我在 DMZ 中有两个 ESX 3.5 服务器。我可以通过 VPN 从 LAN 的任何端口访问这些服务器。出于显而易见的原因,DMZ 中的服务器无法发起返回 LAN 的连接。我的 LAN 上有一个 vCenter 服务器,最初可以正常连接到 ESX 服务器。但是,ESX 服务器随后尝试通过 UDP/902 将心跳发送回 vCenter 服务器 - 显然这不会返回到 vCenter 服务器,然后 vCenter 服务器将 ESX 服务器标记为无响应并断开连接。
我能想到的有两种广泛的解决方案:
1) 尝试告诉 vCenter 忽略未收到心跳的情况。我能做的最好的就是将断开连接延迟 3 分钟。
2)尝试一些聪明的网络解决方案。然而,我再次不知所措。
注意:vCenter 服务器位于 LAN 上,无法为其指定公网 IP,因此防火墙规则将不起作用。另外,我无法设置从 DMZ 到 LAN 的 VPN。
**我添加了以下内容,解释一下我添加到评论中
好吧,也许这是我解释得不太清楚的地方。DMZ 位于远程站点,一个完全独立的网络(网络 1)。vCenter 服务器位于我们的办公室 LAN(网络 2)上。网络 2 可以连接到网络 1 上任何端口上的任何机器。但网络 1 不允许发起到网络 2 的连接。从网络 1 发往网络 2 的任何流量都会被防火墙丢弃,因为它是发往不可路由地址的流量。我能想到的唯一解决方案是从网络 1 到网络 2 设置 VPN,但这是不可接受的。
那么有没有任何聪明的人有什么想法?
J
答案1
James,为什么不在远程位置配置 ESX 主机,以便它们的客人位于 DMZ 中,但 ESX 服务控制台等位于您可以建立 VPN 的后区子网中?这样,您的主机就与网络连接隔离(这是好事),但您的访客可以继续进行前端操作。
至于远程站点问题……您确实需要一个站点到站点的 VPN 链接,位于您的内部 LAN 和远程(如果可能的话是非 DMZ)子网之间。
答案2
您的防火墙不允许端口从特定 IP(ESX 服务器)转发到特定内部 IP(vCenter)?我见过的大多数防火墙(家用级除外)都会这样做。或者通过执行端口转发然后设置 ACL(或类似功能)来实现相同的目的,以便仅在某些条件下(来自 ESX 服务器)允许该流量。
答案3
此外,如果这是“DMZ”,那么应该可以为服务控制台端口(以及 VMKernel 等)设置内部(但由内部防火墙进行防火墙保护)地址,并且只将外部连接的上行链路连接到外部防火墙(对于具有公共 IP 的 VM NIC)。然后应该可以安全地打开相关端口,以便将 UDP 902 流量发送到 ESX 服务控制台。
即使在仅限内部的环境中,您的服务控制台上行链路 NIC 也应该与生产 VM 端口上行链路分开,在这种情况下“应该”实际上变成了“必须”。
我假设 ESX 服务器上有多个 NIC,并且有 DMZ,而不是 ESX 服务器位于单个防火墙之外的情况。如果是这样,那么 Chris S 的答案应该是可行的。
答案4
好吧,我有一个可行的解决方案,虽然有点脆弱,但仍然有效。它要求您使用本地局域网上的主机作为“代理”
在 esx 服务器(远程局域网)IP 上:10.XX.XX.XX
1)/sbin/iptables -t nat -I OUTPUT -p udp -s 10.XX.XX.XX --dport 902 -j DNAT --to 127.0.0.1
这会将到 vCenter 的 UDP 重新路由回环回接口。
2)nc -u -l -p 902 | nc 127.0.0.1 1002
这会将 udp 转换为 tcp,并将其发送到本地主机的 1002 端口
在 esx-proxy 上(本地局域网)
设置出站 ssh 隧道
ssh -Nf -g -L 902:本地主机:902 -L 903:本地主机:903 -L 443:本地主机:443 10.XX.XX.XX
设置反向隧道来捕获已转换为 tcp 的 udp
ssh -Nf -R 1002:127.0.0.1:1002 10.XX.XX.XX
现在将端口 1002 上的 tcp 转换回 udp
nc -l -p 1002 | nc -u 10.YY.YY.YY 902
其中 10.YY.YY.YY 是 vCenter 服务器。
在 vCenter 服务器上(本地局域网)
连接到代理,就像连接到真实主机一样。
女士们先生们,您可以使用 ssh 隧道连接到远程局域网上的 esx 服务器
此外,我还扩展了指令,允许您使用相同的代理连接到许多远程 esx 服务器。
J
(我可以给自己 50 分吗?:))