Firewall

VMWare ESXi 5.5 Image für PC Engines APU1c und APU1c4

Dieser Eintrag wurde veröffentlicht unter Software Technik und gekennzeichnet mit Alix APU Endian ESXi Firewall ipFire PCengines pfSense Sophos VMware am von

pfSense, ipFire, Endian UTM, Sophos UTM…

Bekanntlich verfügen die Geräte der APU Reihe über keine Grafikkarte. Für einige Firewall-Lösungen wie pfSense oder ipFire ist dies kein Hindernis. Andere Lösungen wie Endian UTM oder Sophos UTM lassen sich jedoch nicht ohne weiteres über eine serielle Schnittstelle installieren / konfigurieren. Für all diejenigen habe ich ein Tutorial geschrieben, wie man eine komplette Virtualisierungsumgebung auf einer PC Engines APU installieren kann.

Anmerkung zur Sicherheit beim Betrieb einer virtualisierten Firewall-Lösung

Beim Betrieb einer Firewall-Lösung auf einer virtualisierten Umgebung ist zu beachten, dass im Gegensatz zu einer direkt installierten Lösung mehr Angriffsfläche geboten wird. Obwohl die Hersteller der Virtualisierungslösungen alles daran setzen ihre Lösungen gegen Fehler und Sicherheitslücken abzusichern, so bleibt trotzdem ein geringes Restrisiko bestehen.

Inzwischen kann jedoch davon ausgegangen werden, dass der Betrieb einer virtualisierten Firewall durchaus als „sicher“ zu betrachten ist. Vorausgesetzt, auf dem Virtualisierungshost (in diesem Fall der PC Engines APU) wird nur die Firewall betrieben. Nicht zuletzt bieten alle namhaften Anbieter von Sicherheitslösungen mittlerweile direkt virtuelle Versionen ihrer Lösungen an.

Vorbereitung

Folgende Software und Hardware wird benötigt:

Fertiges ESXi 5.5 Image für die PC Engines APU herunterladen

Wer sich den ganzen Aufwand für die Installation von VMWare ESXi auf der PC Engines APU ersparen möchte, für den habe ich das im Tutorial entstandene Image nachfolgend zum Download.

Image Konfiguration:

Benutzername:
root

Kennwort:
vmwareesxi

IP-Adresse:
Automatisch via DHCP

-> Download ESXi 5.5 Image für die PC Engines APU – 8GB Image (USB Image Tool-Edition)

Image auf den USB Stick übertragen

Mit dem „USB Image Tool“ kann das heruntergeladene und entpackte Image auf einen beliebigen USB Stick mit mindestens 8GB Kapazität übertragen werden.

Dazu öffnen im geöffneten „USB Image Tool“ den gewünschten USB Stick auswählen und anschliessend auf „Restore“ klicken. Dann das heruntergeladene und entpackte Image auswählen (PCEngines_APU_ESXi_5-5_8GB-SDCARD-UBIT.img), den folgenden Dialog nach genauer Prüfung des Zieldatenträgers bestätigen und schon läuft der Restore.

Sollte eine Warnung betreffend zu geringem Speicherplatz erscheinen, empfiehlt es sich einen grösseren  USB Stick zu verwenden. Nicht jeder USB Stick (auch wenn 8GB Kapazität angegeben wird) hat auch wirklich die angegebene Kapazität :)

 

USB Image Tool

ACHTUNG: Wird der falsche Ziel-Datenträger angeklickt sind die auf dem Datenträger gespeicherten Daten unwiderruflich gelöscht. Daher lieber doppelt überprüfen, ob der richtige Datenträger ausgewählt ist!

Starten der ESXi Plattform auf der APU

Dazu den USB Stick an die APU anstecken, einschalten und falls notwendig die Startreihenfolge im APU-Bios konfigurieren. Damit ESXi automatisch ab USB Stick gestartet wird muss auch der USB1/USB2 als erste Startoption konfiguriert sein:

APU Bootreihenfolge

Ist die Startkonfiguration korrekt, kann ESXi gestartet werden.

