Anfängerfragen ESXi Zugriff auf VM von außen

W

wuehler1606

Enthusiast
Thread Starter
Mitglied seit
24.05.2014
Beiträge
1.194
Hallo zusammen,

ich bräuchte mal Hilfe, da ich im Thema so richtig nicht weiter komme.

Habe seit zwei Tagen einen Server mit ESXi 7 am laufen.

Virtuelle Maschinen sind erstellt, läuft über das lokale Netz auch einwandfrei.

Jetzt wäre aber folgendes:
Ich möchte von außerhalb auf die VM zugreifen.
Einem Kumpel würde ich gerne mal die Möglichkeit geben einen Gaming Server einzurichten um zu schauen, wie gut der läuft.
Rest der Familie soll in Zukunft auch auf die Storageplatten zugreifen können.


Wie richte ich das über ESXi ein? Bzw. wie erfolgt der Zugriff?

Danke vorab
Gruß
Janek
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Im ESXi muss da gar nichts eingerichtet werden, da die VMs ja wie Du geschrieben hast netzwerktechnisch schon erreichbar sind. Die VMs haben ja alle unterschiedliche IP-Adressen, so können dementsprechend z. B. Portweiterleitungen im Router auf diese IP-Adressen eingerichtet werden, damit von extern auf den Gaming-Server zugegriffen werden kann.

Wenn Du aber schon solche Basis-Kenntnisse nicht hast, kann es gut sein, dass Du dir mit Portweiterleitungen im Router große Sicherheitslöcher schaffst. Deswegen solltest Du dich da auf jeden Fall einarbeiten, bevor Du diese Portweiterleitungen erstellst.
 
Ja, da muss ich mich auf jeden Fall einarbeiten.

Möchte keinesfalls Ports ohne Sinn und Verstand öffnen und dann sämtliche Sicherheiten über Bord werfen.

Richtig, jede VM hat eine IP Adresse. Das sind aber nur lokale Adressen, die über das Netzwerk erreicht werden können.

Wie soll man jetzt von außerhalb auf diese IP zugreife?

Dazu muss derjenige erstmal auf die IP des Routers zugreifen.
Und diese ist ja dynamisch.

Oder habe ich da einen Denkfehler?
 
Puh ... Ich würde vom Port freischalten echt die Finger lassen oder einen Profi aus dem Bekanntenkreis bitten, der sich das auch regelmässig anschaut.

Besser:

Da Du ja eh erst mal schauen musst, wie es funktioniert, dann schau Dir an, wie Du VPN einrichtest und, wie Du von außen über eine sichere VPN Leitung in Dein Netzwerk kommst. Dann kannst Du alle VMs ansprechen, ohne irgendetwas in die weite Internetwelt zu exponieren. Mit Ausnahme des VPN Servers.
 
Ich werde mich erstmal kräftig einarbeiten.

Dann ist vielleicht auch das Hintergrundwissen da um weitere Schritte zu gehen.
 
Also für meine Windows Maschinen nutze ich Chrome Remote Desktop (Fernwartung)

Einen Port für RDP freischalten geht theoretisch gilt und ist aber unsicher (RDP ist nicht grade sicher). Also Vorsicht!

Für die nextcloud und bitwarden nutze ich feste-ip.net (FIP Box) muss man zwar bezahlen ist aber kinderleicht in der Bedienung. Läuft bei mir als VM (Ubuntu).
Die "Freigaben" oder den dyndns Service steuert man dann von deren Webportal.

Ich kann mir dann eine Subdomain bei denen erstellen die auf eine Interne IP in meinem netzt zeigt (z.B: bitwarden.feste-ip.net ----> 192.168.178.3). Die kümmern sich dann um den http/s redirect und sogar um das Zertifikat (letsencrypt). Die FIP Box muss man nicht mehr anrühren; allenfalls mal ein Update einspielen


Meine Gaming VM auf einem Hades Canyon NUC (ESXi 6.7 mit durchgereicher Vega) erreiche ich via parsec Streaming Client. Das ist soweit ich verstanden habe Netzunabhängig denn der Parsec client meldet sich beim Hersteller von selber (keine Portfreigaben nötig)

Funktioniert ganz gut aber ab und an hackelts (WlAL Probleme!) sogar über 2 DSL Anschlüsse 3G hab ich noch nicht getestet ....
 
Nur als Anregung
Um aus dem Internet immer mit dem gleichen Hostnamen auf den heimischen Rechner zu kommen (obwohl die Telekom z.B. jeden Tag die ip ändert), ist DynDNS der Schlüsselbegriff

Wenn man aus dem Internet auf interne Dienste zugreifen möchte, die nicht "Internet-tauglich/sicher" sind, wie NFS, SMB, RDP, Hostzugriff etc, dann ist VPN der Schlüssel.

