Jump to content
Калькуляторы

Доступ извне к виртуальной машине

Доброго времени суток. Появилась потребность подключаться к виртуальной машине (VirtualBox - Win7)

Есть самый дешевый роутер Asus сеть 192.168.0.1/24 VLAN не поддерживает и не возможно производить настройки отдельных портов роутера.

К роутеру подключена 1 хостовая машина, а на ней крутится 1 гостевая ОС. Необходимо, чтобы гостевая ОС и хостовая машина были в разных подсетях, изолированы друг от друга, везде был Интернет, а также иметь доступ к гостевой системе через Интернет. Подскажите, такой вариант возможен? В сетях я новичек. Прошу помочь, а не пинать. Буду благодарен.

 

P.S.: Может кто решал подобную задачу?

Share this post


Link to post
Share on other sites

Почитайте книжки по маршрутизации.

 

Спасибо за совет.

Share this post


Link to post
Share on other sites

Win10die, доброго времени суток.

 

К сожалению, в представленной Вами схеме,

реализовать описанные требования почти не возможно.

 

Можно конечно, объединить «хостовая машина» и «гостевая ОС» через bridge

(сетевой мост) и каждой назначить отдельную подсеть.

 

Например:

«Маршрутизатор Asus» и «хостовая машина» - сеть 192.168.0.0/24.

«Маршрутизатор Asus» и «гостевая ОС» - сеть 192.168.10.0/24.

Указав на интерфейсе маршрутизатора подсеть 192.168.10.0/24,

в качестве второго адреса.

 

Но я не уверен, что «Маршрутизатор Asus» подобное поддерживает,

а главное может предоставить доступ в Интернет на разные подсети.

При этом, полностью «изолированными» эти подсети не будут!

 

Для Вашей схемы, необходимо наличие «аппаратного» (Cisco, Mikrotik и т.п.)

или «программного» (xBSD, Linux и т.п.) маршрутизатора, способного управлять

IP трафиком «по сценарию» (Firewall, route-map).

 

В качестве «программного», может выступать микро ПК, на основе «CPU Atom»,

с популярными сетевыми ОС.

 

Полноценной изоляция трафика, является VLAN, при поддержке маршрутизатора

и оконечного оборудования (виртуальной среды).

Share this post


Link to post
Share on other sites

Можно перешить асус прошивкой openwrt и делать с портами все что угодно!

Share this post


Link to post
Share on other sites

Можно перешить асус прошивкой openwrt и делать с портами все что угодно!

Если используется PPPoE то возможно. А если PPTP, то чертыхаясь и матерясь придется возвращать все обратно.

Пробовал все эти чудо-прошивки, но из говна конфетку не сделать.

Share this post


Link to post
Share on other sites

Спасибо, Вам за ответ.

Я уже сам понял, что такая схема не получится.

 

Я пробовал настроить bridge. Не работает. Поэтому написал сей пост.

Да я уже смотрю в сторону Microtik, http://routerboard.com/RB750Gr2

 

Win10die, доброго времени суток.

 

К сожалению, в представленной Вами схеме,

реализовать описанные требования почти не возможно.

 

Можно конечно, объединить «хостовая машина» и «гостевая ОС» через bridge

(сетевой мост) и каждой назначить отдельную подсеть.

 

Например:

«Маршрутизатор Asus» и «хостовая машина» - сеть 192.168.0.0/24.

«Маршрутизатор Asus» и «гостевая ОС» - сеть 192.168.10.0/24.

Указав на интерфейсе маршрутизатора подсеть 192.168.10.0/24,

в качестве второго адреса.

 

Но я не уверен, что «Маршрутизатор Asus» подобное поддерживает,

а главное может предоставить доступ в Интернет на разные подсети.

При этом, полностью «изолированными» эти подсети не будут!

 

Для Вашей схемы, необходимо наличие «аппаратного» (Cisco, Mikrotik и т.п.)

или «программного» (xBSD, Linux и т.п.) маршрутизатора, способного управлять

IP трафиком «по сценарию» (Firewall, route-map).

 

В качестве «программного», может выступать микро ПК, на основе «CPU Atom»,

с популярными сетевыми ОС.

 

Полноценной изоляция трафика, является VLAN, при поддержке маршрутизатора

и оконечного оборудования (виртуальной среды).

 

А если DD-WRT?

 

Можно перешить асус прошивкой openwrt и делать с портами все что угодно!

