Pfsense 2.4.4-RELEASE (amd64) sous ESXi 6.0



  • Bonjour à tous,

    J'ai pris en main un DL380 g8 avec ESXi 6.0 U3 (Image pour HP) d'installé. Sous celle ci, j'ai installé PFSense 2.3.4 et mis à jour jusqu'à la version 2.4.4.
    Auparavant, je n'utilisait que 2 cartes réseaux LAN (Le HP en possède 4), 1 carte physique vmnic0 pour le WAN et 1 carte physique vmnic1 pour le LAN mais aussi 2 cartes virtuelles représentée par les groupes de ports BDD et WEB.
    0_1543145426563_126674ec-4fb2-4fd0-af80-aa1d5bc6a7a0-image.png
    0_1543145490766_91a6febe-a27e-40b5-b229-2d1e2ac3d777-image.png
    0_1543145611800_77052eaf-beea-4a94-9cb4-6322550cf81e-image.png

    Depuis, notre topologie a changé et je doit obligatoirement ajoutre 2 nouveaux groupes de ports :

    • SAN lié à vmnic3
    • DEV lié à vmnic4

    J'ai ajouté les 2 commutateurs standards liés aux cartes respectives.

    Mais quand je redémarre mon PFSense pour terminer la configuration, les cartes n'apparaissent pas dans "Interfaces / Interface Assignments".

    Est ce que PFSense est limité en nombres de cartes physique ?
    Quelle est/sont la démarche pour pouvoir résoudre ?

    Merci à vous pour votre aide.



  • Si cette configuration est du domaine du test, à la rigueur.

    Pour les questions : non Pfsense n'est limité en nombre de cartes physiques. J'en ai plusieurs en prod avec 8 ou 10 interface physique. Pas pas sur des esx.
    J'ignore comment résoudre votre problème.

    Plusieurs remarques cependant.
    L'interface Wan sur le management network est une vraie très grosse bêtise. Principe de base : on ne partage pas un équipement notamment réseau entre des niveaux de confiance différents. Management Network et wan c'est le grand écart. Idéal pour se faire plomber.

    Un virtial switch devrait être dédié à l'interface wan de pfsense et un autre à son administration.
    Les flux applicatifs sur d'autre virtual switch.

    La virtualisation d'un firewall (surtout périmétrique), c'est très peu sûr.

    SAN lié à vmnic3

    En iSCSI ? Là c'est pareil. La carte devrait être physiquement dédiée, tout comme le réseau et le switch qui vous connecte au stockage.



  • Merci @ccnet pour votre réponse rapide.

    Au faite, ce que je représente ici est en quelque sorte un héritage de ce qu'à fait mon prédécesseur responsable.

    Si j'ai bien compris :
    1 - WAN deviendrait un groupe de ports (Telle que LAN) lié à vmnic0
    2 - Ajouter un commutateur standard ex : MAN (Management) où il y aura ESX-FRW-254 (PFSense) et le port VMkernel sans aucun adaptateur physique.

    Est ce que j'ai bien compris ??

    pour vmnic3, au fait, cette carte est connectée à un switch physique rassemblant un serveur pour les développeurs, et 5 NAS Synology : 1 pour le partage de Fichiers WebDav, 1 pour le partage de Fichier Windows, 1 pour les sauvegardes Documents et enfin 1 pour les sauvegardes Développeurs.

    Finalité, les 2 commutateurs sont rajoutés pour distinguer une sorte de sous réseaux.

    Merci en tout cas @ccnet , cela m'a permis, si j'ai bien répondu, à régler un premier problème que, j'avoue ne pas connaître.
    En attendant, de pouvoir trouver une solution au problèmes des cartes non reconnues.

    Encore merci.



  • 1 - WAN deviendrait un groupe de ports (Telle que LAN) lié à vmnic0

    Wan doit être connecté à une carte via un Vswitch sans rien d'autre dessus

    2 - Ajouter un commutateur standard ex : MAN (Management) où il y aura ESX-FRW-254 (PFSense) et le port VMkernel sans aucun adaptateur physique.
    Est ce que j'ai bien compris ??

    Non. La management Network de votre esx doit être dédié.

    pour vmnic3, au fait, cette carte est connectée à un switch physique rassemblant un serveur pour les développeurs, et 5 NAS Synology : 1 pour le partage de Fichiers WebDav, 1 pour le partage de Fichier Windows, 1 pour les sauvegardes Documents et enfin 1 pour les sauvegardes Développeurs.

    Alors quel rapport avec Vmware ?

    L'usage d'un firewall physique séparé est un éléments critique. La virtualisation de votre firewall est une très mauvaise solution dans votre cas.



  • Merci @ccnet

    C'est parfait, pour WAN et La Management Network. Tout ça va être fait.

    Par contre, pour l'histoire des synology et le serveur des développeurs, je m'excuse de ne pas m'être expliqué.
    Toute cette configuration est vieillissante et va complètement disparaître, tout ça va être remplacé par :

    • 4 VM pour les développeurs (Gestion de projet, Plateforme et BDD)
    • 1 VM pour FreeNAS (Nouvelles directives)
    • 1 VM pour ONLYOFFICE (Nouvelles directives)
    • Le rôle des Synology sera changé (temporairement) à des fins de sauvegarde, ils seront gardés probablement jusqu'à l'achat d'une solution plus adéquate.

    Le DL380 g8 date lui aussi de 3 ans mais tiendra la route. 2CPUs et 64Gb de RAM et 8 HDD SAS.
    Donc, mon souci, faire intégrer le réseau des développeurs temporairement jusqu'au changement d'où le besoin immédiat de faire fonctionner les 2 cartes LAN et une fois que s'est fait, plus tard, une seule de ces cartes me suffira pour la connexion aux Synology.

    Merci @ccnet et je m'excuse encore fois d'avoir omis de parler de ça.