11
Windows Server (Hyper-V) auf einem Hetzner-Server: Netzwerk-Konfig
Hallo liebe Gemeinschaft,
folgende Frage.
Ich habe einen Server bei Hetzner, der aktuell mit ESXi läuft.
Ich möchte (muss) den Server auf Hyper-V migrieren und habe hierzu die nachfolgende "Netzwerk"-Frage.
Ich habe 2 öffentliche IP-Adressen von Hetzner zugewiesen bekommen.
Aktuell mit ESXi habe ich das Netzwerk so konfiguriert:
- An einer IP-Adresse lauscht meine virtualisierte Firewall; sie kümmert sich um den Traffic und lässt andere VMs ins Internet oder verbietet es. Die Hetzner-Firewall habe ich so eingestellt, dass sie alle Connections zu dieser IP-Adresse und von dieser IP-Adresse erlaubt; um das Weitere kümmert sich die virtualisierte Firewall.
- An einer anderen IP-Adresse ist das Management-Netzwerk von ESXi angeschlossen. Die Firewall von Hetzner ist so konfiguriert, dass sich mit dieser IP-Adresse nur die Geräte verbinden dürfen, die sich im lokalen Netzwerk im Office befinden und umgekehrt kann ich nur aus dem Office den ESXi kontaktieren. Das ist so gewollt: so ist der ESXi vom bösen Internet geschützt
Nun, ESXi kann ohne Internetzugriff, den er nicht hat, gut umgehen; das Einzige, was ESXi braucht, ist der TIme Sync, aber er kriegt die Uhrzeit von einem Zeitserver aus dem Office.
Etwas Ähnliches möchte ich mit dem Windows Server 2019 mit Hyper-V-Rolle aufsetzen. Das Problem: Windows Server muss sich mit dem Internet verbinden dürfen, um Windows Updates herunterladen zu können. Warum ist das ein Problem? Weil die Hetzner-Firewall eine Stateless-Firewall ist, und daher kann der Windows Server nicht "richtig" aufs Internet zugreifen, wenn der Zugriff nur für die ausgehenden Verbindungen erlaubt ist. Ich möchte aber den Windows Server nicht für die eingehenden Verbindungen aus dem Internet öffnen.
Bitte kann mir jemand einen Tipp geben, wie ich es erreichen kann, dass der Windows Server sich die Windows Updates herunterladen kann, aber dennoch aus dem Internet nicht zugreifbar beleibt. Vielen Dank vorab!
folgende Frage.
Ich habe einen Server bei Hetzner, der aktuell mit ESXi läuft.
Ich möchte (muss) den Server auf Hyper-V migrieren und habe hierzu die nachfolgende "Netzwerk"-Frage.
Ich habe 2 öffentliche IP-Adressen von Hetzner zugewiesen bekommen.
Aktuell mit ESXi habe ich das Netzwerk so konfiguriert:
- An einer IP-Adresse lauscht meine virtualisierte Firewall; sie kümmert sich um den Traffic und lässt andere VMs ins Internet oder verbietet es. Die Hetzner-Firewall habe ich so eingestellt, dass sie alle Connections zu dieser IP-Adresse und von dieser IP-Adresse erlaubt; um das Weitere kümmert sich die virtualisierte Firewall.
- An einer anderen IP-Adresse ist das Management-Netzwerk von ESXi angeschlossen. Die Firewall von Hetzner ist so konfiguriert, dass sich mit dieser IP-Adresse nur die Geräte verbinden dürfen, die sich im lokalen Netzwerk im Office befinden und umgekehrt kann ich nur aus dem Office den ESXi kontaktieren. Das ist so gewollt: so ist der ESXi vom bösen Internet geschützt
Nun, ESXi kann ohne Internetzugriff, den er nicht hat, gut umgehen; das Einzige, was ESXi braucht, ist der TIme Sync, aber er kriegt die Uhrzeit von einem Zeitserver aus dem Office.
Etwas Ähnliches möchte ich mit dem Windows Server 2019 mit Hyper-V-Rolle aufsetzen. Das Problem: Windows Server muss sich mit dem Internet verbinden dürfen, um Windows Updates herunterladen zu können. Warum ist das ein Problem? Weil die Hetzner-Firewall eine Stateless-Firewall ist, und daher kann der Windows Server nicht "richtig" aufs Internet zugreifen, wenn der Zugriff nur für die ausgehenden Verbindungen erlaubt ist. Ich möchte aber den Windows Server nicht für die eingehenden Verbindungen aus dem Internet öffnen.
Bitte kann mir jemand einen Tipp geben, wie ich es erreichen kann, dass der Windows Server sich die Windows Updates herunterladen kann, aber dennoch aus dem Internet nicht zugreifbar beleibt. Vielen Dank vorab!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 34099604621
Url: https://administrator.de/contentid/34099604621
Printed on: April 27, 2024 at 16:04 o'clock
11 Comments
Latest comment
Hallo
Windows Server muss sich mit dem Internet verbinden dürfen, um Windows Updates herunterladen zu können.
Warum sollte der Windows Server Updates Online installieren? Verzicht auf diese Funktion.
Wenn notwendig mache die Update manuell.
Ev. WSUS Offline Update verwenden.
Kann sein, das ich falsch gewickelt bin!
Gruss
Windows Server muss sich mit dem Internet verbinden dürfen, um Windows Updates herunterladen zu können.
