Installare IPCOP+server su WMWare cosa rischio?:

[spacemauro]

Ciao a tutti,
su un server ho installato VMWare server con 2 macchine virtuali:

1. server aziendale interno alla lan
2. firewall IPCOP

Rischio qualcosa lasciando su un unica macchina fisica sia il firewall che il server?
Riesco a nascondere il server dietro al firewall o non è possibile?
Tutti i consigli sono ben accetti...

Grazie mille in anticipo,
Mauro.

[as10640]

Ciao.
In azienda abbiamo VMware Enterprise Server.
Il sistemista che ci segue i due firewall Linux ci ha consigliato di lasciarli su macchine fisiche....

Le vulnerabilità nel dettaglio però non le conosco....

[spacemauro]

grazie mille as10640 per il tuo consiglio.

Un dubbio che ho e non riesco a togliermi è il seguente:
Se ho 1 scheda di rete ed ho 2 macchine virtuali che la usano (1 firewall ed 1 server), i pacchetti che passano sulla scheda di rete sono sia dell'una che dell'altra macchina, pertanto potrebbe insorgere un problema di sicurezza quando passa un pacchetto diretto al server o mi sbaglio?

IPcop riesce a risolvere questo problema?

Grazie,
Mauro.

[as10640]

Quote:

Originariamente inviato da spacemauro

grazie mille as10640 per il tuo consiglio.

Un dubbio che ho e non riesco a togliermi è il seguente:
Se ho 1 scheda di rete ed ho 2 macchine virtuali che la usano (1 firewall ed 1 server), i pacchetti che passano sulla scheda di rete sono sia dell'una che dell'altra macchina, pertanto potrebbe insorgere un problema di sicurezza quando passa un pacchetto diretto al server o mi sbaglio?

IPcop riesce a risolvere questo problema?

Grazie,
Mauro.

Allora....

IPcop fa il NAT, di conseguenza tu metti la scheda WAN di ipcop sulla subnet che ha il router (e quindi comunica con lui), la scheda lan assegni un IP di una subnet diversa e la stessa cosa fai con il server virtuale. Ovviamente al server VNware fisico devi assegnare un IP della lan di IPcop... altriemtni è esposto lui.... ti faccio un esempio:

- Router...............192.168.1.1
- IPcop WAN.........192.168.1.2
- IPcop LAN..........172.22.11.1
- Server virtuale....172.22.11.2
- Server VMware....172.22.11.3

[spacemauro]

Quote:

Originariamente inviato da as10640

Allora....

IPcop fa il NAT, di conseguenza tu metti la scheda WAN di ipcop sulla subnet che ha il router (e quindi comunica con lui), la scheda lan assegni un IP di una subnet diversa e la stessa cosa fai con il server virtuale. Ovviamente al server VNware fisico devi assegnare un IP della lan di IPcop... altriemtni è esposto lui.... ti faccio un esempio:

- Router...............192.168.1.1
- IPcop WAN.........192.168.1.2
- IPcop LAN..........172.22.11.1
- Server virtuale....172.22.11.2
- Server VMware....172.22.11.3

Grazie ancora as10640 per i tuoi utili consigli
Ho da sottoporre l'ultimo dubbio prima di creare l'infrastruttura:
Dall'esterno vorrei accedere direttamente al - Server virtuale....172.22.11.2 ,come posso fare?Creo una VPN o ci sono altri metodi? Devo dare la possibilità all'assistenza online di accedere ed installare i loro programmi direttamente sul server.

Grazie per la consulenza,
a buon rendere.
Mauro.

[as10640]

Quote:

Originariamente inviato da spacemauro

Grazie ancora as10640 per i tuoi utili consigli
Ho da sottoporre l'ultimo dubbio prima di creare l'infrastruttura:
Dall'esterno vorrei accedere direttamente al - Server virtuale....172.22.11.2 ,come posso fare?Creo una VPN o ci sono altri metodi? Devo dare la possibilità all'assistenza online di accedere ed installare i loro programmi direttamente sul server.

