**gelöst** DMZ Problem

    Hallo, ich habe mir zwei ESXi mit jeweils 3 NICs aufgebaut.
    Auf des ersten ESXi gibt es eine Nic für Extern, Intern und DMZ. Hier läuft auch die efw 2.3.
    Extern Netzwerk 192.168.0.X/24 efw-Schnittstelle 192.168.0.241 /24 GW FritzBox 192.168.0.240/24
    Intern Netzwerk 172.16.X.X /16 efw-Schnittstelle 172.16.10.240 /16
    DMZ Netzwerk 172.31.X.X /16 efw-Schnittstelle 172.31.10.240 /16

    Die hier angelegten VMs im Grünen und Orangen Bereich funktionieren wie gewünscht. Also grün darf überall hin, orange nur zu orange und zu rot.

    Auf dem zweiten ESXi habe ich auch 3NICs mit Intern, DMZ und Wartung (Netzwerk für Testzwecke)
    Intern Netzwerk 172.16.X.X /16
    DMZ Netzwerk 172.31.X.X /16

    Die NICs der ESXis sind über physikalische Switche mit einander verbunden, Switche und NICs sind getestet-funktionsfähig.

    Mein Problem ist, das ich aus noch in die DMZ (Schnittstelle) des zeiten ESXi keine Verbindung bekomme weder zur efw noch zu anderen VMs auf den ersten ESXi die im selben Netz sind. Auf der ESXi 2 können die VMs an der DMZ aufeinander zugreifen.
    Auf die Rot (Extern) komme ich nätürlich auch nicht, da ich nicht in die efw komme.
    Schiebe ich die VM auf den zweiten ESXi auf die Interne Schnittstelle funktioniert es wie der grüne Bereich auf der ersten ESXi.

    Was habe ich falsch gemacht? Wo kann ich nachschauen um das Problem zu lösen? Ich bin für jede hilfe dankbar die zum Erfolg führt.

    MfG
    Insker

    Einmal editiert, zuletzt von insker (27. Januar 2010 um 16:22)

    Also wenn ich das alles richtig verstanden habe, kann nur ein Problem in der physikalischen Verbindung zwischen deinen beiden ESXi Hosts bestehen. Hast du korrekt auf beiden ESXi jeder NIC einen eigenen vSwitch zugeordnet? Andernfalls kann wie gesagt nur ein physikalisches Verkabelungsproblem bestehen, hast das nochmal überprüft (richtige NICs miteinander verbunden)? Verwendest du getrennte physikalische Switche für die Netze oder über einen mit Vlans oder über einen ohne Vlans?

    Gruß Marcus

    hallo mschoen,

    Ich habe jeder NIC ein eigenen vSwitch zugewiesen.
    Für den produktiven Einsatz sind die NICs der ESXi Hosts an einen eigenen Switch bzw über VLAN getrennt.

    ich habe schon verschiedenes getestet um auszuschliessen das es ein physikalisches Problem ist.

    Ich habe sie aber auch alle auf einen gehängt um zu testen ob es ein Switch ist.
    Dann habe ich die NIC zwischen den vSwitchen getauscht also Intern mit DMZ und so.
    Das Ergebnis war immer das selbe über den Intern vSwitch (grün) konnte ich dann auch normal alles machen mit der NIC die vorher an den DMZ vSwitch gehängt war.
    Aber in der DMZ (die jetzt den von dem Intern vSwitch hat) blieb das Problem wie oben beschrieben bestehen.

    Also nehme ich stark an das die Hardware fünktioniert.

    Und deshalb sind bei mir grosse ??????. Wo hackt es??

    Ich muss deine Posts immer mehrmals lesen^^

    Hast du mal spaßenshalber Versucht einen anderen Rechner in dein DMZ Netz zu hängen und den zu erreichen bzw. von dem zu erreichen?

    Deine Netzkonfig scheint mir eigenartig, hast du mit Absicht so große und ungewöhnliche Netze? Warum kein Klasse-C Netz?
    Deine grünen Maschinen sind untereinander alle erreichbar, da die Verbindung gar nicht bis zum pSwitch durchkommen, sondern vom vSwitch weitergeleitet werden intern... Daher tippe ich auch auf ein physikalisches Problem, entweder mit den NICs oder mit dem pSwitch, VLANs im pSwitch richtig konfiguriert? Was verwendest du dort für einen? Deshalb teste mal andere Geräte ins deine Netze zu hängen und die zu erreichen...

