Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 3401 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro Virtual Machine Appliance

Native_MetaL
Hello

I recently installed the Astaro Virtual Machine Appliance for VMware and i am trying to find out if it is possible to use the Astaro Virtual Machine Appliance
on my computer as the gateway to the internet?
i understand that it is possible to install the standalone Astaro package on a dedicated system to achieve a security gateway to the internet that you can then connect a lan to but i would love to be able to use the Astaro Virtual Machine Appliance installed on my main workstation and then have the same workstation to use the virtual machine as the internet gateway anyone know if and how this can be done?

Thank you [8-)]


This thread was automatically locked due to age.
  • 0
    I believe this is quite possible, but keep in mind that if the host OS has any vulnerabilities in it's network stack, you wouldn't be protected by the firewall.

    Barry
  • 0
    I believe you could - though I haven't tried it.

    Assuming a Windows host, I would disable the hardware NIC's in the Windows host, create a network connection from the host to the Astaro's LAN side using a VMnet(1 or 8?) connection, the configure Astaro's WAN connection to use a bridged connection to the hardware NIC (VMnet0 ?).  


    I use VM Workstation at home with 3 NIC's.  Two are disabled on the Windows host, but I'm able to use them in the guest VM's by making a bridge connection to the appropriate NIC.
  • 0 in reply to fredz2
    Which version of VMware?

    Why would you want to install ASG on your primary workstation as well as your Internet gateway? ASG isn't like ZoneAlarm. It's not a desktop solution.

    I've setup/used ASG under VMware extensively. The last install was down in Australia where I put in an ASG 7.x software cluster running VMware ESX 3.0.2 on dual Dell PowerEdge PE1955 blades (dual quad core + 8GB + SAS RAID-1). The virtual disks (VMDKs) are hosted on a NetApp 3040 7G cluster over NFS.

    From my experience:

    1. Use ESX 3.0.2 or 3.5. It will give you the most flexibility or performance
    2. Use Workstation 6.0 or Server 1.0.4 for testing purposes or if you want to deploy ASG for the specific purpose of using one component (eg. HTTP Proxy).
    3. Avoid Server 2.x completely

    If you intend to use Workstation or Server:

    - you will have to harden your guest OS. Depending on your topology all "network" traffic has to pass through the Windows network driver and IP stack before it hits any VMware virtual adapter. For example, if you enable Windows firewall you will need to set Windows firewall exceptions if you intend to allow traffic from "net" back onto your ASG for filtering. If you turn off Windows firewall remember to unbind QoS, File and Print Sharing, Client, IPv6 and anything else that is unnecessary.
    - if you intend your ASG to access multiple internal networks and route between them you may need to install a loopback adapter or Windows Remote Access and Routing Service.
    - if you intend to use workstation you are going to need FireDaemon to keep your VM up and running: http://forums.firedaemon.com/viewtopic.php?t=139

    @blonborg: Your last assertion re: bridging - is that correct? VMnet1 (private network) or VMnet8 (NAT) work in conjunction with the VMware DHCP, NAT and other related services to create private networks on your local machine. If you use bridged networking (VMnet0) and the physical interface is disabled then bridging is implicitly disabled. If you only have one physical interface enabled then VMware can only use that interface. Disabling interfaces disables removed their ability to bridge, NAT or route irrespective of the status of the VMnet adapter. I gave both methods a shot out of curiosity and neither worked. Workstation complains that the bridge can't be established because the physical bridged NIC is administratively down and VMs are brought up with the NIC implicitly disconnected. (VMware Workstation: 5.5.4 on Windows Fista Ultimate). If you are using NAT or routing you don't seem to be able to get on "net" either. If there is another way please let me know [:)]
  • 0 in reply to James Bourne
    Well, I have tested these scenario with an ASG 6.x in an VMWare 5.5 WS on a Windows XP host with 2 NIC´s and as 3rd NIC the VMNet 1. The first NIC was the "extern" if, only bound to the VMWare Bridge protocol and created as bridged Ethernet. The second was bound normally in the WS, inclusive the VMWare Bridge protocol, connected to a switch for the other hosts in the LAN, created as custom bridged Ethernet. The VMNet 1 was created as host-only adapter for the communication with the host and the ASG. 

    The ASG Guest was created as a self starting service in the XP host.

    This construct works, even with a Windows DC as a second guest. But if you want to work with this scenario, you have to bring with some portion of patience.

    The next virtualization test will be with Xenserver 4.x, because this virtual appliance will not use a host, similar to the VMware ESX Server. BTW, the Express Edition is free to use.
  • 0
    For 2 years now I use a Ubuntu Server host with VMware Sever 1.x.
    In VMware I have 4 VM's:
    - Astaro V7 with one interface bridged (connected to the Internet) and one interface connected to vmnet1 (virtual network)
    - 2 FreeBSD servers connected to vmnet1 (mail- and web servers)
    - Windows XP connected to vmnet1

    The Ubuntu host OS only has open ports for SSH and the VMware console which runs on a non-default port.
    The only concern I have is that the VMware console runs with root-access, that means that when my root account is brut-forced, somebody can delete my VM's.
  • 0 in reply to Toontje
    Hi,

    found this threat and don't want to open a new one.

    I played with Astaro's VM on my windows computer yesterday. I did it a long time ago but couldn't go through the VM in the internet.

    Yesterday I tried with several settings on my internal NIC and the VMNet8... I configured the VM with given IP, changed it's IP to my network and set my internal router as the default gateway. The players NICs were set to bridged mode and the VMNet8 adapter was set to my network too.

    On my internal NIC on my PC I set the gateway and dns to the IP of the VMNet8. Gateway and DNS for VMNet8 I set to my internal router... After configuring some policies and web proxy I could go through the VM in the internet. All with one physical NIC in my computer.

    I hope you can imagine my settings:[PHP]Default:

    [Windows XP’s LAN] --- [Router] --- [Router] --- [Internet]
    IPs:   x.4                x.3          y.11          Any
    GWs:   x.3
    DNS:   x.3

    With Astaro‘s VM in VMware Player:

    [Windows XP’s LAN] --- [VMNet8] --- [Router] --- [Router] --- [Internet]
    IPs:   x.4               x.10         x.3           y.11          Any
    GWs:   x.10              x.3
    DNS:   x.10              x.3
    [/PHP]

    But there is a question now. All outgoing traffic passes the VM but incoming traffic never because the NIC is connected to the router using IP x.4. Or not? Can this problem be solved by installing a second physical NIC?

    How to set IPs for both NICs in windows, VMNet adapters and in the VM for using Astaros VM for incoming and outgoing traffic?

    If all works fine I'll want to use the VM instead a Software Appliance on a second computer for testing and evaluating settings.

    Hoping for help and kind regards,

    Steffen
  • 0 in reply to trialrider
    I use mine in a VM and it works fine! Long live virtualization!