 

На WAN порт приходит реальный IP (динамический) DHCP.

 

Можно перешить асус прошивкой openwrt и делать с портами все что угодно!

Если используется PPPoE то возможно. А если PPTP, то чертыхаясь и матерясь придется возвращать все обратно.

Пробовал все эти чудо-прошивки, но из говна конфетку не сделать.

 

Router Asus RT-N10 rew C1

Edited by Win10die

Share this post


Link to post
Share on other sites

Почитайте книжки по маршрутизации.

 

Посоветуйте хорошую книгу по маршрутизации. А то их много и дорого стоят. Пожалуйста.

Edited by Win10die

Share this post


Link to post
Share on other sites

Я бы попробовал ccna и jncia study guide.

Upd. Это если есть английский, на русском их то ли нет, толи перевод не очень.

Edited by furai

Share this post


Link to post
Share on other sites

Почитайте книжки по маршрутизации.

 

Посоветуйте хорошую книгу по маршрутизации. А то их много и дорого стоят. Пожалуйста.

 

Книжки "по маршрутизации" это про протоколы динамической маршрутизации и такому чайнку они еще очень и очень рано.

Тебе нужны книжки по самым основам сети. Собсно бумажных и не надо, достаточно погуглить.

Share this post


Link to post
Share on other sites

Читаю. Успешно настроил проброс портов в виртуальную машину. Но захотелось вынести виртуальную машину в другую сеть не связанную с хостовой машиной, но иметь к ней доступ из Internet.

 

Поэтому и нужен совет, профессионалов.

 

Смущает то, что виртуальная машина использует тот же сетевой порт, сетевую карту хостового компа, будет ли это нормально работать? И стоит ради этого настраивать VLAN?

 

Мне посоветовали обратиться на этот форум.

Говорят здест, умные и адекватные люди, пинать не будут и подскажут. Я и не прошу решить за меня проблему.

Я лишь хочу понять как это сделать и сколько надо потратить денег и что покупать...

 

Почитайте книжки по маршрутизации.

 

Посоветуйте хорошую книгу по маршрутизации. А то их много и дорого стоят. Пожалуйста.

 

Книжки "по маршрутизации" это про протоколы динамической маршрутизации и такому чайнку они еще очень и очень рано.

Тебе нужны книжки по самым основам сети. Собсно бумажных и не надо, достаточно погуглить.

Share this post


Link to post
Share on other sites

Для того чтоб реализовать хотелку нужно чтоб хост машина(в вашем случае вин7) могла предоставить своему гостю(виртуалке) либо влан(а поддерживает ли ваша карта вообще вланы) либо,хотя бы, другой ip адрес.

Не уверен что это можно реализовать на вин7 - начните с этого.

Share this post


Link to post
Share on other sites

Необходимо, чтобы гостевая ОС и хостовая машина были в разных подсетях, изолированы друг от друга, везде был Интернет, а также иметь доступ к гостевой системе через Интернет.

 

Противоречивое требование.

Хост машина "пробрасывает" сеть для гостевой машины и, естественно, может "смотреть" траффик, предназначенной для гостевой машины.

Share this post


Link to post
Share on other sites
о захотелось вынести виртуальную машину в другую сеть не связанную с хостовой машиной, но иметь к ней доступ из Internet.

Давай определимся что для тебя "изоляция"?

Чего ты хочешь избежать?

Тут обычно подразумевают л2 изоляцию: это либо физически разные сети либо вланы разные в пределах одной физической сети.

 

Смущает то, что виртуальная машина использует тот же сетевой порт, сетевую карту хостового компа, будет ли это нормально работать? И стоит ради этого настраивать VLAN?

И что?

У меня в домашнем сервере один сетевой адаптер используется, на нём подняты вланы: для дома, для провайдера 1, для провайдера 2. Дальше управляемый коммутатор, где вланы "превращаются" в физические интерфейсы, между которым пакеты не ходят совсем никак.

Те имея управляемый коммутатор на 24 порта и один сетевой адаптер с помощью вланов можно получить 23 порта, совершенно не зависимых, только скорость они будут делить между собой.

Share this post


Link to post
Share on other sites

А если DD-WRT?

 

То ценой этих тестов может стать паяние программатора, из кухонного роутера с ДДврт сделать назад заводской, иной раз может стать нетривиальной задачей.