Management IP anpassen

Sobald der ESXi gestartet ist, kann in der Konsole mittels F2 die Konfiguration aufgerufen werden. Es empfiehlt sich hierbei, für das Management eine fixe IP Adresse einzutragen.

Wenn die gewünschte Management-IP gesetzt ist, kann auch via vSphere Client zugegriffen werden.

ROOT Kennwort ändern

Der einfachste Weg zum ändern des Root-Kennworts ist die Konsole. Wiederum mittels F2 anmelden und den ersten Punkt „Configure Password“ auswählen. Anschliessend das aktuelle Kennwort (vmwareesxi) sowie das gewünschte neue Kennwort eingeben. Mit OK bestätigen und schon ist das gewünschte Kennwort gesetzt.

Kennwort ändern Kennwort ändern

Weiteres Vorgehen

Die nächsten Schritte sind natürlich das einrichten eines Datastores (entweder eine lokale mSATA Festplatte oder ein NFS Laufwerk), die korrekte Konfiguration des Log-Verzeichnisses sowie das definitive konfigurieren der Netzwerkkarten.

Wie diese Schritte funktionieren ist am besten der ausführlichen Dokumentation auf der VMWare Seite zu entnehmen.

Viel Spass

Die ESXi Plattform ist einsatzbereit. Auch wenn die APU sicherlich nicht mit enormer Leistung punkten kann, so eröffnet die Möglichkeit der Virtualisierung doch viele weitere Einsatzmöglichkeiten. Gerade für Firewalls oder Serveranwendungen im Home und Small-Business Bereich reicht die gebotene Leistung meist bestens aus.

Zudem , ein Virtualisierungsserver welcher gerade einmal maximal 12W Strom verbraucht, muss sich nicht verstecken und ist für den einen oder anderen Interessierten genau das richtige Gadget, um im Dauerbetrieb genutzt zu werden.

 

Betrieb des Images nur auf der APU1c4

Für den Betrieb des Images empfiehlt sich die 4GB RAM Variante der APU zu verwenden. Bei der 2GB RAM Variante startet das von mir zur Verfügung gestellte Image nicht einwandfrei.

 

**Nachtrag vom 10. Juni 2014**

Danke an Holger Bauer für die Erstellung und das zur Verfügung stellen eines neuen Images mit „USB Image Tool“. Dieses Image sollte nun sowohl auf USB Stick wie auch auf SD-Karten mit mindestens 8GB Speicherkapazität funktionieren. Das Image steht ab sofort zum Download bereit und die Anleitung wurde entsprechend überarbeitet.

Der bekannte Fehler „No Hypervisor found“ sollte somit der Vergangenheit angehören.

 

Sollte das wiederherstellen fehlschlagen empfiehlt es sich mittels Diskpart vorgängig den Zieldatenträger zu löschen.

VMWare ESXi auf Alix Nachfolger APU1c und APU1c4 installieren

Dieser Eintrag wurde veröffentlicht unter Software Technik und gekennzeichnet mit Alix APU Endian ESXi Firewall ipFire PCengines pfSense Sophos VMware am von

Die neue Version der Alix (APU1c und APU1c4) verfügt nebst schnelleren Netzwerkanschlüssen nun auch über einen AMD G series T40E Prozessor, welcher die gängigen Virtualisierungen (beispielsweise VMWare ESXi oder Proxmox) unterstützt. Der Betrieb einer Virtualisierungslösung ermöglicht zudem die Installation beliebiger Betriebssysteme / Firewall-Lösungen und ist flexibler in der Verwaltung.