    Hast du aus beiden ESXi einen Cluster gemacht oder beides Standalone?

    Danke das du mir bei der Suche des Problems behilflich bist.

    Zitat von "mschoen"

    Ich muss deine Posts immer mehrmals lesen^^


    --Sorry das ich so kompliziert schreibe, werde mal ein paar Screenshots machen um es besser erklären zu können.

    Zitat von "mschoen"

    Hast du mal spaßenshalber Versucht einen anderen Rechner in dein DMZ Netz zu hängen und den zu erreichen bzw. von dem zu erreichen?


    --Das werde ich gleich mal als nächstes Testen.

    Zitat von "mschoen"

    Deine Netzkonfig scheint mir eigenartig, hast du mit Absicht so große und ungewöhnliche Netze? Warum kein Klasse-C Netz?


    --Ja, es ist notwendig ein Klasse-B Netz zu nehmen. Wir (meine Kollegen und ich) sind für die PC-Technik von über 50 Schulischen und gemeinnützigen Einrichtungen
    Verantwortlich. Wir betreiben allein bei uns im Hause 10 Server für unterschiedliche Dienste und Anwendungen. Deshalb ist eine strukturierte Adressierung notwendig. D.h. wir haben die IP in bestimmte Bereiche Aufgeteilt so das wir gleich an der IP sehen Wo (Einrichtung) und welches Gerät sich dahinter verbirgt.

    Zitat von "mschoen"

    Deine grünen Maschinen sind untereinander alle erreichbar, da die Verbindung gar nicht bis zum pSwitch durchkommen, sondern vom vSwitch weitergeleitet werden intern...


    --nicht ganz richtig, ich bekomme auch über externe PC die im IP-Bereich des "grünen" Bereich liegen und von und zu der ESXi-2 (vSwitch INTERN [Name des vSwitch]) eine Verbindung auf die ESXi-1 und die efw

    Zitat von "mschoen"

    Daher tippe ich auch auf ein physikalisches Problem, entweder mit den NICs oder mit dem pSwitch, VLANs im pSwitch richtig konfiguriert? Was verwendest du dort für einen?


    --D-Link DGS 1224T. Nutzen den Switch an anderen Einrichtungen auch mit VLAN zur "physikalischen" Trennung. Sind bei der Konfiguration noch keine Problem aufgetreten.

    Zitat von "mschoen"

    Deshalb teste mal andere Geräte ins deine Netze zu hängen und die zu erreichen...


    --Werde mal verschiedenes was du angesprochen hast durchtesten und mich dann wieder melden.

    Zitat von "mschoen"

    Hast du aus beiden ESXi einen Cluster gemacht oder beides Standalone?


    --sind beide Standalone

    Melde mich wieder, bis dahin schönes WE

    insker

    Ich hab da mal was für die bessere Übersicht gemacht... (Anhang)

    Aber zwingend brauchst du kein Klasse-B... Ist doch alles routbar im C-Netz.

    Das mit dem Testen zusätzlicher Rechner im Netz wird entscheidend, wenn das geht, liegt es an den vSwitchen... Aber teste erstmal

    Hab gerade mal aus Interesse meine pEFW in eine vEFW umgewandelt. Wieder Strom gespart :roll:

    Bei mir läuft alles tadellos mit der EFW 2.3 unter ESXi 4 U1

    Hallo,

    sorry das ich mich so lange nicht zurück gemeldet habe.
    Hatte mir ne kleine Auszeit genommen. Muss auch mal sein. :D

    Habe jetzt alles nochmal durchgesehen und musste festellen das mir ein Patchkabel einen schönen Streich gespielt hat.
    Es hat zwar am Switch und an der NIC Kontakt angezeigt, aber eine Komunikation war nicht möglich.
    Habe ich halt erst nach einem kompletten Tausch der Hardware Stück für Stück festgestellt.

    Alles funktioniert wieder wie es soll. ***Problem gelöst.***

    Nochmal vielen Dank für die hilfe bei der Fehlersuche.

    Insker