Installation pfsense sur ESXi 6.5
-
Bonjour à tous,
Je me présente rapidement, jeune (newbie) devops/admin dans une petite start up de 30 personnes.
Contexte:
Milieu professionnel, niveau newbie, mettre en place une solutionBesoin:
J'ai deux serveurs dédiés chez OVH (VMware ESXi 6.5) (1 au Canada et 1 en France). Je souhaiterais installer pfsense sur chacun de ces serveurs dédiés en tant que routeur/firewall/NAT en frontal.
Je souhaite aussi installer sur le LAN un pool de VMs sur chacun des serveurs dédiés (serveurs web + serveurs DB).
Enfin, je souhaiterais monter un VPN entre ces 2 serveurs dédiés afin de faire transiter de la data entre les serveurs DB (réplcation master/master) des 2 continents.
D'apres ce que j'ai pu lire/voir, pfsense semble répondre à mes besoins.Schema
WAN: 2 IPs publiques (données par OVH)
LAN: 2 (1 pour chaque serveurs dédiées
Règles NAT: Transit du flux HTTP/S et SSH vers les machines du LANQuestion
J'ai lu la doc d'installation de pfsense sur ESXi 6.5 et crée une VM avec pfsense installé dessus depuis une image .iso.Pour l'adaptateur réseau 1, j'ai utilisé le 'VM network/VSwitch0' défini par VMware et relié à la carte réseau 1 'vmnic0' et je lui ai donné l'adesse MAC donnée par OVH pour cette IP (statique)
Pour l'adaptateur réseau 2, j'ai crée un nouveau 'switch virtuel (LAN)' relié à la carte réseau 2 'vmnic1'.J'arrive à installé pfsense correctement, j'ai le menu contextuel qui apparait. Mais mon interface WAN n'a pas d'IP associée.
- Cette interface ne devrait elle pas récupérer toute seule l'IP statique donnée par OVH ?
Comme cette interface n'a pas d'IP, j'essaie de la setter avec l'adresse IP donnée par OVH via le menu 2 de pfsense 'Set interface(s) IP address'.
Tout se passe correctement, si je fais un ifconfig em0, j'ai la bonne IP d'affichée ainsi que la bonne mac. Mais si j'essaie d'atteindre un site via le ping par exemple, ca ne fonctionne pas, j'ai un 'No route to host'ping 8.8.8.8
ping: sento: No route to hostIl y a qqch que je ne saisi pas avec pfsense du coup. Et je ne peux pas accéder a l'interface graphique d'administration étant donné que je suis à l'exterieur (au bureau) du réseau LAN.
Il y a certainement qqch que je ne fais pas correctement mais j'avoue étant newbie je ne saisi pas toutes les notions réseaux.
Merci pour votre aide. :o
-
Bravo pour l'utilisation du formulaire : vous fournissez de l'info facilement compréhensible, et c'est bien.
Sur un serveur dédié (suffisamment mémorisé), il est possible d'installer un ESXi et de réaliser un schéma logique tel
Internet <-> (WAN) pfSense (LAN) <-> plusieurs VM
A ce schéma logique doit correspondre une config VMware (c'est la difficulté).
Il faut bien sur :- 2 vswitchs : l'un connecté à l'interface physique réelle du serveur dédié, l'autre sans interface physique (je doute que le serveur dédié ait 2 interface physique)
(Une bonne idée : les nommer WAN et LAN ?)
Le pfSense sera une VM avec 2 interfaces réseaux : une dans chaque vswitch.
Alors que les VM internes n'auront qu'une seule interface dans le 2ième vswitch.Ce lien, un peu ancien, semble0correspondre au besoin : https://akril.net/2015/08/08/configurer-votre-ip-fail-over-sur-votre-serveur-ovh-soyoustart/
Je ne peux que vous préconiser de vous faire la main localement (=au bureau) avec un simple PC (avec processeur VT capable forcément).
