Q&A
横から失礼します。
興味があったので教えてください。
ESXiのfirewallにおけるssh透過設定は初耳です。
どこで設定できるのでしょうか?
なお、セキュリティプロファイルは仮想ホストに対しての通信制御であり、仮想ゲストにかかわる通信を制御するものではないと思っています。
VMwareの vSphere6 essentials Plus(2CPU)を使って仮想環境を構築中なのですが、SSHを有効にしてもつくったVMにリモートデスクトップアクセスやSSHアクセスを行うことができません。
ファイアウォールにはFotiWiFi 60Dを用いています。
SSHのほかに何か考えられる原因はあるでしょうか。
色々調べてはみていますが、何も原因が思いつかず、、、
よろしくお願い致します。
回答2件
0
環境依存の構成においては、他の回答者様が想像できる構成を提示したほうが、よりよい回答を得やすいと思います。
本質問ではFotiWiFiというセキュリティアプライアンスが含まれているため、これを経由しての接続か否かで回答が大幅に変わってきます。
詰まった場合は最低レイヤから確認するのが良いかと思います。
- 同一セグメントに存在するノードからTCP/IPの通信ができる状態か?
pingで応答があるか確認しましょう。
pingの応答がない場合・・・
・仮想ゲストOSのIPの設定が間違っている。
・ESXi上における仮想ゲストのネットワークアダプタの設定が間違っている。
- 1)で応答がある場合・・・
Linux ssh においては、デフォルトではfirewalld、iptables共に許可となっています。
1)で期待した結果が得られれば接続できるはずです。
Windows リモートデスクトップについては、デフォルトでは機能/Firewall共に無効になっています。
機能は、システムプロパティからリモートデスクトップ接続を有効に、firewallはコントロールパネルのWindows ファイアウォールから、ファイアウォールの機能を無効にするか3389/TCPを許可する設定をします。
上記をクリアできて、かつ、セキュリティアプライアンス経由接続で失敗した場合、初めてセキュリティアプライアンス経由に疑いの目を向けることができます。
投稿2016/10/06 14:38
総合スコア4315
0
vSphere側の Firewall構成を確認し、ssh通過可能設定を VM(仮想マシン)、および VM内 OS構成で port 22通過にしないと、通常通信できません。
さらに通過対象 IP rangeも FortiGate側できちんと確認しておかないとならないです。
ちなみに vSphere 6からは SSLv3が Default使用不可になっている(代わりに TLSは有効)ので、仮想マシン側の Firewall(ESXi Serverのセキュリティプロファイル)とOS側 Firewallの双方は必ず確認しましょう。
投稿2016/10/06 11:42
総合スコア71
普通に CLI内コマンドがありますけど、ご存知ないですか?
>esxcli network firewall...コマンド。
これは VM側以外にも ESXiを含めた制御に依存するコマンドです。
それに、ファイアウォール構成は vSphere Client等からアクセスして設定する場合には「セキュリティプロファイル」メニュー内に存在するので、いずれにせよそこを見ないと現状の ESXi ポート設定およびサービス稼動状況も確認出来ません。
仮想マシン側のポート通過設定に関してはセキュリティプロファイル内のファイアウォール構成に依存せず強制通過設定が可能な事もご存知かと思います(Promiscus Modeを使用すれば完全通過になるため)。
少なからず vSphere6以降は前述したお話も関連しますので「vSphereネットワーク」や vSphere 6ドキュメントセンターを確認してみてください。
※当方 vSphere 6 U1aまでの構築で実際の動作確認を行っています。
今のところ Update 2でも仕様に変更が無い事も確認しています。
頂いたご回答が期待したものでなかったので、お手数ですが再度確認させてください。
> vSphere側の Firewall構成を確認し、ssh通過可能設定を VM(仮想マシン)、および VM内 OS構成で port 22通過にしないと、通常通信できません。
上記ですが、vSphere側のFirewallにおいて、ssh通過設定を仮想ゲストにすると読み解けるのですが違う意図でしょうか?
