Мы рассматриваем возможность аренды сервера VMWare ESXi через провайдера. Этому серверу VMWare ESXi будет назначен общедоступный IP-адрес. Большинство виртуальных машин, которые мы разместим на этом сервере, предназначены только для внутреннего использования.
У меня вопрос: можно ли настроить VPN-туннель (ipsec) от шлюза в нашем офисе (Cisco RV082) на хост-сервер VMWare, чтобы нам не приходилось открывать все виртуальные машины в Интернете? У нас нет доступа к какому-либо оборудованию перед хост-сервером VMWare.
Например, можно ли настроить такой туннель, например, на виртуальную машину Debian, а затем добиться следующего;
Альтернативой этому, я полагаю, было бы «купить» 1 общедоступный IP-адрес у поставщика для каждой виртуальной машины, а затем получить доступ к виртуальным машинам через Интернет, каждая со своей собственной конфигурацией iptables для блокировки доступа с IP-адресов, не исходящих из нашего офиса.
Любая помощь приветствуется.
Мой вопрос: можно ли настроить VPN-туннель (ipsec) от шлюза в нашем офисе (Cisco RV082) до хост-сервера VMWare, чтобы нам не приходилось открывать все виртуальные машины в Интернете?
Нет. Вы не можете устанавливать сторонние сервисы, такие как VPN-клиент, на гипервизор.
Это то, что вам нужно:
IP-адрес управления для самого ESXi. Он может быть общедоступным или частным, если вы можете связаться с ним для управления. Если он общедоступный, убедитесь, что он хорошо защищен брандмауэром.
Виртуальная машина для работы в качестве VPN-шлюза (OpenVPN, pfsense, RRAS и т. Д.)
По крайней мере, один общедоступный IP-адрес виртуальной машины, который будет работать в качестве шлюза VPN.
Общедоступный vSwitch с общедоступным интерфейсом для виртуальной машины VPN-шлюза.
Частный vSwitch, к которому подключаются остальные ваши «только частные» виртуальные машины.
Вы подключите виртуальную машину VPN к обоим vSwitches и настроите маршрутизацию через нее. Таким образом, вы подключитесь к виртуальной машине, которая имеет доступ как к общедоступной сети (чтобы вы могли подключиться к ней через VPN), так и к частной сети, чтобы ваши виртуальные машины не подвергались без надобности внешнему миру, и вам не нужно публичные IP-адреса для всех из них.
Моя компания постоянно делает это с виртуализированными конечными точками межсетевого экрана ... Мы поставщик частного облака, так что это реалистичный сценарий.
Это может быть виртуализированная система Linux, работающая под управлением n2n туннель (если нет контроля над промежуточными устройствами или нет / недостаточно общедоступных IP-адресов).
У нас также есть клиенты, которые использовали Quagga для маршрутизации и OpenVPN в качестве конечной точки на виртуальной машине.
Еще один популярный вариант в наших настройках, а также необходимость в некоторых Решения Amazon Web Services использовать Виртуальный межсетевой экран Vyatta в качестве конечной точки VPN.
В пространстве ISP разверните сервер OpenVPN (предпочтительно работающий на Linux из-за небольшого размера). Этот сервер OpenVPN будет иметь два сетевых адаптера, один из которых будет иметь общедоступный IP-адрес, а другой - частный IP-адрес в той же подсети, что и сервер ESXi. ESXi не будет иметь назначенного ему общедоступного IP-адреса, но весь трафик в Интернет будет маршрутизироваться через сервер OpenVPN, который будет действовать как шлюз.
Как это работает?
Когда администратор хочет подключиться к любой из виртуальных машин ESXi, он сначала подключается и аутентифицируется на сервере OpenVPN, используя его общедоступный IP-адрес, который затем предоставит ему доступ к удаленной частной подсети. После подключения к серверу VPN он подключится к серверу ESXi, используя свой частный IP-адрес.