miguele
Contributor
Contributor

ipcop en vmware server 2

Jump to solution

Hola,

Tenemos un hipervisor con vmware server 2.0 sobre ubuntu. Las máquinas están con bridge en el rango de la lan.

Queremos poner un firewall ipcop y para ello hemos pensado añadir una tarjeta de red al hipervisor, y asignar al firewall las dos tarjetas, la de la lan y la de internet.

Normalmente en un equipo con dos redes suelo poner en la NIC de internet como gateway la ip del router y dejo en blanco el gateway de la lan. Que es como dejaría el firewall.

La duda la tengo en la configuración gateway del ubuntu sobre el que corre el vmware server 2,

1 - Debería poner un gateway para cada red.

2 - Dejar como gateway lo que hasta ahora es el router (que pasaría a ser una mmvv del propio hipervisor) y que está dentro de la LAN.

3 - Poner la ip de la NIC que conecta con el router, esta opcion no nos parece correcta ya que entendemos que solo el firewall ha de acceder a la red del router.

Igual lo mejor es colocar un equipo físico entre el router y el Hipervisor...

Desde ya gracias por cualquier idea y saludos.

Miguel.

0 Kudos
1 Solution

Accepted Solutions
Borja_Mari
Virtuoso
Virtuoso

Hola,

como diría aquel, te contesto por partes:

Hola,

Hola Smiley Happy

Tenemos un hipervisor con vmware server 2.0 sobre ubuntu. Las máquinas están con bridge en el rango de la lan.

Buena opción la de usar como SO del host un Linux. Es mi preferida!

Queremos poner un firewall ipcop y para ello hemos pensado añadir una tarjeta de red al hipervisor, y asignar al firewall las dos tarjetas, > la de la lan y la de internet. >Normalmente en un equipo con dos redes suelo poner en la NIC de internet como gateway la ip del router y dejo > en blanco el gateway de la lan. Que es como dejaría > el firewall.

El tema de las rutas en el firewall me parece más que correcto.

La duda la tengo en la configuración gateway del ubuntu sobre el que corre el vmware server 2,

Veamos esas dudas!

1 - Debería poner un gateway para cada red.

Según mi humilde opinión te diria que la mejor opción es que el host como tal sólo tenga una ip de gestión (en un segmento de red) separado de las segmentos de red de las MV.

Yo por ejemplo a las tarjetas de red dedicadas a las MV en el host no le asigno IP, son las MV las que asignan a sus tarjetas de red logicas/virtuales asociadas a las físicas la IP que toque.

Otra cosa interesante es usar VLAN's en las tarjetas físicas que despues usarán las virtuales. Da bastante juego! Smiley Happy

2 - Dejar como gateway lo que hasta ahora es el router (que pasaría a ser una mmvv del propio hipervisor) y que está dentro de > la LAN.

Si lo que comentas en este punto es que la MV con el ipcop pase a ser el router de la LAN, es una buena idea.

3 - Poner la ip de la NIC que conecta con el router, esta opcion no nos parece correcta ya que entendemos que solo el firewall ha

de acceder a la red del router.

> Igual lo mejor es colocar un equipo físico entre el router y el Hipervisor...

Si esa MV va a ser el firewall de la red, porque suplantarla con una máquina física delante del router?

Si por ejemplo quieres tolerancia/redundancia podrías montar un 2º ipcop/firewall/cortafuegos en cluster en otro host.

Desde ya gracias por cualquier idea y saludos.

De nada, espero haberte ayudado! Smiley Happy

Miguel.

Si encuentras mi respuesta útil, considera puntuarla como correcta y/o útil. Muchas gracias! Smiley Happy / If you found this information useful, please consider awarding points for "Correct" or "Helpful" answers/replies. Thanks!!

------------------------------------------------------------------------------------------------- PLEASE CONSIDER AWARDING any HELPFUL or CORRECT reply. Thanks!! Por favor CONSIDERA PREMIAR cualquier respuesta ÚTIL o CORRECTA . ¡¡Muchas gracias!! VCP3, VCP4, VCP5-DCV (VCP550), vExpert 2010, 2014 BLOG: http://communities.vmware.com/blogs/VirtuallyAnITNoob

View solution in original post

0 Kudos
3 Replies
Borja_Mari
Virtuoso
Virtuoso

Hola,

como diría aquel, te contesto por partes:

Hola,

Hola Smiley Happy

Tenemos un hipervisor con vmware server 2.0 sobre ubuntu. Las máquinas están con bridge en el rango de la lan.

