[RESOLU] Virtual IPs et CARP
-
Pfsense sur un esx … Sujet longuement et souvent rencontré ici.
Répétons les choses une nouvelle fois. L'utilisation d'un ESX complexifie notoirement les choses au niveau réseau. La configuration des switchs virtuels, tout comme le nombre de cartes réseaux physiques présentes ne sont pas neutre.
En résumé votre problème n'a probablement rien à voir avec Pfsense mais très probablement avec des problèmes réseau, en particulier couche de liaison. -
Salut salut.
Comme certain le savent j'aime bien les schémas, là je ne le demande pas je l'exige !!!
Mettez à plat votre structure réseau avec les ip de chaque pattes, et les ip virtuelles qui s'y rattachent ou pas.
Il y a effectivement un problème de paramétrage dont je suis sur qu'en relisant convenablement les howto pf + carp vous trouverez.
De plus respectez la charte de la section nous y verrons plus claire, mais encore certes pf sur un esxi a et sera encore débattu plus d'une fois ici.
Pour ma part je suis partisan de virtualiser tests découvertes la solution ou concept et non en production qui est une chose car vous ne pourrez pas completement mettre en application tous le cas de figures.
Quelques soit le projet et réalisation si votre esxi ou hyper-v , peu importe la solution de virtualisation est mal compris, appréhendé et utilisé vous partirez dans un mur.Cordialement
-
Hello,
J'utilise aussi pfSense sur un ESX, ça tourne bien, et si tu débute le snapshot est une option très pratique quand on fais des bétises.
L'utilisation d'ESX comme l'a dis CCnet complexifie la chose car tu dois créer des vSwitch a chaque fois que tu déclarera une interface, qu'elle soit virtuelle ou non (Sauf pour les Vlan mais tu devra quand même les relier a une carte donc a un vSwitch un moins un fois)
Sans description détaillé des ton pfSense et des interface ça va être compliqué.
Si non en gros tu crée ton vSwitch en utilisant vSphere, tu lui assigne une carte physique si tu as besoins de le relier en dur a une interface physique, et si non tu va dans la configuration de t'es VM tu leurs ajoute un carte réseau virtuelle que tu connecte a ton vSwitch (menu déroulant).
-
tout d'abord merci a tous pour vos messages et votre attention.
voici la partie FpSense :
J'ai donc
- 1 Vswitch "WAN" pour l'adresse 192.168.1.0/24 (le réseau de ma box)
- 1 Vswitch "PFSYNC" pour l'adresse 192.168.0.0/24 (pour CARP uniquement)
- 1 Vswitch "DMZ" pour l'adresse 10.0.0.0/24 (là où il y a mon client Windows 8.1 de test avec une IP fixe)
Comme je l'ai dis précédemment, le réseau est fonctionnel lorsque mon client DMZ prend 10.0.0.251/24 ou 10.0.0.252/24 en passerelle, mais pas 10.0.0.254/24 car il ne ping pas cette adresse virtuelle.
Du coup, je pense que je dois vous envoyer un screenshot de toute mes configurations ? Ca risque de faire beaucoup de photos, donc si vous avez déjà une idée, n'hésitez pas !
-
Et les cartes physiques ?
-
Salut salut
J'allais le dire , ccnet ma couper l'herbe sous le pied ^^.
Moi ce qui m’intéressent maintenant c est la conf de ses cartes réseaux dans esxi
Combien de cartes ?
Quelles sont leurs paramétrages ? FO/LBEn faites plus exactement, j'aimerais un screenshot de la partie réseaux du esxi.
Cordialement.
-
Dans un environnement physique simple, il y a presque tout le temps une quasi superposition des réseaux couches 2 et 3. Des que l'on virtualise ce n'est plus le cas. Il faut alors "lire" le réseau aux niveaux 2 et 3 séparément. Ce qui nous fait demander ce qui précède.
-
j'ai une seule carte physique, voici les conf :
-
Une seule et unique carte réseau pour l’ensemble ? En dhcp, avec ip V6 activé, modification d'adresse mac non autorisée ?
-
Si les pfsense ont 3 interfaces, il est forcément nécessaire de mettre en oeuvre 3 vswitchs (VMware).
Il serait logique d'avoir 2 cartes réseau physiques (réelles).
(Comme ccnet, je n'active pas ipv6 sur l'hôte VMware, enfin je suppose !)
(Il est surprenant que la carte physique voit un tel adressage qui n'aparait pas dans les infos données !) -
Je confirme !
