Pfsense & Proxmox



  • Bonjour à tous,

    Je souhaite installer Pfsense comme Firewall dans mon Hyperviseur Proxmox.
    Cette VM Pfsense sera donc firewall et DHCP (différents Vlan) pour les autres VMs dans le même hyperviseur.

    Disons que mon Pfsense aura un Vlan-100 : 10.167.80.0/24 avec DHCP Range 10.167.80.1-20

    Ma question est certainement bête…..comment est-ce que le DHCP va fonctionner sachant qu'il n'y a pas de switch entre les VMs d'un vlan et le Pfsense...comment la VM va récupèrer une IP?

    Merci pour votre aide.



  • Pour pouvoir répondre, il faut comprendre plus en détail comment cette machine (pfSense) est configurée au niveau de l'hyperviseur.

    de combien d'interfaces physiques disposes-tu ?
    comment celles-ci, si tu en as plusieurs, sont-elles organisées ?
    Et dans le cas contraire, avec une seule interface, comment as-tu (ou vas-tu) configurer pfSense pour fonctionner en tant que pare-feu ?

    Parce que un pare-feu avec une seule interface, comment dire…?



  • Hello,

    Merci pour ta réponse.

    Alors pour le moment la machine n'est pas encore installée.
    Concernant l'hyperviseur, il s'agit d'un serveur dédié chez OVH qui possède une IP publique et une IP dans le Vrack (spécifique à OVH)
    Je voudrai transformer ce serveur en hyperviseur Proxmox pour y héberger mes serveurs.
    Dans cette hyperviseur je souhaite avoir en première VM un pfsense pour gérer les flux entre les VM et le monde exterieur.
    Donc le PFsense aura une IP dans le réseau Vrack (WAN) ensuite je peux rajouter plusieurs interface réseau si besoin (c'est une vm)
    Ensuite je souhaiterai créer des zones (donc des Vlan) : Vlan pour les serveur de test, Vlan pour serveur de prod….etc
    Et donc chaque zone aura son propre subnet....

    Voici un schéma :

    Internet === Proxmox =================Pfsense===========Vm (Vlan test)
                      IP pub      IP Vrack            WAN (Vrack)        LAN et Vlans        VM (Vlan prod)
                                                                                                                      VM (Vlan preprod)
                                                                                                                      etc

    Les flux qui arrivent sur l'ip publique du Prox seront envoyés vers l'IP Vrack du Pfsense (donc la WAN)
    Ensuite le Pfsense en fonction du flux fera le nécessaire pour livrer le packet au bon serveur.
    Et pour sortir, la VM aura comme passerelle l'IP du vlan déclarée sur le Pfsense

    Ma question est comment est-ce que je dois configurer ma VM dans la zone de test, prod ou autre pour aller sur le bon Vlan.?

    J'espère que c'est assez claire :/

    Pour info, le Vrack est un réseau privé qui est mis à disposition par OVH pour inter-connecter plusieurs serveurs dédiés

    Merci beaucoup

    PS : il y a peut être une autre manière de faire...je suis preneur :)



  • Bonjour,

    J'ai pu avancer sur mon problème en installant un proxmox chez moi.
    Pour li'nstallation de pfsense j'ai suisvi ce tuto à la lettre :

    https://mind-and-go.com/blog/why-not-1/post/cloud-proxmox-derriere-une-seule-ip-24

    Donc maintenant mon Pfsense possède une wan et un lan.
    Pour tester le bon fonctionnement , j'ai mis en place le service dhcp sur le lan.

    Ma VM récupère bien l'IP qu'il faut mais je n'arrive pas à sortir le net…

    Pourtant le ping fonctionne parfaitement bien depuis le pfsense mais rien à faire depuis le LAN....

    Une idée svp ?

    Merci



  • Filtrage, DNS, config de l'hyperviseur, éléments de confie spécifique à Ophtalmo … ce ne sont pas les problèmes potentiels qui manquent. De la méthode et des tests !



  • J'ai rien configuré de spécial sur le pfsense, pour le moment je vois juste comment il se comporte.

    Désolé s'il manque des éléments, n'hesites pas à me les demander, je suis plus orienté système que réseau… :/

    Pour le moment voila c'est que j'ai pu faire :

    Le réseaux Proxmox : (attention la varte vmbr2 pour le moment n'est pas attachée à aucune VM c'est juste pour un test)

    eth0      Link encap:Ethernet  HWaddr 08:00:27:ee:30:8c 
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:132248 errors:0 dropped:0 overruns:0 frame:0
              TX packets:124372 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:44887333 (42.8 MiB)  TX bytes:77192933 (73.6 MiB)

    eth1      Link encap:Ethernet  HWaddr 08:00:27:b8:64:18 
              inet addr:10.0.3.15  Bcast:10.0.3.255  Mask:255.255.255.0
              inet6 addr: fe80::a00:27ff:feb8:6418/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:6768 errors:0 dropped:0 overruns:0 frame:0
              TX packets:9038 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:3926624 (3.7 MiB)  TX bytes:834000 (814.4 KiB)