Share this post


Link to post
Share on other sites

Для того чтоб реализовать хотелку нужно чтоб хост машина(в вашем случае вин7) могла предоставить своему гостю(виртуалке) либо влан(а поддерживает ли ваша карта вообще вланы) либо,хотя бы, другой ip адрес.

Не уверен что это можно реализовать на вин7 - начните с этого.

 

VLan хост машина поддерживает.

Хочу взять у знакомого Mikrotik или комп с 3 сетевыми картами.

Share this post


Link to post
Share on other sites

Необходимо, чтобы гостевая ОС и хостовая машина были в разных подсетях, изолированы друг от друга, везде был Интернет, а также иметь доступ к гостевой системе через Интернет.

 

Противоречивое требование.

Хост машина "пробрасывает" сеть для гостевой машины и, естественно, может "смотреть" траффик, предназначенной для гостевой машины.

 

Согласен. Спасибо.

Я прочел man VirtualBox и понял что это смонительно и не благодарно. Есть ряд нюансов по работе с VLan в Linux, Mac OS. Не стоит оно того.

Share this post


Link to post
Share on other sites
о захотелось вынести виртуальную машину в другую сеть не связанную с хостовой машиной, но иметь к ней доступ из Internet.

Давай определимся что для тебя "изоляция"?

Чего ты хочешь избежать?

Тут обычно подразумевают л2 изоляцию: это либо физически разные сети либо вланы разные в пределах одной физической сети.

 

Смущает то, что виртуальная машина использует тот же сетевой порт, сетевую карту хостового компа, будет ли это нормально работать? И стоит ради этого настраивать VLAN?

И что?

У меня в домашнем сервере один сетевой адаптер используется, на нём подняты вланы: для дома, для провайдера 1, для провайдера 2. Дальше управляемый коммутатор, где вланы "превращаются" в физические интерфейсы, между которым пакеты не ходят совсем никак.

Те имея управляемый коммутатор на 24 порта и один сетевой адаптер с помощью вланов можно получить 23 порта, совершенно не зависимых, только скорость они будут делить между собой.

 

Хотелось бы VLANы, чтобы при взломе виртуальной машины, не вломали всю сеть. Пока бюджет урезан, на покупку отдельной машины, маршрутизатора. Сплошная этокономия. Как говорится из гавна, пулю хотят.

Прочитав man VirtualBox там оказывается есть нюансы по работе с VLan'ами под разными ОС.

 

Some adapters strip VLAN tags in hardware. This does not allow to use VLAN trunking between VM and the external network with pre-2.6.27 Linux kernels nor with host operating

systems other than Linux

 

Про винду ни слова. Я и создал тему для того, чтобы понять возможно ли эта схема? К сожалению кантора не богатая. Финансирования почти нет. Вот и хотел я виртуалку поднять.

Чувствую надо брать нормальный роутер и новый комп. Сомнительная схема получается.

 

Попробую убедить о выделении нужных финансов.

 

Всем кто откликнулся, большущие спасибо.

 

P.S.: оборудования нет. чтобы проверить схему в действии.

Я гостевой системе назначал сеть 192.168.1.0, а хост машина в сети 172.16.0.0, но хост машине включил IP rouring. пакеты бегали и туда и обратно.

Гостевая система работала в режиме bridge.

 

Спасибо Вам за ваши ответы.

Share this post


Link to post
Share on other sites

Как дешевый вариант, попробовать использовать USB wifi адаптер. Подключить его в виртуальную машину, а для получения интернет использовать имеющийся беспроводной роутер. Если описание верно, на нем можно поднять несколько беспроводных сетей. Виртуальный сетевой адаптер в режиме bridge и виланы в такой схеме не потребуются.

Share this post


Link to post
Share on other sites

Необходимо, чтобы гостевая ОС и хостовая машина были в разных подсетях, изолированы друг от друга, везде был Интернет, а также иметь доступ к гостевой системе через Интернет.

 

Противоречивое требование.

Хост машина "пробрасывает" сеть для гостевой машины и, естественно, может "смотреть" траффик, предназначенной для гостевой машины.

 

То есть с VLAN не получится?

 

о захотелось вынести виртуальную машину в другую сеть не связанную с хостовой машиной, но иметь к ней доступ из Internet.

Давай определимся что для тебя "изоляция"?

Чего ты хочешь избежать?

Тут обычно подразумевают л2 изоляцию: это либо физически разные сети либо вланы разные в пределах одной физической сети.