Benötigte Software / Hardware

Image mit VMWare Workstation erstellen

Für die Erstellung des ESXi Images verwende ich in diesem Tutorial VMWare Workstation. Natürlich kann auch VirtualBox verwendet werden :)

Konfiguration der virtuellen Maschine

Einstellungen der virtuellen Maschine3

VMWare ESXi installieren

Die virtuelle Maschine benötigt keine Festplatte, da die Installation auf einen USB Stick erfolgt. Beim Startne der virtuellen Maschine muss nun noch der USB Stick verbunden werden:

USB Stick verbinden

Wenn der USB Stick korrekt verbunden ist erscheint ein grüner Punkt auf dem Icon:

USB Stick ist verbunden

Anschliessend kann die ESXi Installation gestartet werden:

ESXi Installation starten ESXi Installation starten

ESXi Installation starten ESXi Installation starten

Ist der USB Stick korrekt angeschlossen steht dieser entsprechend zur Auswahl:

Disk Auswahl

Da wir eine neue Installation vornehmen wählen wir entsprechend „(X) Install“ aus:

Install auswählen

Anschliessend Tastaturlayout und Kennwort eintragen:

Gewünschtes Tastaturlayout wählen Gewünschtes Kennwort eingeben

 

Nun kann die Installation gestartet werden:

Installation starten Installation läuft

Installation abgeschlossenNeustart

ESXi starten

VMWare Workstation kann nicht direkt ab einem USB Stick starten. Um dieses Manko zu umgehen kommt der „Plop Boot Manager“ zum Einsatz. Dazu wird die virtuelle Maschine ab dem plpbt.iso gestartet. Im Auswahlmenü kann nun USB ausgewählt werden und die virtuelle Maschine startet ab dem zuvor verbundenen USB Stick.

Ab USB Stick starten

Nach dem Start und der entsprechenden Konfiguration der IP Adresse (Management Interface) kann via vSphere Client auf den ESXi zugegriffen werden.

Realtek Treiber installieren

Damit die Netzwerkkarten der PC Engines APU funktionieren müssen zuerst die entsprechenden Treiber installiert werden.

SSH und ESXi Shell aktivieren

Dazu auf der ESXi Konsole anmelden und in den Einstellungen unter „Troubleshooting Mode Options“ sowohl ESXi Shell als auch SSH aktivieren:

SSH und ESXi Shell aktivieren

Treiber Pakete auf ESXi übertragen

Mittels WinSCP lassen sich die Treiberdateien auf den ESXi übertragen:

WinSCP VIB Dateien kopieren

 

Die Treiber liegen also im Verzeichnis /vib-pakete/

Installieren der VIB Dateien

Mittels Putty eine SSH Verbindung zum ESXi aufbauen:

SSH Verbindung aufbauen ESXi Shell

Anschliessend muss der Software Acceptance Level auf CommunitySupported umgestellt werden, ansonsten können die Netzwerktreiber nicht installiert werden.

~ # esxcli software acceptance set --level=CommunitySupported

Nun können die Treiber mit folgenden Befehlen installiert werden:

 ~ # esxcli software vib install -v /vib-pakete/VMware_bootbank_net-r8168_8.013.00-3vmw.510.0.0.799733.vib
 ~ # esxcli software vib install -v /vib-pakete/VMware_bootbank_net-r8169_6.011.00-2vmw.510.0.0.799733.vib

Ab dem nächsten Neustart werden die in der PC Engines verbauten Netzwerkkarten zur Verfügung stehen.

ESXi Konsole auf seriellen Port umleiten

Da die PC Engines APU keine Grafikkarte besitzt muss der gesamte Konsolen-Output auf den seriellen Port umgeleitet werden.  Dazu sind folgende Schritte notwendig

  1. Stellen Sie vom vSphere-Client aus eine Verbindung mit vCenter Server her und wählen Sie den Host in der Bestandsliste aus
  2. Klicken Sie auf die Registerkarte Konfiguration
  3. Klicken Sie unter „Software“ auf Erweiterte Einstellungen
  4. Erweitern Sie im linken Bereich die VMkernel-Liste und wählen Sie Starten
  5. Stellen Sie sicher, das die Felder VMkernel.Boot.logPort und VMkernel.Boot.gdbPort nicht für die Verwendung des COM-Ports eingestellt sind, an die Sie die direkte Konsole umleiten möchten
  6. Legen Sie VMkernel.Boot.tty2Port auf den seriellen Port fest, an die Sie die direkte Konsole umleiten möchten: com1
  7. Klicken Sie auf OK

VMkernel.Boot.tty2Port

Weitere Details dazu finden sich im VMWare Dokumentationscenter.