    lo        Link encap:Local Loopback 
              inet addr:127.0.0.1  Mask:255.0.0.0
              inet6 addr: ::1/128 Scope:Host
              UP LOOPBACK RUNNING  MTU:65536  Metric:1
              RX packets:95106 errors:0 dropped:0 overruns:0 frame:0
              TX packets:95106 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1
              RX bytes:23571971 (22.4 MiB)  TX bytes:23571971 (22.4 MiB)

    tap100i0  Link encap:Ethernet  HWaddr 9a:97:8b:2e:e8:bb 
              UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
              RX packets:3737 errors:0 dropped:0 overruns:0 frame:0
              TX packets:341 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:470297 (459.2 KiB)  TX bytes:24538 (23.9 KiB)

    tap101i0  Link encap:Ethernet  HWaddr 5a:94:44:01:9a:6e 
              UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
              RX packets:52920 errors:0 dropped:0 overruns:0 frame:0
              TX packets:49609 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:4830377 (4.6 MiB)  TX bytes:6038372 (5.7 MiB)

    tap101i1  Link encap:Ethernet  HWaddr fa:69:c2:75:2e:61 
              UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
              RX packets:13 errors:0 dropped:0 overruns:0 frame:0
              TX packets:20 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:1650 (1.6 KiB)  TX bytes:2404 (2.3 KiB)

    tap101i2  Link encap:Ethernet  HWaddr aa:75:02:4e:a5:df 
              UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
              RX packets:343 errors:0 dropped:0 overruns:0 frame:0
              TX packets:3658 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:24306 (23.7 KiB)  TX bytes:459337 (448.5 KiB)

    vmbr0    Link encap:Ethernet  HWaddr 08:00:27:ee:30:8c 
              inet addr:192.168.56.200  Bcast:192.168.56.255  Mask:255.255.255.0
              inet6 addr: fe80::a00:27ff:feee:308c/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:132178 errors:0 dropped:0 overruns:0 frame:0
              TX packets:112560 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:43033491 (41.0 MiB)  TX bytes:61569493 (58.7 MiB)

    vmbr1    Link encap:Ethernet  HWaddr 5a:94:44:01:9a:6e 
              inet addr:10.0.10.0  Bcast:10.0.10.255  Mask:255.255.255.0
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:52926 errors:0 dropped:0 overruns:0 frame:0
              TX packets:47585 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:4089745 (3.9 MiB)  TX bytes:5929056 (5.6 MiB)

    vmbr2    Link encap:Ethernet  HWaddr 7e:d7:96:c1:d0:50 
              inet addr:10.167.80.240  Bcast:10.167.80.255  Mask:255.255.255.0
              inet6 addr: fe80::7cd7:96ff:fec1:d050/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:0 errors:0 dropped:0 overruns:0 frame:0
              TX packets:2509 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:0 (0.0 B)  TX bytes:105826 (103.3 KiB)

    vmbr3    Link encap:Ethernet  HWaddr 9a:97:8b:2e:e8:bb 
              inet6 addr: fe80::b8d5:c6ff:fea9:5f4a/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:540 errors:0 dropped:0 overruns:0 frame:0
              TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:104148 (101.7 KiB)  TX bytes:798 (798.0 B)

    PFsense possède ces cartes réseaux :

    vmbr1 pour le WAN (10.0.10.250)
    vmbr0 pour le LAN (10.167.80.1)
    vmbr3 qui n'a pas d'IP mais qui sert de bridge pour les autre VMS derrière le pf

    Et donc ma VM de test est une debian qui possède une carte réseau en bridge sur vmbr3

    Le service DHCP est monté sur le LAN et ma debian recupère bien une IP dans la bonne zone 10.167.80.10

    Depuis la VM je ping l'p du lan pfsense 10.167.80.1 (normal)
    Mais je n'arrive pas à pinger 8.8.8.8

    En faisant un tcpdump sur la carte réseau du lan, je vois que le paquet est bien envoyé vers google depuis l'IP 10.167.80.10 mais je ne vois aucun retour.

    Est-ce que j'ai raté une config sur les cartes réseux Proxmox ? ou est-ce que quelque chose manque sur le pf?

    Merci pour votre aide.



  • Si les masques sont /8 sur les ip des interfaces lan et wan il y a un problème majeur qui se traite en lisant la doc de Pfsense !



  • pourquoi /8??



  • Si /8 por le masque (ce qui est la valeur standard pour un réseau de classe A) alors vmbr1 pour le WAN (10.0.10.250)
    vmbr0 pour le LAN (10.167.80.1) sont dans le même réseau. Ce qui n'est pas permis pas les spécifications de pfsense. D'où l'utilité de lire la doc de base.



  • A aucun moment j'ai spécifié le /8
    Je suis en /24.

    Encore une fois, je suis loin d'être un guru en réseau….alors peut être que je me trompe...



  • Il est important de savoir si oui, ou non les deux interfaces sont dans des réseaux différents.
    Il vous faut maintenant tester de proche en proche depuis la vm vers 8.8.8.8.8.
    Utilisez les logs, ou même la capture de trame,  de pfsense sur les différentes interface pour visualiser ce qui se passe.
    Si ce n'est pas fait regardez bien les docs OVH pour la mise en ouvre.


Log in to reply