Sans compter qu'une configuration avec le management network sur un Vswitch utilisé par les vm n'est pas, même si cela semble fonctionner, une configuration supportée par Vmware.
Cette configuration est exactement la représentation de ce que j'indiquais plus haut : Les niveaux réseau 2 et 3 sont complètement différents. Ici en couche 2 tout est mélangé. Ne parlons même pas de sécurité évidement !
CARP sur ESX reste un sujet assez délicat. Ce qui nous ramène au tout début : le problème n'a rien à voir avec Pfsense mais avec ESX. -
salut salut
Je ne suis pas surpris que cela soit bancal coté esxi :p
Me manque des pattes réseaux.
Ne trouvez vous pas illogique que votre schéma de cluster pf est 3 pattes (wan, lan, synchro) et que sur esxi 1 carte wan ?
Je vous donne des indices, voir la bonne méthode.
- une patte wan = un Vswitch vers wan associé à un carte réseau, par ici la sortie sur l extérieur
- une patte pf to pf = un Vswitch synchro pf à pf
- une patte lan = un Vswitch, la il y aura vos vm lan
avec ce schéma type vous êtes raccord avec le schéma logique du montage d'un cluster pf comme s il était physique, les machines en lan sont ainsi isolé de vos autre réseau grasse au cluster pf qui est entre.
Par ce schéma vous n'aurez plus accès en directe par votre machine physique sur les machines en lan (esxi) mais que par la console esxi.
Quand on vous dit de manière général que virtualiser un pf et qui plus est un cluster de pf vous partez à cout sur dans le mûr, vous en démonter malheureusement l'exemple par votre non maitrise des plusieurs concepts fondamentaux.
- sur le réseaux premièrement
- sur la virtualisation deuxièmement.
- sur la virtualisation avec esxi plus precisement en troisièmement.
Cordialement.
-
Une config VMware correcte (et supporté par VMware) :
- un vswitch pour le management, avec 2 cartes réseaux,
- un ou plusieurs vswitch pour des VM, avec 1 ou 2 ou + cartes réseaux, (pour moi 'LAN', 'LAN1', 'LAN2', …)
- un vswitch pour des VM, sans carte : permet de déconnecter une VM (pour moi 'INTERNE').
Ici, cette logique aboutirait à 5 vswitchs : Management + WAN + SYNC + LAN + 'Interne'.
Et je verrais 3 cartes réseau : 1 pour Management, 1 pour WAN et 1 pour LAN.A la rigueur, on pourrait fusionner Management et LAN, soit un total de 2 cartes réseau.
EDIT/ Déjà écrit par Tatave !
-
(hs)
yes avant le maitre ;o content content ^^
(/hs) -
Le fonctionnement de CARP avec Vmware dépend aussi de la version d'ESX. Et sans paramètres avancés cela ne fonctionne pas avec les réglages par défaut.
-
Bonjour,
Le problème vient du fait que les adresses IP virtuelles ne sont pas autorisées par ESXi il me semble, pour les tests, il faut activer le mode "Espion" sur le vSwitch (cf capture).
Malgré cela, il est conseillé de ne pas virtualiser PFsense … ( je ne vais pas répéter tout ce qui a été dit )Dieweb
-
Oui mais pas seulement. En dessous de la version 4 Update 2 cela ne fonctionne pas semble t il. C'est directement lié à la façon dont fonctionnent les vswitchs.
-
Je suis bien d'accord, mais je ne pense pas qu'il soit en dessous de cette version, si ?
-
Il ne dit pas quelle version il utilise, persuadé qu'il est que le problème est sur Pfsense alors qu'il est dans l'usage de ESX.
Il faut aussi autoriser les adresses forgées. Et il y a une modification à faire dans les paramètres avancés de l'hyperviseur. En fait tout est là :
https://doc.pfsense.org/index.php/CARP_Configuration_Troubleshooting
C'est un peu dommage de donner du tout cuit puisqu'il n'y a pas eu de recherches pertinentes faites sur le problème rencontré. -
il y a un malentendu j'ai l'impression, j'ai cru que vous me demandiez la carte réseau physique (celle qui est réellement dans ma machine et relié a ma box), c'est donc cette configuration que je vous ai montré.
J'ai évidement plusieurs Vswitch, les voici (j'ai d'autres machines que j'ai commencé a installé, ne faites pas attention) :-
Le wan
-
La DMZ
-
Le LAN (derrière la DMZ, pas traité ici)
-
Le PFSYNC (pour CARP)
Pour ce qui est de ma version d'eux, j'ai ESXi 6.0 (qui viens juste de sortir :)
-
