernel rennt und ein SSH Zugang ist es nunmal ungleich sicherer als deine geplante config.

Und ich würde auch nicht sagen das Win angreifbarer ist. Das relativiert sich aufgrund Admin / Config / laufende Dienste etc.

[Burge]

Ich empfehle dir noch immer auf ESXi zuwechseln gerade bei hetzner bietet sich das sowas von an.

64 bit windows ist dann auch keine Problem.

[M. Zink]

Wie gesagt wenn der Server nicht voll benutzt werden würde dann würde ich das echt gerne machen. Aber die Möglichkeit hab ich im Moment nicht und ich kann nicht mal eben noch einen Server mieten um darauf dann die Virtualisierung zu installieren.

Wenn ihr jetzt sagt meine Idee ist zwar OK und würde wohl auch funktionieren, aber aus Sicherheitsgründen ist davon dringend abzuraten dann würde ich es bleiben lassen. Für 10 Euro im Momat bekomme ich einen Hostet Exchange mit 10 Postfächern und unbegrenzt Alias und Traffic. Für die 10 Euro im Monat lohnt es sich für mich nicht ein Risiko einzugehen das mir die Kiste über kurz oder lang geknackt wird und dann komplett alles in die Hose geht.

Ansonsten hätte ich natürlich auch schon mal auf die Idee kommen können bei Hetzner zu schauen. Deren Wiki ist wirklich nicht schlecht und zu gewissen Themen kann es nicht schaden direkt den Betreiber zu Rate zu ziehen. Ich hätte z.B. nicht ohne weiteres gewusst, dass ich bei ESXi noch eine Intel Karte einbauen lassen muss. Wobei ich die 15 Euro für das Flexipack pro Monat auch schon wieder nicht wollen würde da wie gesagt der Hostet Exchange 10 kostet und nichts anderes brauch ich momentan.

Oder ich bau mir nen ITX Server der nebst SSD nur noch ca. 30-40 Watt verbraucht und mach das mit dem Server weiterhin im Haus. Das ganze gefummel macht mich langsam irre zumal ich wie gesagt am echten Host nicht mal eben irgendwas links drehen kann. Wer weiß was da noch schief geht bei der Konfig der Netzwerkkarten.

Aber jetzt les ich erst mal bisl Wiki bei Hetzner. Erst mal schau ich das ich ne zweite IP bekomme und installiert einfach zum Testen mal irgend ne virtuelle Maschine. Mal sehen wo die erste Hürde kommt wo es dann klemmt.