Die virtuelle Maschine kann nun heruntergefahren werden. Alle für den Betrieb auf der PC Engines APU notwendigen Anpassungen sind gemacht.

PC Engines APU vorbereiten

Damit der ESXi auf der PC Engines APU automatisch korrekt startet muss zuerst das BIOS auf den neusten Stand gebracht werden. Die Anleitung dazu findet sich auf der PC Engines Webseite unter TinyCore.

Anschliessend muss die APU so konfiguriert werden, dass direkt ab USB Stick gestartet wird. Dazu beim Start der APU auf der Konsole mittels F12 -> 3. Payload [setup] die Startreihenfolge wie folgt anpassen:

APU Bootreihenfolge

Nun kann der ESXi Boot-Stick an die APU angeschlossen werden.

ESXi auf PC Engines APU starten

Wird die APU nun gestartet, wird der gesamte Startvorgang und anschliessend die ESXi Konsole über den seriellen Port ausgegeben.

Der Startvorgang kann durchaus ein paar Minuten in Anspruch nehmen…

ESXi Boot auf APU ESXi Boot auf APU

Design-Technisch nicht das schönste, aber normalerweise sieht man die ESXi Konsole genau einmal – bei der initialen Konfiguration des Management Netzwerks.

ESXi Konsole ESXi Konsole

Alles weitere erfolgt mittels vSphere Client:

Zugriff mit vSphere Client Zugriff mit vSphere Client

Zugriff mit vSphere Client Zugriff mit vSphere Client

 

Wie ESXi konfiguriert und der vSphere Client bedient wird, ist nicht teil dieses Beitrages. Alles notwendige wird jedoch ausführlich im Dokumentationscenter von VMWare beschreiben.

Viel Spass!

Dank dem Einsatz von Virtualisierung – erst noch kostenlos – eröffnen sich einige neu Anwendungsmöglichkeiten für die neuen PC Engines APU’s. Viel Spass beim ausprobieren, testen und einsetzen.

ALIX Nachfolger kommt bald!

Dieser Eintrag wurde veröffentlicht unter Hardware Technik und gekennzeichnet mit Alix Firewall Router am von

Für alle technisch begeisterten welche bisher mit der ALIX Plattform eigene Router / Firewalls oder sonstige Lösungen aufgebaut haben gibt es interessante Neuigkeiten.

Ein Nachfolger mit mehr Leistung ist bereits in Planung und bald schon in der Produktion. Nachfolgend die groben Spezifikationen:

CPU: AMD G series T40N or T40E APU, 1 GHz dual core (Bobcat core) with 64 bit support, 32K data + 32K instruction + 512KB L2 cache per core
DRAM: 2 GB DDR3-1066 DRAM
Storage: Boot from SD card (connected through USB), external USB or m-SATA SSD. 1 SATA data + power connector.
Power: About 6 to 12W of 12V DC power depending on CPU load.
Expansion: 2 miniPCI express (one with SIM socket for 3G modem), LPC bus, GPIO header, I2C bus, COM2 (3.3V RXD/TXD).
Connectivity: 3 Gigabit Ethernet (Realtek RTL8111E), 1 DB9 serial port (console).
Firmware: CoreBoot open source system BIOS with support for iPXE and USB boot.
Form factor: 6"x6" (152.4 x 152.4 mm), fits in our case1d2*u enclosures.