 

Смущает то, что виртуальная машина использует тот же сетевой порт, сетевую карту хостового компа, будет ли это нормально работать? И стоит ради этого настраивать VLAN?

И что?

У меня в домашнем сервере один сетевой адаптер используется, на нём подняты вланы: для дома, для провайдера 1, для провайдера 2. Дальше управляемый коммутатор, где вланы "превращаются" в физические интерфейсы, между которым пакеты не ходят совсем никак.

Те имея управляемый коммутатор на 24 порта и один сетевой адаптер с помощью вланов можно получить 23 порта, совершенно не зависимых, только скорость они будут делить между собой.

 

 

Да. Физическая сеть одна, есть один комп, на ней виртуальная ОС. Хотелось бы вынести ее в другую сеть и разрешить подлючаться к ней по RDP.

 

Как дешевый вариант, попробовать использовать USB wifi адаптер. Подключить его в виртуальную машину, а для получения интернет использовать имеющийся беспроводной роутер. Если описание верно, на нем можно поднять несколько беспроводных сетей. Виртуальный сетевой адаптер в режиме bridge и виланы в такой схеме не потребуются.

 

Спасибо за совет, но больше интересует проводной вариант.

Share this post


Link to post
Share on other sites

То есть с VLAN не получится?

Физическая то среда одна! А VLAN - это виртуальная сеть. Которая выглядит как физическая, только виртуальная. :)

 

У вас, имхо, просто постановка вопроса слегка не та. Если вы хотите изолировать машину в сети, то можете использовать VLAN. Если не доверяете хосту и требуется 100% изоляция, тогда виртуальная машина тоже должна быть физической. :)

Edited by xcme

Share this post


Link to post
Share on other sites

В отличие от варианта с wifi, проводной вариант сложнее. Например, добавить еще физический сетевой адаптер для использования виртуальной машиной + найти альтернативную прошивку для роутера, которая позволит на отдельный порт маршрутизатора навесить свой vlan-интерфейс и поднять отдельную сеть для виртуальной машины.

Если прошивок нет, то совсем извращенный вариант - взять еще один дешевый роутер с lan/wan портом, который умеет пробрасывать порты и фильтрацию и использовать его для соединения сетевого интерфейса витуальной машины и основного маршрутизатора, будет изоляция по сети между хостовой системой и виртуальной.

Как по-мне, такие варианты ненормальны, лучше найти подходящий маршрутизатор, не такие уж и большие суммы.

Share this post


Link to post
Share on other sites

То есть с VLAN не получится?

Физическая то среда одна! А VLAN - это виртуальная сеть. Которая выглядит как физическая, только виртуальная. :)

 

У вас, имхо, просто постановка вопроса слегка не та. Если вы хотите изолировать машину в сети, то можете использовать VLAN. Если не доверяете хосту и требуется 100% изоляция, тогда виртуальная машина тоже должна быть физической. :)

 

Ясно. Не буду с этим играться. Буду настаивать на доп. финансировании.

Share this post


Link to post
Share on other sites

В отличие от варианта с wifi, проводной вариант сложнее. Например, добавить еще физический сетевой адаптер для использования виртуальной машиной + найти альтернативную прошивку для роутера, которая позволит на отдельный порт маршрутизатора навесить свой vlan-интерфейс и поднять отдельную сеть для виртуальной машины.

Если прошивок нет, то совсем извращенный вариант - взять еще один дешевый роутер с lan/wan портом, который умеет пробрасывать порты и фильтрацию и использовать его для соединения сетевого интерфейса витуальной машины и основного маршрутизатора, будет изоляция по сети между хостовой системой и виртуальной.

Как по-мне, такие варианты ненормальны, лучше найти подходящий маршрутизатор, не такие уж и большие суммы.

 

Да. Скорее всего так и будет.

А мне ваш инзвращенный вариант понравился))))))))))

Share this post


Link to post
Share on other sites

Ясно. Не буду с этим играться. Буду настаивать на доп. финансировании.

Использование виртуальных машин и VLAN - самая обычная практика. У многих по нескольку десятков или сотен крутится одновременно.

Думаю, в вашем случае нет никаких сложностей и не нужен даже VLAN. Просто закройте в виртуалке доступ файрволлом с недоверенных устройств. А хост-машина на то и хост, чтобы иметь над виртуалками некоторую власть. :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this