In diesem Artikel wird beschrieben, wie man Dienste auf einer VMs in einem VDC vom Internet öffentlich erreichbar machen kann.
Bevor Sie mit dieser Quickstart-Anleitung starten, empfehlen wir Ihnen, zuerst folgende Anleitungen ebenfalls zu lesen:
Ausgangslage
So wie Ihr Netz initial konfiguriert ist, kommt die VM zwar mittels SNAT (Source Network Address Translation) ins Internet, die VM ist jedoch von aussen nicht erreichbar. Um dies zu ermöglichen, und Dienste öffentlich erreichbar zu machen (falls gewünscht), müssen DNAT (Destination Network Address Translation) Regeln sowie Firewall-Regeln auf dem Edge erstellt werden.
Wir werden in diesem Artikel beschreiben, wie man solche DNAT- und Firewall-Regeln erstellt, um Dienste aus dem Internet erreichbar zu machen
In diesem Beispiel werden wir den Microsoft Remote Desktop (RDP) Dienst freigeben. Dieser läuft auf TCP Port 3389.
ℹ️ HINWEIS
Wir empfehlen nicht, den RDP Dienst öffentlich freizugeben. Diese Anleitung dient lediglich als Beispiel. Wir empfehlen, nur mittels VPN auf solche Dienste zuzugreifen, indem Sie eine VM erstellen mit einer Firewall (z.B. pfSense, OPNsense oder ähnlich) die als VPN-Server dient.
DNAT-Regeln
Der erste Schritt besteht darin, eine DNAT-Regel zu erstellen, welche den Edge Router dazu anweist, ankommende Pakete auf TCP Port 3389 der gewünschten VM weiterzuleiten.
Dazu klicken Sie im vCloud Director unter Netzwerk auf Edges, selektieren den gewünschten Edge-Gateway und klicken auf Dienste:
Darin selektieren Sie den Reiter NAT:
Nun klicken Sie auf "+ DNAT-Regel". Dort füllen Sie die Felder wie folgt aus:
| Angewendet auf | öffentliches Netz (z.B. public.dub-ch-1.C.shared) |
| Ursprünglicher IP/Bereich | eigene öffentliche IP des VDC (mit Auswählen selektieren) |
| Protokoll | TCP |
| Ursprünglicher Port | 3389 |
| Übersetzter IP/Bereich | lokale IP der gewünschten VM (z.B. 192.168.1.100) |
| Übersetzter Port | 3389 |
| Quell-IP-Adresse | any |
| Quellport | any |
Anschliessend klicken Sie auf Behalten.
Nachdem die Regel erstellt wurde, muss sie aktiviert werden, indem Sie auf Änderungen speichern klicken.
Firewall-Regeln
Der zweite Schritt besteht darin, der mittels DNAT freigegebene Port auch auf der Firewall freizugeben, da diese sonst die ankommenden Pakete verwirft.
Dazu klicken Sie im vCloud Director unter Netzwerk auf Edges, selektieren den gewünschten Edge-Gateway und klicken auf Dienste. Darin selektieren Sie dann Firewall:
Nun klicken Sie auf "+", um eine neue Firewall-Regel zu erstellen. Es wird eine neue Zeile erstellt in der Tabelle, mit dem Name "Neue Regel."
Dort können Sie durch Anklicken der verschiedenen Felder die Regel definieren, wie folgt:
| Name | Gewünschter Name der Regel |
| Quelle | Gewünschte Quellen, für die die Regel gelten soll (z.B. das ganze öffentliche Netz, oder dann einzelne Netze oder IPs) und von denen die Verbindung erlaubt ist |
| Ziel | Die öffentliche IP Adresse des VDC, auf der der Dienst verfügbar sein soll |
| Dienst |
Protokoll: TCP |
| Aktion | Annehmen |
Anschliessend werden die Änderungen mit Änderungen speichern gespeichert.
Die VM ist nun auf TCP Port 3389 vom Internet aus erreichbar.