You are on page 1of 6

Virtuelles Netzwerk einrichten und sichern

Testserver in virtuellem Netzwerk abschotten


Karsten Violka - 21.08.09 In einer virtuellen Maschine kann man einen Testserver so vom restlichen LAN trennen, dass er dort kein Unheil anrichten kann. Durch einen SSH-Tunnel hindurch lassen sich VMs, die im virtuellen Testnetz isoliert sind, dennoch von einem anderen PC aus verwalten. Unsere Entwicklerin kratzte sich am Kopf: Ein zentraler Server sollte fr eine Erweiterung auf einer zustzlichen Testmaschine installiert werden. Am einfachsten schien es, das komplette Betriebssystem samt Datenbank und Webserver auf eine andere Maschine zu klonen. Die Kopie direkt ans Redaktions-LAN anzuschlieen, war allerdings zu riskant. Die darauf laufende Software interagiert mit anderen Rechnern und knnte dort etwa Verarbeitungsschritte anstoen, die die Produktion durcheinanderbringen. Damit er kein Unheil anrichtet, musste der Spielserver also in einem eigenen Netz isoliert werden. Ein vllig separates Netz aufzubauen, etwa per VLAN oder gar mit zustzlichen Kabeln, war nicht praktikabel. Die Entwickler sollten auch via VPN auf die Testumgebung zugreifen knnen. Das Dilemma lsten wir schlielich mit einem Gespann aus dem kostenlosen VMware Server und einem leicht unter Windows zu installierenden SSH-Server. Mit dem WindowsTerminal PuTTY lassen sich via SSH leicht IP-Verbindungen in den abgeschotteten Bereich tunneln. Um das hier beschriebene Szenario nachzustellen, bentigen Sie lediglich einen PC mit Windows XP und den VMware Server, der kostenlos im Netz erhltlich ist. Dem XP-Rechner teilten wir eine regulre IP-Adresse aus dem Redaktionsnetz zu. Die ltere Version 1.0.8 des VMware Server ist etwas einfacher zu handhaben als die aktuelle 2.0. Auch die WorkstationVariante eignet sich fr das hier beschriebene Szenario, ebenso wie andere Virtualisierer, die ein privates Netz zwischen Host-System und VM einrichten knnen. Auf dem XP-Rechner installieren Sie zudem die ebenfalls kostenlose Software VMware Converter[1]. Damit lsst sich der laufende Produktionsserver via Netzwerk in eine virtuelle Maschine kopieren. Der Konvertierungsassistent nimmt zu einem PC Verbindung auf, dessen Administratorpasswort man ihm mitteilt. Dort installiert er selbststndig einen Kopieragenten, der das Image anfertigt und auf einer Netzwerkfreigabe ablegt.

Konfigurieren
Die Netzwerkkarte der virtuellen Maschine konfigurieren Sie fr den Host-Only-Betrieb. VMware verwaltet bis zu zehn getrennte virtuelle Netzwerke, die als VMnet0 bis VMnet9 bezeichnet sind. Host-Only verbindet die Netzwerkkarte mit dem virtuellen Switch VMnet1, der keine Verbindung zur Auenwelt hat.

Unter Host/ Virtual Network Settings stellt man ein, welchen Adressbereich das virtuelle Netzwerk verwenden soll.

Den Dialog fr die Netzwerkeinstellungen erreicht man in VMware im Men Host unter Virtual Network Settings. Auf dem Reiter Host Virtual Network Mapping lsst sich einstellen, welche Netzwerkadressen VMnet1 verwenden soll, hier haben wir das Netz 10.10.207.0 mit der Maske 255.255.255.0 gewhlt, das in unserem LAN niemand verwendet. Damit erhlt die virtuelle Netzwerkkarte, die VMware im XP-Gastgebersystem installiert, automatisch die Adresse 10.10.207.1. Den Server in der VM konfigurierten wir auf die feste IP-Adresse 10.10.207.2. Entfernt man auf dem Reiter DHCP den Eintrag fr VMnet1, vergibt VMware dort keine IP-Adressen mehr. Nun sollte der laufende Windows-Server in der VM mit dem XP-Host (und nur mit diesem) kommunizieren knnen. Wer die Verbindung per ping testen will, muss aber noch die XPFirewall entsprechend einstellen, die in der Grundeinstellung Ping-Anfragen verschluckt. In der Systemsteuerung finden Sie in der Firewall-Rubrik auf dem Reiter Erweitert den Knopf ICMP. Er ffnet einen Dialog, in dem man eingehende Echoanforderungen zulassen kann.

Dem SSH-Server macht man die Benutzer bekannt, die sich auf diesem Weg anmelden drfen.