Es sieht ganz danach aus, als ob eine bereits existierende Erfolgsgeschichte um ein neues Kapitel erweitert wird. Alles weitere findet sich auf der Webseite von PCEngines unter http://www.pcengines.ch/apu.htm

apu1a1

apu1a2

Endian 2.4.1 Image für Alix Alix2d3

Dieser Eintrag wurde veröffentlicht unter Hardware Software und gekennzeichnet mit 2d13 Alix Endian Firewall Image PCengines Virtualisierung am von

Benötigte Software / Hardware

-> Microsoft Virtual PC 2007
-> Endian ISO
-> WinImage 8.5
-> ALIX 2d13 oder ALIX 2d3

Im weiteren Verlauf wird von einer funktionierenden Installation von Microsoft Virtual PC ausgegangen! Ich gehe nicht speziell auf die Bedienung von Virtual PC ein. Google is your Friend :)

Image mit Virtual PC erstellen und auf CF Karte übertragen

Für die Erstellung des Images wird Virtual PC verwendet! VMWare oder VirtualBox funktionieren auch haben mit Endian jedoch teilweise Probleme daher verwende ich für die Alix Image Erstellung primär die Microsoft Lösung.

Konfiguration für die virtuelle Maschine

Für unsere virtuelle Maschine verwenden wir folgende Einstellungen

Wie auf dem PrintScreen zu sehen ist habe ich folgende Einstellungen verwendet:

  • 1x Festplatte à 3.5GB (3584MB)
  • 256MB RAM
  • Kein Floppy
  • 1x COM Port
  • 3x Netzwerkkarte (wenn WLAN ebenfalls installiert ist, 4x Netzwerkkarte verwenden)
  • Hardware Virtualisierung ist deaktiviert

Bemerkung zur Grösse der CF Karten:
Auch wenn die CF Karte mit 4GB angegeben ist, so kann nur selten genau 4GB (4096MB) korrekt auf die CF Karte geschrieben werden. Als Faustregel verwende ich jeweils CF-Grösse – 500MB. So kann ich sicher sein, dass das künftige Image auch auf Karten verschiedener Hersteller (welche jeweils unterschiedliche Grössenabweichungen haben) funktioniert.

Installation von Endian

Die Installation selbst ist einfach gehalten. ISO Image einbinden, virtueller PC starten und bei der Frage ob die serielle Schnittstelle aktiviert werden soll unbedingt mit JA antworten. Die Installation dauert je nach Leistung der verwendeten Hardware 5-10 Minuten. Bevor die Installation abgeschlossen ist, wird noch die IP Adresse des grünen Bereichs konfiguriert. Nach einem Neustart der VM kann diese ausgeschaltet werden.

VHD auf CF Karte übertragen

Mit dem Tool WinImage kann nun auf einfache Weise die virtuelle Festplatte (im vhd Format) auf die CF Karte übertragen werden. Hierfür öffnen wir WinImage und starten anschliessend die Aktion „Disk“ -> „Restore Virtual Hard Disk image on physical drive…“

WinImage zeigt hier bei nur die Wechseldatenträger an. Soll das Image auf eine 2.5 Zoll Festplatte übertragen werden muss der Hacken bei „Include non removable hard disk(s)“ gesetzt werden.
ACHTUNG: Wird der falsche Datenträger angeklickt sind die Daten unwiderruflich gelöscht.

Starten der ALIX Plattform

Nach erfolgreichem übertragen des Images auf die CF Karte kann diese in die ALIX eingesetzt und das Gerät gestartet werden. Um den Bootvorgang zu überwachen und Einstellungen vorzunehmen kann nun eine serielle Verbindung über die Konsole eingerichtet werden.

Ich verwende hierzu normalerweise PuTTY.

Die korrekten Port Einstellungen vorausgesetzt kann nun mit der Konfiguration der Endian begonnen werden.

