Virtuaaliset adapterit

Tarkoitus olisi suorittaa erilaisia palomuurikokeiluja virtuaalikoneilla, joissa asetukset valmiina. Käytössä siis Windows 10 ja VMware Workstation Pro12. Windowsin verkkoyhteyksiä katsellessa näkyy, että nämä virtuaaliset adapterit ovat käytössä.
Kuitenkin niiden tilaa tarkastellessa lukee ei verkkoyhteyttä? Eli ei siis toimisikaan? Mitä tehtävissä?

Yritän tällä hetkellä siis etsiä seuraavanlaiseen ongelmaan syytä:
Ping ja tracert onnistuu virtuaalikoneeseen. Selaimen kautta yhdistäminen ei onnistu (connection timed out).
Jos joku lähtee ongelmaa syvemmin ratkomaan, niin voin pyydettäessä kaivella ip-tiedot jne. Tällä erää kuitenkin riittäisi jos saisi tuon adapteriosuuden kuntoon.

 

Kun yrität selaimella, niin onhan siellä vastassa palvelu joka kuuntelee porttia 80? Muuten selain antaa juurikin tuollaisen virheilmoituksen, jos sieltä ei kukaan vastaa.
Jos virtuaalikone on Linux, niin esim "netcat -l -p 80" root-oikeuksilla ajettuna riittää, että selain saa kaipaamansa vastakaikua.

 

Työssä kuuluisi yrittää https, eli silloin varmaan portti 443?
Ja kyseessä siis Paloalto (centos 64bit), jossa käytännössä asetukset ovat valmiina niin että yhdistämisen _kuuluisi_ toimia suoraan, kunhan saan koneen verkkoon. Epäilen vain itse vahvasti että jotain mennyt pieleen tuon verkon konffaamisen kanssa

 

Joo, siihen sitten.

 

En löytänyt sopivaa komentoa Palo Altoa varten, mutta ainakin interface-tiedoista löytyi tällainen:

 

Laitan tähän vielä ajankulukseni pari kuvaa verkon asetuksista.
VMwaren verkkoasetukset eli virtuaaliset adapterit:

Näistä siis vmnet1:ssa on Palo Alto, johon kuuluisi saada se https-yhteys isäntäkoneen selaimella. Palo Alton asetukset:


Näissä siis vmnet2 (ethernet1/2) ja vmnet3 (ethernet1/3) ovat erillisiä verkkoja kahdelle muulle virtuaalikoneelle, eivät niinkään oleellisia juuri nyt. Lisäksi otin vielä windowsin ipconfig tsekkauksella mitä kone näyttää vmnet-tiedoiksi:

Näistä jäi mietityttämään myös se että jos Palo Alton tarvitsee olla samassa aliverkossa jotta yhteys toimii, niin mitenkäs nyt tämän isäntäkoneen yhdyskäytävä (Wi-Fi 2) on sama kuin VMnet1 ip-osoite windowsin mukaan? Ja kuitenkin Palo Alto ilmoittaa osoitteeksi 192.168.1.81.

 

Tuossa Windowsin (ja kaikkien muidekin käyttöjärjestelmien) reititys menee sekaisin, jos on samaa osoiteavaruutta kahteen eri suuntaan. Toinen ei vain sitten toimi. Eli todennäköisesti sinulla on nyt sellainen tilanne, että yrität mennä 192.168.1.0/24 verkolla virtuaaliin, mutta Windows ohjaakin sen oikeaan verkkoon. Windowsin komentokehotteessa
route print
ja sieltä IPv4 Route Tablen ensimmäinen rivi (IP 0.0.0.0) kertoo minne kutsut ohjataan. Eli jos siinä on Interfacen kohdalla Wi-Fi 2:n IP, niin väärin menee. Suosittelen suosiolla vaihtaan VMWaren IP sarjan jonnekin 172 -alueelle, niin säästyy monelta harmilta.

 

192.168.172.x?
EDIT: Vaihdoin nyt siis ip-avaruuden VMwareen 192.168.101.x, nyt näyttää ipconfig paremmalta, joskin edelleenkin tulee time out selaimen kautta yhdistäessä

 

Olisi pitäny olla vähän tarkempi, tarkoitin 172.16.0.0 -osoiteavaruutta. Mutta tuokin kelpaa. Pääasia on, että se ei osu samaan aliverkkoon fyysisen verkon kanssa.
Kai kuitenkin tarkistit, että myös virtuaalin IP osoite muuttui ja niin ikään siellä reititystaulu näyttää oikeita IP osoitteita?

 

Ainakin reititystaulussa tapahtui jotain muutoksia. Tässä siis vanha

Ja ip-muutosten jälkeen:

Itse Palo Alton ip ei muuttunut, riippuuko sitten jotenkin siitä että tulee kuitenkin siltaavana yhteys. Enkä tiedä sitten mitä tuo vmnet8:n NAT välissä aiheuttaa.

 

Ei se virtuaalin IP muutu ennen kuin siinä tulee käyttöaika (lease) täyteen tai sinä kerrot sille, että päivittää IP:nsä. Uudelleenkäynnistys on helpoin.

 

Eikä Palo Altolla ole arp taulussa näköjään mitään

 

Eipä arp taulussa ole mitään, jos ei ole liikennettä.

 

Äh, no niinpäs. Ja siis ei uudelleenkäynnistyksen jälkeen ip ole muuttunut

 

Kun muutit VMwaren asetuksista verkkokortin IP:tä, niin muistitko muuttaa myös VMwaren DHCP:n tarjoamaa IP avaruutta?

 

En käynyt niitä itse muuttamassa, mutta näyttäisi että on muuttunut itsestään vastaamaan ip-avaruutta?

Mielenkiintoista sinänsä, että tuo PA:n ip ei vastaa kyllä tuota ip väliäkään... Olenko nyt siis muuttanut vain DHCP:n aluetta vai myös verkkokortin jakamaa?

 

Sitten virtuaalinkin pitäisi saada uusi IP, ellei sitten se sokeasti luota siihen voimassaoloaikaan mikä olisi kummallista.
Sinun pitää nyt tutkia Palo Alton dokumentaatiota, että miten sen saa hakemaan uuden IP osoitteen. En ole siihen itse tutustunut aikaisemmin, niin en oikein osaa enempää auttaa.

 

"set deviceconfig system ip-address 10.30.11.1 netmask 255.255.255.0 default-gateway 10.30.11.254 dns-setting servers primary 172.16.20.230"
tuolla tyylillä ainakin on opastettu, vaan kun ei ole hajua mitä tuohon dns-setting servers primaryyn laittaisi. Tuolla ilmeisesti saa siis pakotettua staattisesti haluamansa ip osoitteen

 

Oijoijoi, nyt toimii! Sain siis muutamien uudelleenkäynnistyksien jälkeen staattisen ip:n asetettua ja nyt onnistui selaimella yhdistäminen. Parin viikon kamppailun jälkeen on kyllä fiilis katossa tästäkin pienestä. Kiitos hurjasti! ^^