Damit andere Entwickler von auen Verbindung zum eingesperrten Server aufnehmen knnen, richten Sie auf dem Gastgeber-PC den kostenlosen SSH-Server freeSSHd[2] ein, was schnell erledigt ist. Das Setup-Programm erstellt die fr die SSH-Verbindung ntigen Schlssel und meldet den Server als Systemdienst an. Damit die Firewall des XP-Rechners die Zugriffe auf den SSH-Server passieren lsst, ist eine Ausnahmeregel ntig: In der Systemsteuerung klicken Sie unter Firewall auf dem Reiter Ausnahmen auf Port und erstellen einen neuen Eintrag namens SSH fr die Portnummer 22. freeSSHd muss noch erfahren, welche Benutzer sich via SSH anmelden drfen. Die Namen der berechtigten Benutzer tragen Sie im Konfigurationsdialog ein, der mit einem Doppelklick auf das Tray-Icon des SSH-Servers erscheint. Mit der Option NT-Authentication akzeptiert der Server das Windows-Passwort des angegebenen Kontos. Zustzlich muss dem Benutzer gestattet werden, die Shell sowie Tunneling zu verwenden. Auf dem Reiter Tunneling muss die Option Allow local port forwarding angeknipst sein. Das remote port forwarding ist hier nicht ntig; damit lsst sich ein Tunnel bei bestehender Verbindung in der anderen Richtung aufbauen.

Fertig zum Testen

Eine Remote-Desktop-Session starten Sie, indem Sie im Windows-Dialog localhost: 7777 als Zieladresse eingeben.

Um den neuen Server zu testen, starten Sie das Terminal-Programm PuTTY[3] auf einem Client-PC und geben die IP-Adresse des XP-Servers als Ziel fr die SSH-Verbindung an. Wenn PuTTY den Server erreicht, fragt das Programm zunchst, ob es dem ffentlichen Schlssel des SSH-Servers vertrauen und ihn speichern darf. Das soll Anwender alarmieren, wenn jemand versucht, sie auf einen fingierten Server zu locken.

Das Terminal-Programm PuTTY leitet den lokalen Port 7777 durch den SSH-Tunnel zum Remote Desktop des virtualisierten Servers weiter.

Nach der Besttigung knnen Sie sich mit dem Namen und dem Passwort des zuvor freigeschalteten Benutzers anmelden. Im PuTTY-Fenster erscheint die Eingabeaufforderung des entfernten PC, wovon man sich etwa mit einem Aufruf von ipconfig berzeugen kann.

Im nchsten Schritt gilt es, einen lokalen Port des Client-PC durch die SSH-Verbindung hindurch zur VM im virtuellen Netz weiterzuleiten. Speichern Sie die Verbindung im PuTTYKonfigurationsdialog unter einem Namen ab und wechseln Sie auf die Konfigurationsseite Connection/SSH/Tunnels. Hier tragen Sie unter Source Port die Nummer 7777 als lokalen IP-Port ein, der die Verbindung entgegennimmt. Als Zieladresse (Destination) geben Sie die IP-Adresse aus dem Host-Only-Netz ein, unter der der Windows-Server im Testnetz antwortet. Das funktioniert, weil der SSH-Tunnel auf dem XP-Host endet, sobald die SSHVerbindung steht und hier ist diese IP-Adresse bekannt. Dahinter geben Sie, mit einem Doppelpunkt getrennt, die Port-Nummer 3389 fr das Remote-Desktop-Protokoll ein.

Tunnelbau
PuTTY bernimmt die nderungen aber nicht automatisch im angelegten Profil, sobald Sie auf Open klicken. Wechseln Sie deshalb zunchst zurck auf die Seite Session, um die Tunnelkonfiguration fr den nchsten Aufruf zu speichern. Wenn die SSH-Verbindung steht, knnen Sie auf dem Client-PC zunchst mit dem Befehl telnet localhost 7777 testen, ob die Verbindung durch den Tunnel funktioniert. Wenn Telnet Verbindung aufnehmen kann und den Inhalt der Eingabeaufforderung lscht, sollte auch RemoteDesktop-Session nichts im Wege stehen: Geben Sie im Windows-Dialog localhost:7777 als Zieladresse ein. In den Optionen des Remote-Desktops kann man auf dem Reiter Leistung, die bertragung auch fr eine schmalbandige Verbindung konfigurieren, wenn der Tunnel etwa ber ein VPN luft.

Durch den SSHTunnel hindurch lsst sich der Windows-Server im virtuellen Testnetz via Remote Desktop ansprechen.

Um den Aufbau des Tunnels mit PuTTY zu erleichtern, kann man im Profil unter Connection/Data den Benutzernamen eintragen, mit dem man sich verbinden mchte. Anschlieend erstellt man auf dem Desktop eine Verknpfung und ergnzt in ihren

Eigenschaften unter Ziel den Aufruf um den Parameter -load "profilname". Jetzt gengt es, den Link doppelt zu klicken und das Passwort einzugeben, um den Tunnel aufzubauen. ber den SSH-Tunnel knnen die Entwickler sogar von ihren Heimarbeitspltzen aus den virtualisierten Testserver erreichen, wenn sie via VPN mit dem Firmennetz verbunden sind. Mehrere Konfigurationsstnde des virtualisierten Servers lassen sich leicht aufbewahren: Es gengt, die VM zu pausieren und ihren Ordner komplett auf ein Sicherungslaufwerk zu kopieren. Und auch der Umzug auf eine andere Hardware ist ein Kinderspiel der virtuellen Maschine ist es egal, auf welchem Gastgeber-System sie luft. (kav)

URL dieses Artikels: http://www.heise.de/netze/artikel/Virtuelles-Netzwerk-einrichten-und-sichern-221569.html Links in diesem Artikel: [1] http://www.heise.de/software/download/default.shtml?T=vmware+converter&global=1 [2] http://www.heise.de/software/download/freesshd/33746 [3] http://www.heise.de/software/download/putty/7016