Hallo Community,
ich habe eine nicht ganz einfache Frage. Aktuell nutze ich VMWare 6.0 mit aktuellen Patches und überlege, auf KVM zu wechseln. Aktuell sind im Host-System eine Dual-NIC Intel Karte verbaut und es laufen eine handvoll VMs auf dem System. Die Frage, um die es eigentlich geht ist folgende:
Kann ich mit KVM mein (virtuelles) Netz und die Zuordnung der Netzwerkkarten genauso abbilden, wie ich dies unter VMWare kann? Zur besseren Veranschaulichung hier mal eine ungefährer Überblick über das VM-Netz.
Internes Netz (10.105.10.0/24 – vmnic2):
Dem internen Netz ist eine der beiden physikalischen Netzwerkkarten zugeordnet. Das Host-System (VMWare) ist ebenfalls im internen Netz (10.105.10.201).
DMZ Netz (10.105.20.0/24):
Diesem Netzwerk ist keine physikalische Netzwerkkarte zugeordnet. Es dient rein als virtuelles Netz für gewisse Server/Dienste.
Externes Netz (öffentliche IP des Internetanschlusses – vmnic0):
Dieser IP wurde eine physikalische Netzwerkkarte zugeordnet, die exklusiv nur auf der Firewall eingehangen ist.
Die Systeme (relevant für's Netzwerk):
Die Firewall (pfsense) hat logischer Weise ein Beinchen in alle Netze, sprich intern, DMZ und extern. Wichtig hierbei ist, dass die (physikalische) Netzwerkkarte der Internetverbindung (Cablemodem) durchgereicht wird, an die Firewall. Sprich der Host (VMWare) bekommt nicht die externe IP, sondern die externe IP Adresse wird direkt an die Firewall durchgereicht.
Die Fragen:
1. Ist es möglich, mit KVM die externe IP (eine physikalische NIC) direkt an einen Gast weiterzureichen (in der VMWare Konstellation externe IP –> pfsense), so dass die externe IP auch nur im Gastsystem (Firewall) aktiv ist? Ich möchte nicht, dass der Host die externe IP Adresse bekommt, sondern die Firewall als Gast! Logischer Weise müsste sämtlicher Internetverkehr dann auch exklusiv über die Firewall gehandhabt werden. Ausserdem muss sichergestellt sein, dass ich gewisse Ports an Gäste durchreichen kann (Dienste im DMZ Netz, entsprechende Firewallregeln auf der pfsense vorausgesetzt).
2. Ist es möglich, ein komplettes Netz (in der VMWare Konstellation DMZ Netz) zu erstellen, welches keine physikalische Netzwerkkarte zugeordnet hat?
3. Kann der Host (KVM) als "normaler Client" im internen Netz vorhanden sein, mit fester IP natürlich? Im Beispiel meiner VMWare Installation wäre es die 10.105.10.201.
4. Wenn dies alles möglich ist, wäre die spannendste Frage natürlich: Wie wird das gemacht?
Wären die beiden Fragen geklärt, sollte ein Umstieg aus meiner Sicht kein Problem sein. Es gäbe zwar noch ein paar andere Fragen, die ich aber nach hinten stellen würde und die nichts mit der Netzwerkkonfiguration zu tun haben.
Vielen Dank an der Stelle schon mal für Tipps und ich hoffe, ich konnte mein Szenario vernünftig und ausreichend zu beschreiben.
ViiJay.