Wenn man aus dem Internet auf die Platten möchte (Filezugriff), dann ist scp oder sftp der Schlüssel. Auf keinen Fall SMB nehmen. Man kann auch eine Cloudsoftware wie Nextcloud einsetzen. Das ist aber das absolute Überteil. Minimalistisch, viel einfacher im Setup und viel schneller ist das Amazon S3 Verfahren. Ich nutze das bei meiner NAS Software über minIO. Das ist Opensource und ist Amazon S3 kompatibel. Im Gegensatz zu z.B. NextCloud besteht das nicht aus Hunderten von Dateien sondern der ganze S3 Server ist eine einzige Programmdatei die man starten muss um den Dienst zu aktivieren auf den man dann per Browser oder diverser Clients zugreifen kann.

Um aus dem Internet einen Dienst anzuspreche, ist Port Weiterleitung der Schlüsselbegriff. Ein Kontaktversuch auf den Internetrouter auf einen Port wird dann auf einen internen Rechner weitergeleitet.
 
Zuletzt bearbeitet:
******* schrieb:
So was wird aber nur benötigt, wenn du keine öffentliche IPv4 hast. Finde ich jetzt im Kontext dieses Threads reichlich verwirrend. 😎
Zum Vergrößern anklicken....

Ist richtig aber ich gehe mal davon aus das er; wahrscheinlich wie viele andere auch; einen Home DSL Anschluss hat. Ergo keine feste IP und wenn er Pech hat ist es DSL Lite oder CGNAT (oder eine der Techniken wo man sich mit dem gesamten Block die IPv4 Adresse teilt?).

Dyndns ist die Lösung für viele Probleme; erfordert aber weitere Kentnisse und Gefummel bis das läuft. Ja die FIP Box auch aber ich finde es einfacher damit umgeht man die "Problemchen" einfach :)

Ich meine das gibt's auch von anderen Anbietern (bezahlt und unbezahlt). Also ein Programm das unter Windows o.ä. nebenher läuft und die öffentliche IP mit dem Anbieter abgleicht.

Eine Fritzbox kann das ja auch allerdings waren meine Erfahrungen damit (und no-ip.com) eher bescheiden. Beim Free Account muss man glaub ich alle 3 Monate auf die Seite gehen und die Subdomains bestätigen.
 
Zuletzt bearbeitet:
...hol Dir einen zerotier-Account, mache für jede VM ein eigenes Netz auf, starte in jeder VM den zerotier-client für das passende Netz und lade Deine "Bekannten" in das passende Netzwerk ein.
Die müssen dann auch einen zerotier cllent installieren und sich mit dem Netzwerk verbinden.
Voila....die VMs wissen nix voneinander, solange Du die zerotier-Netze nicht zB über eine Router-VM (pfsende, mikrotik, ...) verknüpfst.
 
Brokk schrieb:
Ist richtig aber ich gehe mal davon aus das er; wahrscheinlich wie viele andere auch; einen Home DSL Anschluss hat. Ergo keine feste IP und wenn er Pech hat ist es DSL Lite oder CGNAT (oder eine der Techniken wo man sich mit dem gesamten Block die IPv4 Adresse teilt?).

Dyndns ist die Lösung für viele Probleme; erfordert aber weitere Kentnisse und Gefummel bis das läuft. Ja die FIP Box auch aber ich finde es einfacher damit umgeht man die "Problemchen" einfach :)
Zum Vergrößern anklicken....

Ich habe eine dynamische IPv4. Daran scheitert es schon mal nicht.


Dyndns ist wirklich ein gefrickel. Zumindest mit den kostenfreien Accounts wollte es nicht so recht funktionieren.

Feste IP wäre auch möglich. Aber dann fühlt sich das surfen im Netz überhaupt nicht mehr anonym an.



hominidae schrieb:
...hol Dir einen zerotier-Account, mache für jede VM ein eigenes Netz auf, starte in jeder VM den zerotier-client für das passende Netz und lade Deine "Bekannten" in das passende Netzwerk ein.
Die müssen dann auch einen zerotier cllent installieren und sich mit dem Netzwerk verbinden.
Voila....die VMs wissen nix voneinander, solange Du die zerotier-Netze nicht zB über eine Router-VM (pfsende, mikrotik, ...) verknüpfst.
Zum Vergrößern anklicken....


Das klingt interessant. Werde ich mir morgen einmal anschauen.