Fertiges Image zum Download

Wer sich die Arbeit ersparen möchte kann sich ein fertiges Alix Image der Version Endian 2.4.1 für 4GB CF Karten direkt hier auf meinem Blog herunterladen. Die VHD Datei muss dann nur noch mittels WinImage auf die CF Karte übertragen werden. Ich habe für die Installation die IP 192.168.0.15 sowie die originalen Passwörter (siehe Endian Dokumentation für die Erst-Konfiguration) verwendet.

-> Download Endian 2.4.1 Image für 4GB CF Karten

Abschliessendes zu Endian auf Alix

Da die CF Karte nur eine begrenzte Anzahl von Schreibzugriffen zulässt und Endian auf dem journalisierenden EXT3 Dateisystem aufbaut ist es empfehlenswert, Log Funktionen auf das Minimum zu beschränken. Der Startvorgang dauert bedingt durch die relativ langsame CPU und der verwendeten CF Karte mehrere Minuten. Die Verwendung des Webinterfaces ist ebenfalls nicht sonderlich performant. Wer mehr Performance und mehr Log Funktionalität benötigt, dem empfiehlt sich die Installation auf eine herkömmliche 2.5 Zoll ATA Festplatte.

Ergänzungen / Ideen / Fragen

Ich freue mich stehts über konstruktive Kritik und Ergänzungen zu meinen Kurz-Tutorials. Die Kommentarfunktion lässt sich hierfür ebenfalls bestens verwenden :)

Endian Firewall 2.3 4GB Image für Alix 2d3

Dieser Eintrag wurde veröffentlicht unter Hardware Software und gekennzeichnet mit 2.3 Alix Community Embedded Systems Endian Endiane Firewall PCengines am von

Vor beinahe einem Jahr habe ich bereits über die Möglichkeit geschrieben mit Endian Community Firewall auf der Alix 2d3 Hardware eine Firewall für den Home Einsatz aufzubauen.

Seit längerem ist ja bereits eine neue Version (>> EFW 2.3 Community Version) verfügbar.

Für interessierte habe ich ein neues 4GB Image erstellt welches unter Downloads zur Verfügung steht. Nach dem Einspielen des Images steht die Firewall im als Standardinstallation (ohne Konfiguration) mit der Standard IP 192.168.0.15 und dem Default Benutzer (root/endian) zur Verfügung.

Das Image kann mit hilfe des Tools „PhysDiskWrite“ auf die CF Karte übertragen werden. Die Karte muss über mindestens 4GB Speicherplatz verfügen und darf keine weiteren Daten enthalten.

 

Update:

Die überarbeitete Version des Artikels für Endian 2.4.1 ist ab sofort online -> http://blog.y-m-e.net/2011/06/endian-2-4-1-image-fur-alix-alix2d3/

Endian 2.2 RC3 auf Alix 2d3

Dieser Eintrag wurde veröffentlicht unter Hardware Software und gekennzeichnet mit Alix Embedded Systems Endiane Firewall PCengines am von

Seit kurzem bin ich Besitzer eines Alix2d3 Mainboards von PCEngines. Dieses eignet sich hervorragend als UTM Appliance. Auf dem Blog von Computer Asyl habe ich einen Beitrag zum Thema Endian auf einem Alix gefunden. Das dort zum Download stehende Image war jedoch nur für 4GB CF Disks nutzbar. Aus einem mir noch unbekannten Grund erhielt ich beim beschreiben meiner 4GB CF Karte immer einen Fehler. Aus diesem Grund habe ich testweise ein 2GB Image erstellt welches ich an dieser Stelle zum Download anbieten möchte:

Endian

Endian 2.2 RC3 2GB Image

Bei diesem Image handelt es sich um eine default Installation. Das heisst, es sind noch die default Kennwörter aktiviert, es ist noch kein Setup Wizzard ausgeführt etc.
Einzig der Console Output ist aktiviert. Die Baudrate entspricht 38400!

Wie das Image auf die CF Karte geschrieben wird kann dem Artikel auf Computer Asyl entnommen werden.