少なくとも今まで構築した中で、このような設定をせずとも、仮想ゲストへの疎通を阻害されるものはありませんでした。(OSのパケットフィルタ機能とは別として)
「および」と書いているように、システム側である ESXiと VM側双方で設定の確認、また通過設定後の動作確認をするという意味ですが、いかがでしょうか?。
本筋から離れているので、ドキュメント類を参照するなどして確認いただいてもよろしいでしょうか?。
それと
> 少なくとも今まで構築した中で、このような設定をせずとも、
> 仮想ゲストへの疎通を阻害されるものはありませんでした。
> (OSのパケットフィルタ機能とは別として)
に付いてですが、Pronmiscus Mode実行時は基本的にそのまま通過しますが、vSS側など、各所に通信阻害の要件も考えられますので初めに付けた commentはそれらを切り分けるための取っ掛かりです。
そもそも VM内 OS側での通過設定もできているか否か現状では不明ですので、それであればきちんと ESXi Serverと ssh通信できる事(但し事前に DCUIで ssh& ESXi shell有効化の設定は必要ですが)の要件として Firewall&Serviceの構成状況を確認すれば「質問者の疑問が『vSphere特有の現象ではない』という事に気が付く」と導けますがいかがでしょうか。
コンサルティングサービスではないので、本件はこれで comment endとします。申し訳ありません。
私もこれで終わりにしますが、
> vSphere側の Firewall構成を確認し、ssh通過可能設定を VM(仮想マシン)、および VM内 OS構成で port 22通過にしないと、通常通信できません。
上記は「ssh通過可能設定を VM(仮想マシン)」と「VM内 OS構成で port 22通過」に設定しないと「通常通信できない」と読み解けます。
一貫して問い合わせしているのは、仮想ゲストの通信において、仮想ホストのFirewallが関与するのか?ということです。
仮想ホスト、仮想ゲストは物理NICに以下にある仮想スイッチから、それぞれパケットを受け取る仕組みになっているので仮想ホストのFirewallが仮想ゲストの通信を阻害することはないと認識しています。
> Pronmiscus Mode実行時は基本的にそのまま通過しますが
Promiscus Modeは 自分あてのパケット以外を認知する場合に使用する設定です。
自分あてのパケットは本設定に関わらず受け取ることが可能です。
大変失礼ですが、ここは「揚げ足取り」をする場ではないと思いますので、「一貫して」云々と言われても当方が当惑します。
あくまでも本来の質問者が「気が付いていないところに対しての気づきを与えるための各種 comment」として書いていたのですが、貴殿の書き方では当方に対しての揚げ足取りの様に見えます。
ESXiの場合、自分自身の内部サービス、Firewall設定に誤りがあれば VM側でも何らかの通信阻害要因が発生する可能性がありますし、vSS含めて仮想SWは L2 Tagged VLANの機能を持っていることはお分かりかと思いますので、誤ってここを設定してしまったなど、元質問の内容だけでは想像できないところもあります。
ESXi側で SSH有効化がされていれば次は ESXiへ SSH login(チャレンジレスポンス認証必須になりますが)を外部から行い、これで引っかかるのであれば FortiGate(FortiWiFiと言っても要は FortiGateですので)側の設定になるのはお分かりかと思います。
要は「VMwareだから or 仮想環境だから」という先入観が質問者にあると読み解けたため、まずはそこを潰し、その上で「仮想環境が介在しなくても事象が発生するなら、他の箇所を探る」という気付きを与えれば、vSphere環境に VMを作成できる Skillがある以上、質問者の能力で調査は可能だと考えていました。
また現状「VM内にどの OSを入れているのか?」も判らない状態で「Linux」と環境を決めつけてしまうのも commenterとしては憚られましたのでわざと外堀のインフラ部位から確認をするように書いていました。
Promiscus Modeの件も何らかの理由で構成を間違えていれば受信できない Packetがあれば一時的に有効化することで受信できるようになりますし、これを有効化しないとならないのであれば仮想 NW構成側に問題がある事も判りますから、総合的に見て「仮想環境だから」という先入観払拭の必要が必要と考えて commentしていました。
ですので貴殿の commentは非常に残念です。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/10/06 14:46