Назад | Перейти на главную страницу

VMWare ESXi - VPN-туннель к виртуальным машинам

Мы рассматриваем возможность аренды сервера VMWare ESXi через провайдера. Этому серверу VMWare ESXi будет назначен общедоступный IP-адрес. Большинство виртуальных машин, которые мы разместим на этом сервере, предназначены только для внутреннего использования.

У меня вопрос: можно ли настроить VPN-туннель (ipsec) от шлюза в нашем офисе (Cisco RV082) на хост-сервер VMWare, чтобы нам не приходилось открывать все виртуальные машины в Интернете? У нас нет доступа к какому-либо оборудованию перед хост-сервером VMWare.

Например, можно ли настроить такой туннель, например, на виртуальную машину Debian, а затем добиться следующего;

  1. Мы можем связаться со всеми виртуальными машинами на хосте VMWare через локальный IP-адрес в нашей интрасети.
  2. Виртуальные машины могут подключаться к машинам в нашей интрасети через локальный IP-адрес.

Альтернативой этому, я полагаю, было бы «купить» 1 общедоступный IP-адрес у поставщика для каждой виртуальной машины, а затем получить доступ к виртуальным машинам через Интернет, каждая со своей собственной конфигурацией iptables для блокировки доступа с IP-адресов, не исходящих из нашего офиса.

Любая помощь приветствуется.

Мой вопрос: можно ли настроить VPN-туннель (ipsec) от шлюза в нашем офисе (Cisco RV082) до хост-сервера VMWare, чтобы нам не приходилось открывать все виртуальные машины в Интернете?

Нет. Вы не можете устанавливать сторонние сервисы, такие как VPN-клиент, на гипервизор.


Это то, что вам нужно:

  • IP-адрес управления для самого ESXi. Он может быть общедоступным или частным, если вы можете связаться с ним для управления. Если он общедоступный, убедитесь, что он хорошо защищен брандмауэром.

  • Виртуальная машина для работы в качестве VPN-шлюза (OpenVPN, pfsense, RRAS и т. Д.)

  • По крайней мере, один общедоступный IP-адрес виртуальной машины, который будет работать в качестве шлюза VPN.

  • Общедоступный vSwitch с общедоступным интерфейсом для виртуальной машины VPN-шлюза.

  • Частный vSwitch, к которому подключаются остальные ваши «только частные» виртуальные машины.

Вы подключите виртуальную машину VPN к обоим vSwitches и настроите маршрутизацию через нее. Таким образом, вы подключитесь к виртуальной машине, которая имеет доступ как к общедоступной сети (чтобы вы могли подключиться к ней через VPN), так и к частной сети, чтобы ваши виртуальные машины не подвергались без надобности внешнему миру, и вам не нужно публичные IP-адреса для всех из них.

Моя компания постоянно делает это с виртуализированными конечными точками межсетевого экрана ... Мы поставщик частного облака, так что это реалистичный сценарий.

  • Это может быть виртуализированная система Linux, работающая под управлением n2n туннель (если нет контроля над промежуточными устройствами или нет / недостаточно общедоступных IP-адресов).

  • У нас также есть клиенты, которые использовали Quagga для маршрутизации и OpenVPN в качестве конечной точки на виртуальной машине.

  • Еще один популярный вариант в наших настройках, а также необходимость в некоторых Решения Amazon Web Services использовать Виртуальный межсетевой экран Vyatta в качестве конечной точки VPN.

В пространстве ISP разверните сервер OpenVPN (предпочтительно работающий на Linux из-за небольшого размера). Этот сервер OpenVPN будет иметь два сетевых адаптера, один из которых будет иметь общедоступный IP-адрес, а другой - частный IP-адрес в той же подсети, что и сервер ESXi. ESXi не будет иметь назначенного ему общедоступного IP-адреса, но весь трафик в Интернет будет маршрутизироваться через сервер OpenVPN, который будет действовать как шлюз.

Как это работает?

Когда администратор хочет подключиться к любой из виртуальных машин ESXi, он сначала подключается и аутентифицируется на сервере OpenVPN, используя его общедоступный IP-адрес, который затем предоставит ему доступ к удаленной частной подсети. После подключения к серверу VPN он подключится к серверу ESXi, используя свой частный IP-адрес.