Warum sollte der Windows Server Updates Online installieren? Verzicht auf diese Funktion.
Wenn notwendig mache die Update manuell.
Ev. WSUS Offline Update verwenden.
Kann sein, das ich falsch gewickelt bin!
Gruss
1
Ich habe auch daran gedacht, den Server offline upzugraden, aber das muss dann zu oft passieren. Die Updates der Definitionen für den Defender erscheinen mehrfach am Tag...
Moin,
Gruß,
Dani
Weil die Hetzner-Firewall eine Stateless-Firewall ist, und daher kann der Windows Server nicht "richtig" aufs Internet zugreifen, wenn der Zugriff nur für die ausgehenden Verbindungen erlaubt ist. Ich möchte aber den Windows Server nicht für die eingehenden Verbindungen aus dem Internet öffnen.
richte es wie hier beschrieben ein. Genauer gesagt ergänze die erste Regel aus dem verlinkten Absatz und dein Problem ist gelöst.Ich möchte aber den Windows Server nicht für die eingehenden Verbindungen aus dem Internet öffnen.
Soso... dann möchte ich nicht wissen, wie du eine Stateful Firewall betreiben kannst?!Gruß,
Dani
1
Moin @sashaak,
Defender und Hyper-V, bist du dir ganz sicher, dass du dir das auch wirklich antuen möchtest?
AV direkt auf einem Hypervisor ist nicht ganz ohne.
Gruss Alex
Die Updates der Definitionen für den Defender erscheinen mehrfach am Tag...
Defender und Hyper-V, bist du dir ganz sicher, dass du dir das auch wirklich antuen möchtest?
AV direkt auf einem Hypervisor ist nicht ganz ohne.
Gruss Alex
1Zitat von @Dani:
richte es wie hier beschrieben ein. Genauer gesagt ergänze die erste Regel aus dem verlinkten Absatz und dein Problem ist gelöst.
Vielen Dank für den Input @Dani!
Jup. Dann ist der Portbereich 32768-65535 geöffnet für alle eingehenden TCP-Verbindungen. Oder irre ich mich?
Macht es eventuell Sinn, das nur für die IP-Bereiche von Microsoft zu machen? Oder gewährleistet der "ack"-Flag, dass nur die ausgehenden Verbindungen beantwortet werden dürfen?
Zitat von @MysticFoxDE:
Defender und Hyper-V, bist du dir ganz sicher, dass du dir das auch wirklich antuen möchtest?
AV direkt auf einem Hypervisor ist nicht ganz ohne.
Defender und Hyper-V, bist du dir ganz sicher, dass du dir das auch wirklich antuen möchtest?
AV direkt auf einem Hypervisor ist nicht ganz ohne.
Vielen Dank für die Antwort @MysticFoxDE.
Na ja, der Defender ist beim Windows Server 2019 mit GUI mit dabei. Man könnte natürlich nur den reinen Hyper-V installieren, aber dann ist das Management deutlich komplizierter, IMHO.
Moin @sashaak,
Ja, per Default kommt bei MS mittlerweile einiges mit was man nicht wirklich zum Leben benötigt oder es dieses sogar erschwert. 😔
Zum Glück kann man beim Server das meiste davon auch wieder abstellen. 😁
😉
Der Befehl funktioniert aber leider nur bei den Servern. 😭
Würde ich auch nicht empfehlen und entgegen Aussagen anderer, habe ich bei der Core Version, bisher auch nicht wirklich mehr Bums gesehen.
Gruss Alex
Na ja, der Defender ist beim Windows Server 2019 mit GUI mit dabei.
Ja, per Default kommt bei MS mittlerweile einiges mit was man nicht wirklich zum Leben benötigt oder es dieses sogar erschwert. 😔
Zum Glück kann man beim Server das meiste davon auch wieder abstellen. 😁
Remove-WindowsFeature -Name "Windows-Defender" Der Befehl funktioniert aber leider nur bei den Servern. 😭
Man könnte natürlich nur den reinen Hyper-V installieren, aber dann ist das Management deutlich komplizierter, IMHO.
Würde ich auch nicht empfehlen und entgegen Aussagen anderer, habe ich bei der Core Version, bisher auch nicht wirklich mehr Bums gesehen.
Gruss Alex
1
Moin,
Gruß,
Dani
Macht es eventuell Sinn, das nur für die IP-Bereiche von Microsoft zu machen?
so viele Regeln kannst du gar nicht anlegen...Oder gewährleistet der "ack"-Flag, dass nur die ausgehenden Verbindungen beantwortet werden dürfen?
https://www.schoenbuchsoft.de/Grundlagen/Firewall/zusammen-105.htmlGruß,
Dani
1Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Macht es eventuell Sinn, das nur für die IP-Bereiche von Microsoft zu machen?
so viele Regeln kannst du gar nicht anlegen...Oder gewährleistet der "ack"-Flag, dass nur die ausgehenden Verbindungen beantwortet werden dürfen?
https://www.schoenbuchsoft.de/Grundlagen/Firewall/zusammen-105.htmlGruß,
Dani
Vielen Dank!
Moin,
wenn damit alles klar, setze den Beitrag noch auf gelöst.
Gruß,
Dani
wenn damit alles klar, setze den Beitrag noch auf gelöst.
Gruß,
Dani
Done with pleasure!