Buena opción la de usar como SO del host un Linux. Es mi preferida!

Queremos poner un firewall ipcop y para ello hemos pensado añadir una tarjeta de red al hipervisor, y asignar al firewall las dos tarjetas, > la de la lan y la de internet. >Normalmente en un equipo con dos redes suelo poner en la NIC de internet como gateway la ip del router y dejo > en blanco el gateway de la lan. Que es como dejaría > el firewall.

El tema de las rutas en el firewall me parece más que correcto.

La duda la tengo en la configuración gateway del ubuntu sobre el que corre el vmware server 2,

Veamos esas dudas!

1 - Debería poner un gateway para cada red.

Según mi humilde opinión te diria que la mejor opción es que el host como tal sólo tenga una ip de gestión (en un segmento de red) separado de las segmentos de red de las MV.

Yo por ejemplo a las tarjetas de red dedicadas a las MV en el host no le asigno IP, son las MV las que asignan a sus tarjetas de red logicas/virtuales asociadas a las físicas la IP que toque.

Otra cosa interesante es usar VLAN's en las tarjetas físicas que despues usarán las virtuales. Da bastante juego! Smiley Happy

2 - Dejar como gateway lo que hasta ahora es el router (que pasaría a ser una mmvv del propio hipervisor) y que está dentro de > la LAN.

Si lo que comentas en este punto es que la MV con el ipcop pase a ser el router de la LAN, es una buena idea.

3 - Poner la ip de la NIC que conecta con el router, esta opcion no nos parece correcta ya que entendemos que solo el firewall ha

de acceder a la red del router.

> Igual lo mejor es colocar un equipo físico entre el router y el Hipervisor...

Si esa MV va a ser el firewall de la red, porque suplantarla con una máquina física delante del router?

Si por ejemplo quieres tolerancia/redundancia podrías montar un 2º ipcop/firewall/cortafuegos en cluster en otro host.

Desde ya gracias por cualquier idea y saludos.

De nada, espero haberte ayudado! Smiley Happy

Miguel.

Si encuentras mi respuesta útil, considera puntuarla como correcta y/o útil. Muchas gracias! Smiley Happy / If you found this information useful, please consider awarding points for "Correct" or "Helpful" answers/replies. Thanks!!

------------------------------------------------------------------------------------------------- PLEASE CONSIDER AWARDING any HELPFUL or CORRECT reply. Thanks!! Por favor CONSIDERA PREMIAR cualquier respuesta ÚTIL o CORRECTA . ¡¡Muchas gracias!! VCP3, VCP4, VCP5-DCV (VCP550), vExpert 2010, 2014 BLOG: http://communities.vmware.com/blogs/VirtuallyAnITNoob

View solution in original post

0 Kudos
miguele
Contributor
Contributor

Hola Borja

La respuesta no es útil, es "per fec ta". Sobre todo la idea de que a las NICs de las mmvvv no les asigne ip, que obvio, pues yo les tengo puesta una ip y además no tengo una nic dedicada al hipervisor. Ya tengo tarea Smiley Wink

Muchas gracias y saludos.

0 Kudos
Borja_Mari
Virtuoso
Virtuoso

Me alegro de haberte sido de ayuda Smiley Wink

Un saludo.

Si encuentras mi respuesta útil, considera puntuarla como correcta o útil. Muchas gracias!! -- If you found this information useful, please consider awarding points for "Correct" or "Helpful" answers/replies. Thanks!!

------------------------------------------------------------------------------------------------- PLEASE CONSIDER AWARDING any HELPFUL or CORRECT reply. Thanks!! Por favor CONSIDERA PREMIAR cualquier respuesta ÚTIL o CORRECTA . ¡¡Muchas gracias!! VCP3, VCP4, VCP5-DCV (VCP550), vExpert 2010, 2014 BLOG: http://communities.vmware.com/blogs/VirtuallyAnITNoob
0 Kudos