Grazie per la consulenza,
a buon rendere.
Mauro.

Bah... la VPN non è indispensabile... io ad esempio accedo a casa mia semplicemente con il Remote Desktop....

[spacemauro]

ciao a tutti,
ho installato in azienda tutta la rete ed il server, i computer interni si vedono, ma nessuno riesce a connettersi ad internet.
Ho scoperto che in azienda hanno l'ip statico fornito dall'ISP, quindi nella configurazione della rete rossa di ipcop ho inserito l'IP statico, poi i dns ed i gateway forniti.
Niente, non si connette lo stesso.

Ho il cliente che mi pressa perchè gli blocco il lavoro, onde evitare sgradite sorprese,vorrei risolvere a breve. Help please.
qualcuno sa cosa potrebbe essere sbagliato?

rete:
Alice Gate 2 plus con ip statico xxx.xxx.xxx.34
--> ipcop --> rete verde

Grazie mille,
Mauro

[ilfiorista]

Quote:

Originariamente inviato da spacemauro

rete:
Alice Gate 2 plus con ip statico xxx.xxx.xxx.34
--> ipcop --> rete verde

La cosa migliore sarebbe mettere il router Alice in modalità bridge, ma non so se sia possibile, e quindi impostare l'indirizzo pubblico sulla red di Ipcop.

Altrimenti quel router di Alice avrà un secondo Ip verso l'interno della rete? Quello deve essere impostato come gateway della red di ipcop, che ovviamente deve stare sulla stessa sottorete dell'interfaccia interna del router Alice.
Dopodiche assegni a tutti i pc della lan l'indirizzo green di ipcop come gateway (oppure usi il Dhcp).
Se segui la tabellina di as10640 non puoi sbagliare.

Io comunque a Ipcop l'avrei installato su una macchina a sé stante. A meno che quel server faccia poco tutto il giorno e abbia una potenza di calcolo eccellente. Quando hai risolto, così, tanto per sapere mi dici che classe di macchina è e quante schede di rete ha.

[ilfiorista]

Quote:

Originariamente inviato da as10640

Bah... la VPN non è indispensabile... io ad esempio accedo a casa mia semplicemente con il Remote Desktop....

Pero' così lasci una porta aperta (di quelle soggette a scansione da parte di chi non ha niente fare) e protetta solo da una password.

Con una Vpn, almeno c'è di mezzo una chiave a 64/128/256 bit che hai voglia prima di riuscire a scovarla.

Poi visto che ha già Ipcop, gli basta installare Openvpn.

[spacemauro]

Quote:

Originariamente inviato da ilfiorista

La cosa migliore sarebbe mettere il router Alice in modalità bridge, ma non so se sia possibile, e quindi impostare l'indirizzo pubblico sulla red di Ipcop.

Altrimenti quel router di Alice avrà un secondo Ip verso l'interno della rete? Quello deve essere impostato come gateway della red di ipcop, che ovviamente deve stare sulla stessa sottorete dell'interfaccia interna del router Alice.
Dopodiche assegni a tutti i pc della lan l'indirizzo green di ipcop come gateway (oppure usi il Dhcp).
Se segui la tabellina di as10640 non puoi sbagliare.

Io comunque a Ipcop l'avrei installato su una macchina a sé stante. A meno che quel server faccia poco tutto il giorno e abbia una potenza di calcolo eccellente. Quando hai risolto, così, tanto per sapere mi dici che classe di macchina è e quante schede di rete ha.

Ciao, intanto ti ringrazio per la risposta.
Il modem è in modalità "Bridged+Routed" e l'indirizzo per accedere al modem da browser è 192.168.0.1, uso quello come gateway della red di ipcop?
ora provo a risistemare tutto,poi ti faccio sapere se va o meno.
a presto,
Mauro

[spacemauro]

Quote:

Originariamente inviato da ilfiorista

La cosa migliore sarebbe mettere il router Alice in modalità bridge, ma non so se sia possibile, e quindi impostare l'indirizzo pubblico sulla red di Ipcop.

