Wie ich hier bereits anmerkte, ist es keine sonderlich gute Idee, den ESXi mit dem VMkernel Interface direkt ins Internet zu hängen. Leider hat der ESXi von Haus aus keine Firewall integriert, mit der man jetzt den Zugriff auf die Konsole reglementieren könnte. Abhilfe gibt es aber trozdem. Ich habe bei meinem Hetzner ESXi eine statische Route zu unserer festen IP und als Backup noch eine auf eine alternative gesetzt, sowie das Default GW gelöscht.
Mit dem Befehl esxcfg-route kann man den Routing-Table manipulieren:
~ # esxcfg-route --help esxcfg-route <options> [<network> <gateway>] | <default gateway> <network> can be specified in 3 ways: * As a single argument in <IP>/<Mask> format * Or as a <IP> <Netmask> pair. * Or as 'default' -a|--add Add route to the VMkernel, requires <network> (described above) and gateway IP address -d|--del Delete route from the VMkernel. Requires <network> (described above) -l|--list List configured routes for the VMkernel -f|--family <V4> or <V6> Address family to work on. Defaults to V4. -r|--restore Restore route setting to configured values on system start. (INTERNAL USE ONLY) -h|--help Show this message. If no options are specified then it will print the default IPv4 gateway. The default IPv4 gateway can be set directly as : esxcfg-route <gateway> Examples: To add a route to 192.168.100.0 network through 192.168.0.1 esxcfg-route -a 192.168.100.0/24 192.168.0.1 or esxcfg-route -a 192.168.100.0 255.255.255.0 192.168.0.1 To set the VMkernel default gateway of 192.168.0.1 esxcfg-route 192.168.0.1 or esxcfg-route -a default 192.168.0.1 To delete a 192.168.100.0 route from the VMkernel: esxcfg-route -d 192.168.100.0/24 192.168.0.1 To add a route to 2001:10:20:253::/64 network through 2001:10:20:253::1 esxcfg-route -f V6 -a 2001:10:20:253::/64 2001:10:20:253::1 To set the VMkernel default gateway of 2001:10:20:253::1 esxcfg-route -f V6 -a default 2001:10:20:253::1 To delete a 2001:10:20:253:: route from the VMkernel: esxcfg-route -f V6 -d 2001:10:20:253::/64 2001:10:20:253::1
Statische Route auf die feste IP setzen:
esxcfg-route -a x.x.x.x/32 y.y.y.y
Default GW löschen:
esxcfg-route -d default z.z.z.z
Und somit gibts nur Zugriff von unseren 2 IP Adressen.
Der hat doch ne kleinere...
Kann man das auch MAC Adressenbasiert machen? Das wär optimal für den Zugriff von zuhause.
Ist es dann noch möglich mit dem vSphere Client drauf zu zugreifen?
@Benjamin Nein, das funktioniert nicht.
@Uwe Wenn der ESXi die Rückroute zu der IP kennt, von der aus du mit dem vSphere Client zugreifen willst, dann ja. Sprich der Internetanschluss, hinter dem auch der vSphere Client liegt, sollte schon ne statische IP haben, sonst macht es keinen Sinn… Was im Firmenumfeld ja meist eh der Fall ist.
Was kann man denn zur Sicherung machen ich abrbeite von zu Hause aus und dort ist keine sttische IP möglich?
Der Server steht bei Hetzner.
Dann wird es schwierig… Man könnte jetzt anfangen und das Netz deines Providers routen… z.B. 88.128.0.0/255.255.0.0, damit hätte man schon wieder etwas mehr Sicherheit und vor allem ausländische Bösewichte ausgesperrt… Ob das so allerdings ne sinnvolle Lösung ist… Du solltest vorher allerdings schon wissen was du tust, sonst kommst selber nicht mehr an deinen Server ran.