Una situación: la red local de 192.168.0.0/16 está dividida en muchas subredes y hay enrutadores instalados. Una máquina virtual alojada en Hyper-V se encuentra en una subred 192.168.X.0/24. La tarea se asignó para limitar el acceso a esta VM desde todos los hosts excepto una lista determinada, que contiene direcciones IP de las subredes 192.168.Y.0/24, donde Y es diferente de X y el acceso de red a la subred 192.168.Y.0/24. está enrutado. La configuración de la red de VM es la siguiente:
IPv4 Address: 192.168.X.10
Subnet mask: 255.255.255.0
Default gateway: 192.168.X.1
Entonces realizo las siguientes modificaciones en la ACL del puerto Hyper-V:
Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress 192.168.Y.Z -action allow -direction both
Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress any -action deny -direction both
Para mi sorpresa, ping 192.168.Y.Z
mostró "Host de destino inalcanzable" desde la VM, y también hacer ping a la VM desde ese host devolvió lo mismo. Por otro lado, si agrego una entrada ACL a 192.168.X.Z
la misma VM, el cambio le permite a la VM ver el host sin problemas.
Respuesta1
La solución fue agregar una entrada ACL para la puerta de enlace predeterminada de la VM o, en el caso de una ruta personalizada a la subred 192.168.Y, la dirección IP del destino de la ruta, para permitir que los paquetes se enruten al host remoto.
Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress 192.168.X.1 -action allow -direction both
Lamentablemente, esto no se menciona en ningún tutorial para configurar las ACL para Hyper-V, probablemente debido a que las LAN en estos tutoriales son lo más simples posible y no contienen segmentos enrutados.