-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Maurice, Holger und Michael,
ich glaube, wir reden alle noch immer etwas aneinander vorbei, wohl auch, weil (fast) keiner hier das ausgelieferte Szenario der NetzINT- Lösung (außer NetzINT selbst) wirklich kennt, und die - imho (noch) verhältnismäßig wenigen, die es schon einsetzen, es haben aufsetzen lassen, geringere Ansprüche an "von überall administrieren" stellen, noch nicht zu diesen "Feinheiten" vorgedrungen sind - whatever. Am 13.04.2016 um 16:31 schrieb Maurice Cazautet: > Hallo Michael, > > ich verstehe die Diskussion nicht.. so sieht normal der Netzaufbau > aus: > > Internet > IPFire > Server > Hypervisor > Management etc. Bitte korrigieren, wenn ich Quatsch verbreite, aber ich habe das jetzt so verstanden: Die Lösung, wie sie NetzINT vorgefertigt anbietet, hat die VM für XOA in grün (internes Netz der LMN), genauso wie den XEN-Server selbst. Wenn ich also aus dem internen LMN-Netz auf XOA oder die XEN-Konsole (den XEN-Server) zugreifen will, dann geht das direkt über SSH innerhalb von grün. Wenn ich von extern (Internet/rot) darauf will, muss ich den Weg rot - --> IPFire-VM der LML --> grün ermöglichen Dazu gibt es imho 2 Möglichkeiten: 1. OVPN vom DSL-Router an den IPFire weiterleiten und im IPFire Zugriff auf grün per OVPN erlauben (das hat Michael jetzt wohl eingerichtet) 2. ssh vom DSL-Router an den IPFire weiterleiten, dort an den LMN-Server in grün weiterleiten und dann vom LMN-Server per SSH auf XOA / XEN-Server verbinden. Wobei, wenn ich da so drüber nachdenke: Wären XOA und XEN-Server dann nicht besser in orange statt grün aufgehoben, wenn schon nicht in rot? @Michael: Warum hast du das nicht so mit ssh probiert/gemacht? Die VM des IPFire der LML "vermittelt" also nicht nur die LML-Dienste, sondern auch den Zugriff auf den XEN-Server (auf Baremetal) und XOA (VM) (Anm: Das funktioniert ja auch so, wenn man von extern ssh über den IPFire auf den LMN-Server offen hat und dann vom LMN-Server per ssh (sogar passwortlos) wieder auf den IPFire geht, oder - wie bei mir - auf den Webserver in orange oder den Coova in blau) > > Wenn du nun keine Internet Verbindung hast oder der Hypervisor > nicht läuft (auf dem deine Firewall läuft), dann kommst du eben > nicht drauf. Das hat doch nichts mit Xen zu tun. Na ja, wenn man von Proxmox o.ä. kommt, dann hat man eben ein anderes Szenario, als das, was ich gerade versucht habe, für XEN für mich zu verstehen und hier (hoffentlich richtig) zu beschreiben. Wie ich schon schrieb, hängt bei mir (und ich kenne hier in der Liste kein anderes Szenario) der Hypervisor direkt am Internet (in rot), von dort nur per ssh erreichbar und ssh mit Key abgesichert. Ich bin kein Fachmann, aber ob das so entscheidend viel unsicherer ist, als wenn der IPFire in rot hängt und auf den Hypervisor "vermittelt"... Wie auch immer, man muss es verstanden haben, wie man wo hin kommt ;-) Den Vorteil von Hypervisor in rot sehe ich halt ganz klar darin, dass ich, um den Hypervisor zu erreichen, NICHT auf eine laufende, funktionierende VM (oder gar mehrere) angewiesen bin. Ist die IPFire-VM der LML in dem Szenario von XEN aus oder nicht erreichbar, komme ich von nirgendwo mehr auf den Hypervisor (außer im Serverraum direkt auf's Baremetal). Beim anderen Szenario kann ich wenn in der Schule alles aus ist per KVM/IPMI-Konsole den Server von überall aus einschalten, und komme dann, auch wenn keine einzige VM läuft, auf den Hypervisor. >> FritzBox - mit einer Portweiterleitung. Was soll da von außen >> schon groß passieren? Die FritzBox dürfte die _ganz_ bösen Dinge >> erfolgreich blockieren!? Da lasse ich mich gerne eines besseren >> belehren > > Wenn ich das lesen, solltest du es wirklich seinlassen. Nur so > viel.. die Fritzbox filtert GERNICHTS auf Gut und Böse - sie blockt > lediglich Ports (die du freigibst und weiterleitest!). Ich teile zwar nicht Michaels Meinung, dass die Fritzbox selbst etwas filtert oder verhindert, aber wenn ich dem XEN-Server, bei dem eigentlich nur ssh läuft und v.a. nur ssh offen ist (mit Key abgesichert), so wenig vertraue, ihn per ssh über die Fritzbox (rot) erreichbar zu machen, dann sollte ich ihn auch nicht einsetzen. Wieder jm2c. > Wir machen das mit einem Management-Netz und einer Richtigen > Firewall (nicht IPFire) oder einem Hardware-VPN Client. Das ist > aber nicht die Musterlösung. Wie du schreibst, das ist nicht die Lösung von LMN und wohl auch in kaum einer Bildungseinrichtung anzutreffen, da mit all solchem die Komplexität steigt, und wir keine Hochsicherheitsanwendungen fahren. Mag sein, dass das Szenario Hypervisor direkt am Internet (nur per ssh-Key abgesichert) IT-Sicherheitsexperten die Haare zu Berge stehen lässt, aber nochmal, man muss die Wahrscheinlichkeiten und Konsequenzen abwägen, und die scheint hier (fast) jeder Betreuer einer solchen schulischen Umgebung, der überhaupt nach außen aufmacht, für vertretbar zu halten. Auch Holger erreicht, wenn ich das richtig verstanden habe seinen KVM-Host über rot auf direktem Weg. Viele Grüße Steffen - -- Wir sind nicht nur nett, wir sind sogar linuxmuster.net Mein System: - - virtualisiert mit Proxmox 3.4 - - linuxmuster.net 6.1 - - IPFire 2.17 Core 99 - - Linbo 2.2.16-0 - - Ubuntu 12.04-Client - - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio - - Moodle extern (Belwue) per ldaps angebunden Note: No Microsoft programs were used in the creation or distribution of this message. If you are using a Microsoft program to view this message, be forewarned that I am not responsible for any harm you may encounter as a result. - ---------------------------------------- Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur Überprüfung der Signatur ist hier hinterlegt: pool.sks-keyservers.net - ---------------------------------------- -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJXDnDsAAoJEBhc6lDKYVtJgf8IAIGQ6gD440+5uA/NVv5DTfn1 DipLsMUuettL8AyEmM4OuClcDRjEaN8wM8PG628/QpU4omHe4HPslE3vWzP9BG3c XopMPX4Y+233jgxV5s+JD8V4FdNa4Jc96Nz8QILcbInbHaf0WcPiZ1om6tERNjfi i72L3J8q3dX7mZG05OATNq9ifcujqKJrXLzj4yD5Yse4rx8IIxJjBZafbnOAi6vT sp15UMysc8yMYfrdqP4UlPSgl7iZxQupyQVoP/oH5mHK9z/Yav54mFufgm0s2LvI PYeG/hRNfMGGz8nc2scSjJz3N48E6pqFciewly67wASsJ7ufH4PV/1qnM6T2Gzo= =1sLI -----END PGP SIGNATURE----- _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
