Pfsense & Proxmox
-
Bonjour à tous,
Je souhaite installer Pfsense comme Firewall dans mon Hyperviseur Proxmox.
Cette VM Pfsense sera donc firewall et DHCP (différents Vlan) pour les autres VMs dans le même hyperviseur.Disons que mon Pfsense aura un Vlan-100 : 10.167.80.0/24 avec DHCP Range 10.167.80.1-20
Ma question est certainement bête…..comment est-ce que le DHCP va fonctionner sachant qu'il n'y a pas de switch entre les VMs d'un vlan et le Pfsense...comment la VM va récupèrer une IP?
Merci pour votre aide.
-
Pour pouvoir répondre, il faut comprendre plus en détail comment cette machine (pfSense) est configurée au niveau de l'hyperviseur.
de combien d'interfaces physiques disposes-tu ?
comment celles-ci, si tu en as plusieurs, sont-elles organisées ?
Et dans le cas contraire, avec une seule interface, comment as-tu (ou vas-tu) configurer pfSense pour fonctionner en tant que pare-feu ?Parce que un pare-feu avec une seule interface, comment dire…?
-
Hello,
Merci pour ta réponse.
Alors pour le moment la machine n'est pas encore installée.
Concernant l'hyperviseur, il s'agit d'un serveur dédié chez OVH qui possède une IP publique et une IP dans le Vrack (spécifique à OVH)
Je voudrai transformer ce serveur en hyperviseur Proxmox pour y héberger mes serveurs.
Dans cette hyperviseur je souhaite avoir en première VM un pfsense pour gérer les flux entre les VM et le monde exterieur.
Donc le PFsense aura une IP dans le réseau Vrack (WAN) ensuite je peux rajouter plusieurs interface réseau si besoin (c'est une vm)
Ensuite je souhaiterai créer des zones (donc des Vlan) : Vlan pour les serveur de test, Vlan pour serveur de prod….etc
Et donc chaque zone aura son propre subnet....Voici un schéma :
Internet === Proxmox =================Pfsense===========Vm (Vlan test)
IP pub IP Vrack WAN (Vrack) LAN et Vlans VM (Vlan prod)
VM (Vlan preprod)
etcLes flux qui arrivent sur l'ip publique du Prox seront envoyés vers l'IP Vrack du Pfsense (donc la WAN)
Ensuite le Pfsense en fonction du flux fera le nécessaire pour livrer le packet au bon serveur.
Et pour sortir, la VM aura comme passerelle l'IP du vlan déclarée sur le PfsenseMa question est comment est-ce que je dois configurer ma VM dans la zone de test, prod ou autre pour aller sur le bon Vlan.?
J'espère que c'est assez claire :/
Pour info, le Vrack est un réseau privé qui est mis à disposition par OVH pour inter-connecter plusieurs serveurs dédiés
Merci beaucoup
PS : il y a peut être une autre manière de faire...je suis preneur :)
-
Bonjour,
J'ai pu avancer sur mon problème en installant un proxmox chez moi.
Pour li'nstallation de pfsense j'ai suisvi ce tuto à la lettre :https://mind-and-go.com/blog/why-not-1/post/cloud-proxmox-derriere-une-seule-ip-24
Donc maintenant mon Pfsense possède une wan et un lan.
Pour tester le bon fonctionnement , j'ai mis en place le service dhcp sur le lan.Ma VM récupère bien l'IP qu'il faut mais je n'arrive pas à sortir le net…
Pourtant le ping fonctionne parfaitement bien depuis le pfsense mais rien à faire depuis le LAN....
Une idée svp ?
Merci
-
Filtrage, DNS, config de l'hyperviseur, éléments de confie spécifique à Ophtalmo … ce ne sont pas les problèmes potentiels qui manquent. De la méthode et des tests !
-
J'ai rien configuré de spécial sur le pfsense, pour le moment je vois juste comment il se comporte.