Altrimenti quel router di Alice avrà un secondo Ip verso l'interno della rete? Quello deve essere impostato come gateway della red di ipcop, che ovviamente deve stare sulla stessa sottorete dell'interfaccia interna del router Alice.
Dopodiche assegni a tutti i pc della lan l'indirizzo green di ipcop come gateway (oppure usi il Dhcp).
Se segui la tabellina di as10640 non puoi sbagliare.

Io comunque a Ipcop l'avrei installato su una macchina a sé stante. A meno che quel server faccia poco tutto il giorno e abbia una potenza di calcolo eccellente. Quando hai risolto, così, tanto per sapere mi dici che classe di macchina è e quante schede di rete ha.

Risolto tutto, grazie al tuo consiglio ed al'utilissima tabellina di as10640 sono riuscito a farli connettere ad internet..

Alla fine ho messo il firewall ipcop su una macchina separata che avevano in magazzino da tempo, cpu:133 ram:256 hd:1G e gira bene

server fisico:hp - ml110t g4 dc 3.2 con ubuntu server su cui gira vmware server e dentro i server virtuali.

grazie a tutti,
Mauro.

[ilfiorista]

Quote:

Originariamente inviato da spacemauro

Risolto tutto, grazie al tuo consiglio ed al'utilissima tabellina di as10640 sono riuscito a farli connettere ad internet..

Alla fine ho messo il firewall ipcop su una macchina separata che avevano in magazzino da tempo, cpu:133 ram:256 hd:1G e gira bene

server fisico:hp - ml110t g4 dc 3.2 con ubuntu server su cui gira vmware server e dentro i server virtuali.

ottimo, se posso darti un consiglio non richiesto, configurati un macchina virtuale che replichi la configurazione di ipcop, così nel caso il vecchio pc dovesse decidere di morire ci metti cinque minuti a tirar su un servizio di riserva, temporaneo

grazie per l'info sul server
ciao

[spacemauro]

Quote:

Originariamente inviato da ilfiorista

ottimo, se posso darti un consiglio non richiesto, configurati un macchina virtuale che replichi la configurazione di ipcop, così nel caso il vecchio pc dovesse decidere di morire ci metti cinque minuti a tirar su un servizio di riserva, temporaneo

grazie per l'info sul server
ciao

grazie del consiglio, lo farò subito.
Per chi fosse interessato a convertire una macchina fisica in virtuale in pochi click esiste vmware converter che lo fa egregiamente..

Ciao,
Mauro.

[as10640]

Quote:

Originariamente inviato da spacemauro

grazie del consiglio, lo farò subito.
Per chi fosse interessato a convertire una macchina fisica in virtuale in pochi click esiste vmware converter che lo fa egregiamente..

Ciao,
Mauro.

Non è solo per la versione enterprise?

[ilfiorista]

Quote:

Originariamente inviato da as10640

Non è solo per la versione enterprise?

Converter, server e player sono tutti gratuiti e liberamente scaricabili (previa registrazione per avere il seriale).
Paghi se vuoi la console di amministrazione evoluta.

[as10640]

Quote:

Originariamente inviato da ilfiorista

Converter, server e player sono tutti gratuiti e liberamente scaricabili (previa registrazione per avere il seriale).
Paghi se vuoi la console di amministrazione evoluta.

Premetto che in azienda abbiamo VMware Server ed enterprise......

Ora mi sembra di ricordare che i file che vengono generati dal converter non siano utilizzabili sulla versione server ma solo sulla versione enterprise...

Tu hai già provato questa cosa?

[ilfiorista]

Quote:

Originariamente inviato da as10640

Premetto che in azienda abbiamo VMware Server ed enterprise......