Spätestens beim Thema gaming server hört das aber auf.
Das stelle ich aber sowieso erstmal hinten an bis der Rest funktioniert und ich mehr im Thema drin bin.
 
Zerotier muss ich mir mal ansehen..

Feste IP ist kein Internet redirect. Dein Internetverkehr geht nicht über die FIP Box. Alles was die Box macht ist das weiterleiten der Anfragen von außen nach innen (deinesubdomain.feste-ip.net --> deine interne IP Adresse).

Sicher ist das nur wenn du dich darum auch kümmerst. Alles was man ins Internet stellt kann theoretisch missbraucht/ angegriffen werden. Ich hab immer die neuste Software auf den nach außen veröffentlichten Diensten (Nextcloud und Bitwarden) und die nötigen Sicherheitseinstellungen vorgenommen (2FA, Sichere Kennwörter etc.)

PS: Anonym bist du im Internet eh nicht. Nichtmal mit TOR oder VPN
 
Zuletzt bearbeitet:
...wie performant ZT ist, kann ich Dir nicht wirklich sagen...nutze den free-Account für kleine Sachen....aber er liefert "unlimited networks, up to 100 devices"...das sollte zumindest eine Zeit reichen und das Thema portfreigaben usw auf Server/VM braucht man nicht, da alle nur nen Client nutzen.
 
Brokk schrieb:
Sicher ist das nur wenn du dich darum auch kümmerst.

PS: Anonym bist du im Internet eh nicht. Nichtmal mit TOR oder VPN
Zum Vergrößern anklicken....

Ich würde aber mal behaupten, dass dynamische IP etwas anonymer ist.

Ob eine feste IP für privat/ halb geschäftlich Sinn macht weiß ich noch. Kostet ein 10er mehr monatlich.

hominidae schrieb:
das Thema portfreigaben usw auf Server/VM braucht man nicht, da alle nur nen Client nutzen.
Zum Vergrößern anklicken....


Wenn auf einem gaming server 50 Leute spielen, komme ich um Portfreigaben nicht herum.

Wenn jeder nur auf eine Windows VM zugreift wird es funktionieren.
Ich kenne von der Arbeit VPN. Und das ist schon sehr performant.
Dort muss ich ja die Geräte im Router zulassen, VPN einrichten und im Falle einer dynamischen IP mich um den dynDNS kümmern.

Ich denke das sollte der Weg sein.
 
Ne das macht keinen Unterschied bzw. mit der Festen IP bist du eher weniger anonym.

Das nach außen veröffentlichen klappt nicht ohne dyndns oder vergleichbaren Dienst. Wenn du das nicht nutzen willst dann musst du die Verbindung zu deinen VMs oder Diensten zwangsläufig über eine VPN regeln.

Was hast du für einen Router? Fritzboxen können auch VPN dann brauchst du keine eigene Maschine (VPN Server) denn die müsstet du auch irgentwie nach außen veröffentlichen :P
 
wuehler1606 schrieb:
Wenn auf einem gaming server 50 Leute spielen, komme ich um Portfreigaben nicht herum.

Wenn jeder nur auf eine Windows VM zugreift wird es funktionieren.
Zum Vergrößern anklicken....

....OK, Ich habe vom Thema Gameserver jetzt keine Ahnung, aber ZT ist ein LAN, kein VPN ...wenn also alle in gleichem Segment sind, wofür Portfreigaben?
Selbst wenn Du alle in anderen ZT-Netzen hast, dann die VMs im ESXI in ein/mehrere VLAN packen und eine Pfsense VM nehmen und alles mit der machen
 
Wieviel Traffic braucht man denn für so einen Gameserver?
Was viele gerfne vergessen ist die Tatasche, daß VPN verschlüsselt und dafür Rechenleistung braucht - wovon die Fritzbox nicht allzuviel hat. Der VPN Durchsatz liegt nämlich deutlich unter dem normalen WAN2LAN Durchsatz. Mehr wie 10-15 MBit insgesamt sind da nicht drin eher darunter - aufgeteilt auf alle aktiven VPN Verbindungen.
Ewas bessere VPN Gateways (Draytek, Netgear ProSafe etc.) schaffen da schon 20-35MBit, was aber immer noch nicht Linespeed ist.
 
@hominidae
Da bin ich jetzt noch zu wenig drin um das alles nachzuvollziehen.

Mein nächster Schritt ist morgen über Strato eine dynDNS einzurichten um dann per vpn auf die VM zu kommen.

Wenn das klappt dann ist zumindest schon mal ein Schritt geschafft.
 