Désolé s'il manque des éléments, n'hesites pas à me les demander, je suis plus orienté système que réseau… :/
Pour le moment voila c'est que j'ai pu faire :
Le réseaux Proxmox : (attention la varte vmbr2 pour le moment n'est pas attachée à aucune VM c'est juste pour un test)
eth0 Link encap:Ethernet HWaddr 08:00:27:ee:30:8c
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:132248 errors:0 dropped:0 overruns:0 frame:0
TX packets:124372 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:44887333 (42.8 MiB) TX bytes:77192933 (73.6 MiB)eth1 Link encap:Ethernet HWaddr 08:00:27:b8:64:18
inet addr:10.0.3.15 Bcast:10.0.3.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:feb8:6418/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6768 errors:0 dropped:0 overruns:0 frame:0
TX packets:9038 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3926624 (3.7 MiB) TX bytes:834000 (814.4 KiB)lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:95106 errors:0 dropped:0 overruns:0 frame:0
TX packets:95106 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
RX bytes:23571971 (22.4 MiB) TX bytes:23571971 (22.4 MiB)tap100i0 Link encap:Ethernet HWaddr 9a:97:8b:2e:e8:bb
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:3737 errors:0 dropped:0 overruns:0 frame:0
TX packets:341 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:470297 (459.2 KiB) TX bytes:24538 (23.9 KiB)tap101i0 Link encap:Ethernet HWaddr 5a:94:44:01:9a:6e
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:52920 errors:0 dropped:0 overruns:0 frame:0
TX packets:49609 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:4830377 (4.6 MiB) TX bytes:6038372 (5.7 MiB)tap101i1 Link encap:Ethernet HWaddr fa:69:c2:75:2e:61
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:13 errors:0 dropped:0 overruns:0 frame:0
TX packets:20 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1650 (1.6 KiB) TX bytes:2404 (2.3 KiB)tap101i2 Link encap:Ethernet HWaddr aa:75:02:4e:a5:df
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:343 errors:0 dropped:0 overruns:0 frame:0
TX packets:3658 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:24306 (23.7 KiB) TX bytes:459337 (448.5 KiB)vmbr0 Link encap:Ethernet HWaddr 08:00:27:ee:30:8c
inet addr:192.168.56.200 Bcast:192.168.56.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:feee:308c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:132178 errors:0 dropped:0 overruns:0 frame:0
TX packets:112560 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:43033491 (41.0 MiB) TX bytes:61569493 (58.7 MiB)vmbr1 Link encap:Ethernet HWaddr 5a:94:44:01:9a:6e
inet addr:10.0.10.0 Bcast:10.0.10.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:52926 errors:0 dropped:0 overruns:0 frame:0
TX packets:47585 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:4089745 (3.9 MiB) TX bytes:5929056 (5.6 MiB)vmbr2 Link encap:Ethernet HWaddr 7e:d7:96:c1:d0:50
inet addr:10.167.80.240 Bcast:10.167.80.255 Mask:255.255.255.0
inet6 addr: fe80::7cd7:96ff:fec1:d050/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:2509 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:105826 (103.3 KiB)vmbr3 Link encap:Ethernet HWaddr 9a:97:8b:2e:e8:bb
inet6 addr: fe80::b8d5:c6ff:fea9:5f4a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:540 errors:0 dropped:0 overruns:0 frame:0
TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:104148 (101.7 KiB) TX bytes:798 (798.0 B)PFsense possède ces cartes réseaux :
vmbr1 pour le WAN (10.0.10.250)
vmbr0 pour le LAN (10.167.80.1)
vmbr3 qui n'a pas d'IP mais qui sert de bridge pour les autre VMS derrière le pfEt donc ma VM de test est une debian qui possède une carte réseau en bridge sur vmbr3
Le service DHCP est monté sur le LAN et ma debian recupère bien une IP dans la bonne zone 10.167.80.10
Depuis la VM je ping l'p du lan pfsense 10.167.80.1 (normal)
Mais je n'arrive pas à pinger 8.8.8.8En faisant un tcpdump sur la carte réseau du lan, je vois que le paquet est bien envoyé vers google depuis l'IP 10.167.80.10 mais je ne vois aucun retour.
Est-ce que j'ai raté une config sur les cartes réseux Proxmox ? ou est-ce que quelque chose manque sur le pf?
Merci pour votre aide.
-
Si les masques sont /8 sur les ip des interfaces lan et wan il y a un problème majeur qui se traite en lisant la doc de Pfsense !
-
pourquoi /8??
-
Si /8 por le masque (ce qui est la valeur standard pour un réseau de classe A) alors vmbr1 pour le WAN (10.0.10.250)
vmbr0 pour le LAN (10.167.80.1) sont dans le même réseau. Ce qui n'est pas permis pas les spécifications de pfsense. D'où l'utilité de lire la doc de base. -
A aucun moment j'ai spécifié le /8
Je suis en /24.Encore une fois, je suis loin d'être un guru en réseau….alors peut être que je me trompe...
-
Il est important de savoir si oui, ou non les deux interfaces sont dans des réseaux différents.
Il vous faut maintenant tester de proche en proche depuis la vm vers 8.8.8.8.8.
Utilisez les logs, ou même la capture de trame, de pfsense sur les différentes interface pour visualiser ce qui se passe.
Si ce n'est pas fait regardez bien les docs OVH pour la mise en ouvre.