Ora mi sembra di ricordare che i file che vengono generati dal converter non siano utilizzabili sulla versione server ma solo sulla versione enterprise...

Tu hai già provato questa cosa?

Onestamente no. Avevo visto tempo fa della gratuità di Server e Converter e avevo ipotizzato che fossero tra loro compatibili. Mi sono ripromesso di verificarli appena avrò un sistema non di produzione in grado di reggere il carico di lavoro di qualche macchina virtuale. E soprattutto volevo confrontarne le prestazioni con il Virtual Server di Microsoft che al momento utilizzo in un paio di installazioni per mantenere in vita un paio di vecchi server Nt 4 che non posso spegnere.

Diciamo che tempo una settimana faccio questa verifica, poi magari pubblico da qualche parte i risultati della prova e anche quelli del confronto con Virtual Server che al momento resta per me un'ottima soluzione per virtualizzare Windows su Windows.

[hmetal]

L'utility di conversione si chiama P2V e funziona anche con nt4.

Virtualizzare utilizzando VMWare Server (o GSX) non è una buona soluzione perche dipendi da un host su cui gira a sua volta windows. Non ha buone prestazioni, e sei dipendente dai suoi problemi (ed è per quello che è gratuito).
Se hai un problema con il sistema che hosta le VM sei costretto a riavviare tutto (VM Comprese).

La soluzione corretta è ESX Server, ma qua andiamo oltre.

Per quanto riguarda la soluzione di installare un firewall software su una VM, considera che se ti si schianta l'host server perdi la connettività verso l'esterno. Io di norma tendo a dividere i ruoli dei firewall ad appliance dedicati piuttosto che assegnare i ruoli a host che hanno una serie di punti di failure notevoli (cioè tutte le magagne che puoi avere con un pc).

Considera anche che se usi VMWare Server, devi avere anche una licenza per il sistema operativo host.

ciao

[as10640]

Quote:

Originariamente inviato da hmetal

L'utility di conversione si chiama P2V e funziona anche con nt4.

Service Pack 6 ...

[spacemauro]

Quote:

Originariamente inviato da hmetal

L'utility di conversione si chiama P2V e funziona anche con nt4.

Virtualizzare utilizzando VMWare Server (o GSX) non è una buona soluzione perche dipendi da un host su cui gira a sua volta windows. Non ha buone prestazioni, e sei dipendente dai suoi problemi (ed è per quello che è gratuito).
Se hai un problema con il sistema che hosta le VM sei costretto a riavviare tutto (VM Comprese).

La soluzione corretta è ESX Server, ma qua andiamo oltre.

Per quanto riguarda la soluzione di installare un firewall software su una VM, considera che se ti si schianta l'host server perdi la connettività verso l'esterno. Io di norma tendo a dividere i ruoli dei firewall ad appliance dedicati piuttosto che assegnare i ruoli a host che hanno una serie di punti di failure notevoli (cioè tutte le magagne che puoi avere con un pc).

Considera anche che se usi VMWare Server, devi avere anche una licenza per il sistema operativo host.

ciao

Ciao hmetal, grazie per l'utility.
Mi viene un dubbio: la conversione tra fisico e virtuale è a senso unico oppure esistono tool che facciano l'inverso?Sarebbe molto interessante..

Ho abbandonato l'idea del firewall sulla VM,ho scelto 1 macchina "vecchia" fisica.
Secondo me virtualizzare con vmware server è un'ottima cosa per aziende che non vogliono spendere grosse somme in hardware/software. Ovvio, esistono soluzioni ottimali, ma non è detto che per tutti siano le migliori.

Secondo me vmware server che gira su un linux server "minimale" (pochissimi pacchetti = pochissimi problemi) è la soluzione giusta per il mio caso ed anche le prestazioni non sembrano malaccio..

Ciao,
Mauro.