- 2 vswitchs : l'un connecté à l'interface physique réelle du serveur dédié, l'autre sans interface physique (je doute que le serveur dédié ait 2 interface physique)
-
Il y a qqch que je ne saisi pas avec pfsense du coup. Et je ne peux pas accéder a l'interface graphique d'administration étant donné que je suis à l'exterieur (au bureau) du réseau LAN.
C'est un comportement normal par défaut. Mais avec cette ligne de commande vous pourrez, temporairement bien, sûr accéder à l’administration sur l'interface wan :
Accédez au shell (option 8 de mémoire) donc depuis la console ESX puispfctl -d
Une fois que vous avez la main, vous créez une config openvpn.
Vous testez votre accès vpn.
Et vous administrez proprement en accédant sur l'interface lan via le vpn.
vous redémarrez pfsense.
Avant de créer vos vm vous ajoutez une troisième interface et son switch sur l'esx. Vous connecterez les vm à ce réseau.
de cette façon vous avez une configuration propre, sûre par construction où les flux sont correctement séparés. Et pas d'exposition de l'interface d'administration sur Wan. Le schéma de jdh est validé avec un réseau d'admin dédié. Vous pourrez aussi utiliser ce réseau pour des choses délicates comme des accès ssh sur les vm. Ce réseau n'étantaccessible que via une connexion vpn.Évitez les réseau 192.168.0.0/24 et 192.168.1.0/24 dans votre configuration.
-
Comme toujours ccnet est plus précis que moi !
Vous pouvez ajouter plusieurs vswitchs pour le côté 'LAN' pour isoler au mieux chaque VM.
En particulier, un vswitch consacré à l'interface LAN, qui ne contiendra aucune VM, sera une extrémité d'un VPN (OpenVpn) afin d'administrer par l'ip LAN le pfSense.Ce qui est surprenant, c'est que vous dites avoir 2 interfaces physiques.
Si c'était réellement le cas, il pourrait y avoir un doute sur la 'bonne' : quelle est la correcte pour WAN ?Concernant l'exposition de services, il est noter que
- pour HTTPS (HTTP), il peut être judicieux de mettre en place un reverse-proxy 'avant' votre serveur HTTPS, par exemple vulture cf https://www.vultureproject.org/
- pour SSH, il est rare de l'exposer puisque un VPN sécurise mieux. Si vous voulez vraiment le faire, à minima, limitez les risques : refus de root, utilisation de certificats plutôt que password, fail2ban.
(Si le besoin est un transfert de fichier via SSH, plutôt qu'utiliser le SSH de la VM, on utilisera un service SFTP distinct, par exemple ProFTPD avec une config SFTP.)
-
L'ajout d'un revers est une excellente chose que l'on ne peut que conseiller. J'ai testé assez abondement la solution Vulture il y a un peu plus d'un an. J'ai tenté une installation, dans le cadre d'un projet client, de deux clusters. Alors que j'avais de gros espoirs sur ce produit (j'attendais quelque chose avec la fiabilité et la robustesse de Pfsense) j'ai été contraint d'abandonner par manque de fiabilité, ne serait-ce que lors des installations. Chaque nouvelle version apportait des corrections aux bugs trouvés (j'en ai remonté plus d'un au support), des nouvelles fonctionnalités mais aussi ces nouveaux bugs. Vulture partage le même socle système que Pfsense (Free BSD), hélas pas la même stabilité.
Après quelques recherches j'ai testé les produits Kemp et en particulier Kemp FreeLoadMaster qui est une version gratuite bien complète. Sa principale limitation est la bande passante. Une appliance sous forme de vm. Nous avons finalement mis en prod les deux clusters avec des versons payantes. Depuis j'ai à nouveau déployé ces produits à plusieurs reprise avec la même satisfaction. Efficacité, configuration assez simple, les templates qui permettent des déploiements, pour certains service un peu complexes, très rapide. La fiabilité, la stabilité sont au rendez-vous.