Aelis
Contributor
Contributor

Acceso wan y lan al mismo broker

Jump to solution

Hola:

Es posible acceder desde wan y lan al mismo broker? Si se configura la url externa y se realiza el nat correcto se accede correctamente desde internet al view conector y a las maquinas virtuales; pero si se intenta desde local por lan da error de acceso (conexion rehusada). Si se elimina la direccion de la url externa, se accede correctamente por lan pero no por wan.

Existe configuracion posible o es necesario tener dos brokers? Podrian estar los dos apuntando al mismo vcenter?

Gracias. Un saludo

0 Kudos
1 Solution

Accepted Solutions
jlmedina1
Enthusiast
Enthusiast

Buenas. El "problema" viene precisamente por el External Url. Tienes dos soluciones:

- O bien haces que la url de "External URL" se pueda resolver "dentro" y "fuera"....

- O montas otro broker como réplica del primero. Una vez hecho, le pones a cada uno la url que debe resolver.

Me inclino por la segunda opción, que además te permitirá usar distintos protocolos y configuraciones de acceso a los desktop dependiendo de por donde accedas. P.e. "PCoIP" para los que accedan desde dentro de la WAN (PCoIP por el momento no es tunelizable por SSL) y tunel SSL para los que accedan por internet






----

J.L. Medina - vExpert'09

http://bevirtual.blogspot.com

---- J.L. Medina - vExpert'09 http://bevirtual.blogspot.com

View solution in original post

0 Kudos
11 Replies
Samquejo
Commander
Commander

Buenas

Que tal si intentas hacer un nat 1:1 en lugar de por puertos? esa ip puede ser lan y el router te traduce la pública sobre ella de forma transparente.

yo tengo publicado en una dmz un VC, ya se que no es lo mismo pero puedo tener el VC y consolas remotas cuando las necesito

Si esta u otra respuesta es util, por favor marca su correspondiente notificador.

Gracias/Regards

Si esta u otra respuesta es util, por favor marca su correspondiente notificador. Gracias/Regards
0 Kudos
Aelis
Contributor
Contributor

Hola:

A que te refieres con un nat 1:1? tengo mas aplicaciones detras de este router con mas nat de los que no puedo prescindir.

Tengo un nat del puerto 443 a la ip del conector (donde esta instalado el view manager); y un DNS publico que apunta empresa.com que apunta a la ip publica fija del router; con lo que puedor acceder por https://ip_publica:443 o por https://empresa.com:443

Gracias.Un saludo

0 Kudos
Samquejo
Commander
Commander

Buenas

Si ya tienes ip pública y varios nat me imagino que utilizas un router de alguna operadora que te lo hace y en esa ip pública tienes un firewall que gestionas tu (si es el router quien lo gestiona puede llegar a ser una locura). en este caso es un poco mas dificil ya que no publicas como en 1:1 sino que te obliga a hacerlo por puertos.

Que brokker usas? a ver si te faltan puertos o algún detallito

Si esta u otra respuesta es util, por favor marca su correspondiente notificador.

Gracias/Regards

Si esta u otra respuesta es util, por favor marca su correspondiente notificador. Gracias/Regards
0 Kudos
Aelis
Contributor
Contributor

No hay firewall, se gestiona por puertos en el router wan<=>lan.

El broker es el VMware View 4.0.1

salu2

0 Kudos
Samquejo
Commander
Commander

Vale, entonces es parecido a la mía y te cuento:

Tengo un adsl con un comtrend que hace nat y ademas dmz a un host en concreto. No tengo ip fijas sino que la sesion ppp levanta una dinámica y el dns lo tengo a traves de dyndns. Asta ahi es la opción barara.

Tabla:

LAN

PUERTO

WAN

PUERTO

srv1

ssh

micasa

10022

srv1

10010

micasa

10010

srv2

pop3,smtp,imap,ssh,xdmcp

micasa

10110,10025,10143,10177 y ssh por 9022

srvlabo

*

micasa

*

Esto es así porque el comtrend tiene una pantalla en la configuación del nat en la que se puede especificar un host de dmz (dmz host) en el cual se hace nat 1:1 de todos los puertos. como es un laboratorio, me da igual que le pase cualquier cosa (es una MV xp con cortafuegos local zonealarm y wireshak para laboratorio). Aqui he tenido montado de todo, hasta un VC y funcionando bien en remoto sin preocuparme de los puertos.

Ojo que esto no es una configuración óptima de seguridad pero puede servirte. Aprovecha el wireshak para descubrir otros puertos, ya que ahora mismo no lo encuentro en la datasheet del view

Si esta u otra respuesta es util, por favor marca su correspondiente notificador.

Gracias/Regards

Si esta u otra respuesta es util, por favor marca su correspondiente notificador. Gracias/Regards
jlmedina1
Enthusiast
Enthusiast

Buenas. El "problema" viene precisamente por el External Url. Tienes dos soluciones:

- O bien haces que la url de "External URL" se pueda resolver "dentro" y "fuera"....

- O montas otro broker como réplica del primero. Una vez hecho, le pones a cada uno la url que debe resolver.

Me inclino por la segunda opción, que además te permitirá usar distintos protocolos y configuraciones de acceso a los desktop dependiendo de por donde accedas. P.e. "PCoIP" para los que accedan desde dentro de la WAN (PCoIP por el momento no es tunelizable por SSL) y tunel SSL para los que accedan por internet






----

J.L. Medina - vExpert'09

http://bevirtual.blogspot.com

---- J.L. Medina - vExpert'09 http://bevirtual.blogspot.com

View solution in original post

0 Kudos
Aelis
Contributor
Contributor

Hola. Si instalo dos brokers que era la idea inicial despues de los problemas, se me plantena dos preguntas:

-debo pagar doble licenciamiento? al ser replica omito esa licencia?

-Los dos brokers podran acceder al mismo vcentery gestionar las mismas mv´s? Me explico; una misma mv estara accesible localmente por un broker y accesible externamente por el otro broker? solo si configuro un segundo en formato replica?

Gracias.salu2

0 Kudos
Samquejo
Commander
Commander

Solo podría responderte del licenciamiento. Se de buena tinta que por tener 2 brokers hay que tener 2 licencias, a un colega le pasó eso mismo.

Si esta u otra respuesta es util, por favor marca su correspondiente notificador.

Gracias/Regards

Si esta u otra respuesta es util, por favor marca su correspondiente notificador. Gracias/Regards
jlmedina1
Enthusiast
Enthusiast

- View se licencia por desktops virtuales, así que entiendo que no deberás pagar por la réplica.

- Efectivamente... ambos usan un sólo vCenter, y gestionan los mismos virtual desktops... de hecho, los mismos pools, lo que significa que máquinas de un mismo pool pueden ser servidas por ambos virtual centers.

Un saludo.






----

J.L. Medina - vExpert'09

http://bevirtual.blogspot.com

---- J.L. Medina - vExpert'09 http://bevirtual.blogspot.com
0 Kudos
Aelis
Contributor
Contributor

Gracias a los dos, lo pruebo y os cuento. Smiley Happy

0 Kudos
Aelis
Contributor
Contributor

Hola:

La solucion mas efectiva (por que seguro que alguna otra existe) ha sido instalar una segunda mv con una instkacion REPLICA del View Manager principal y en este configurarle la "url externa"

De este modo se utiliza un broker para conexiones in ternas y otro para conexiones externas, apuntando ambos al mismo virtual center y con las misma configuracion de permisos y desktops desplegados que el primer broker.

Un saludo

0 Kudos