...stell es Dir einfach so vor: ZeroTier-Central ist der "Server" ... alle verbinden dorthin über einen/den ZT-Client .... daher werden im lokalen DSL-Router keine Portfreigaben gebraucht (macht Du ja auch nicht, wenn Du einen Host im I-Net ansurfst).
Wenn die Verbindung steht ist es ein LAN-Netzwerk...wie ein Port an einem Switch
 
Soweit klar, aber du sagst du weißt nicht wie potent das ist.
Für einen Gameserver wird schon bisschen was gebraucht.
Da werde ich meine Leitung schon auf das Maximum aufstocken müssen.

Aktuell ist der Kollege bei Hetzner für teures Geld.
Wenn ich ihm mindestens gleiche Leistung bieten kann, dann könnte man darüber nachdenken, dass ich das stelle. Ob es funktioniert keine Ahnung.
 
Kannst dir ja mal SoftEther VPN anschauen.
Hat ne schöne GUI und musst dich nicht durch Config Files kämpfen.

SoftEther VPN Project - SoftEther VPN Project

www.softether.org www.softether.org

SoftEther kann OpenVPN, L2TP/IPsec, MS-SSTP. Nen Dyndns bringt der glaube auch gleich mit.
Habe den schon öfters benutzt. Perfomance ist gut.
 
Soll das etwa auf den Server für Warenwirtschaft und Unternehmensdaten mit drauf?
 
Viel zu umständlich für einen Amateuer, für einen einfachen Fernzugriff der auch per dynamischer IP funktioniert wäre AnyDesk oder Teamviewer die einfachste Lösung.
Einen einfachen Client installieren z. B ein schlankes Windows oder Linux als VM, unbeaufsichtigten Zugriff drauf installieren dem Kumpel diese ID/PW geben und schon kommt er immer drauf solange deine VM Internetzugriff hat.

Vom dem Client kannst du dann bei bedarf per RDP auf den Gamesserver oder SSH, je nach dem um was es sich handelt.

TeamViewer – die Software für Remote Connectivity

Lösungen für den Remote-Desktop-Zugriff von TeamViewer: Verbinden Sie sich mit Remote-Computern, leisten Sie Remote-Support und arbeiten Sie online zusammen. Kostenlos für private Nutzung!
www.teamviewer.com www.teamviewer.com
anydesk.com

Die schnelle Remote-Desktop-Anwendung – AnyDesk

Entdecken Sie AnyDesk, die sichere und intuitive Remote-Desktop-Software, und profitieren Sie von den innovativen Funktionen der Anwendung!
anydesk.com anydesk.com

mfg
 
Für RDP Support nutze ich Google Remote Desktop.

Teamviewer ist mir mittlerweise zu träge
Und Teamviewer mag keine Domänen oder Server. Da fliegt man mit der Kostenfreien Lizenz nach 5 Minuten raus
 
Brokk schrieb:
Für RDP Support nutze ich Google Remote Desktop.

Teamviewer ist mir mittlerweise zu träge
Und Teamviewer mag keine Domänen oder Server. Da fliegt man mit der Kostenfreien Lizenz nach 5 Minuten raus
Zum Vergrößern anklicken....

Das liegt wohl eher an der Nutzung ohne erstellten Account. logischerweise bist du als "Free" User natürlich zweitklassig in der Priorität.
Aber über etwas, dass man umsonst bekommt beschwert man sich auch noch gerne eben ganz typisch Deutsch.
 
n3cron schrieb:
Das liegt wohl eher an der Nutzung ohne erstellten Account. logischerweise bist du als "Free" User natürlich zweitklassig in der Priorität.
Aber über etwas, dass man umsonst bekommt beschwert man sich auch noch gerne eben ganz typisch Deutsch.
Zum Vergrößern anklicken....

Ich habe mir erstmal eine Strato Domain bestellt für 1€ im ersten Jahr. Damit werde ich jetzt versuchen zu arbeiten.

Geschwindigkeit ist schon recht wichtig. Zumindest sollte sich damit arbeiten lassen.
 
Anmelden, um zu antworten.

Ähnliche Themen

T
Solaris 11.4 auf moderner Hardware?
Antworten
20
Aufrufe
1K
the_pi_man
T
B
[Sammelthread] Sinnvolle und sinnlose Einsatzbeispiele für einen (Euren) Homeserver
2
Antworten
51
Aufrufe
6K
AliManali
AliManali
T
[Kaufberatung] Benötige Feedback zu meinem NAS Konzept (Budget 1,5-3k €)
Antworten
1
Aufrufe
910
Frecyboy
F
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh