Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense virtualisé: impossible d'avoir accès au WAN

    Français
    3
    8
    4.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      samus
      last edited by

      bonsoir à tous,

      Voilà j'ai un gros serveur avec 3 cartes réseaux, dessus un VMWare ESXi.
      J'ai installé pfsense sur une machine virtuelle créée au préalable, j'ai configuré la machine branché sur ma freebox par la prise eth0 (on l'appellera comme ça), faisant office de routeur.
      Sur l'autre port RJ eth1 j'ai branché directement mon PC, j'obtient bien une IP par mon DHCP (lui même hébergé sur une autre machine virtuelle, prenant la même prise RJ eth0 aussi, directement donc branché à ma box.
      Sur le pc branché sur eth1, je n'ai accès à aucun serveur, sauf le serveur DHCP/DNS interfaçable par un webmin, mais je n'ai même pas accès à l'interface web de pfSense…
      Ai-je oublié une config, ou le problème vient d'ailleurs  ?
      Si vous avez besoin de plus de détails dites le  :)

      Merci d'avance, Sam.

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Si on s'intéresse à la sécurité (c'est bien le but quand on implante un firewall, non ?), on s'informe sur la virtualisation.
        Et quand on s'est documenté, on comprend pourquoi il NE FAUT PAS virtualiser un firewall !

        On peut bien sur ESSAYER un firewall dans une VM en tenant compte que chaque système de virtualisation a ses méthodes d'accès aux réseaux.
        Mais, je rappelle, ce n'est QUE pour TEST que l'on peut agir de cette façon.
        Dernier point, pour essayer, il faut être compétent.
        Il faut comprendre qu'un test est plus complexe qu'utiliser un (vieux) pc …

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • S
          samus
          last edited by

          @jdh:

          Si on s'intéresse à la sécurité (c'est bien le but quand on implante un firewall, non ?), on s'informe sur la virtualisation.
          Et quand on s'est documenté, on comprend pourquoi il NE FAUT PAS virtualiser un firewall !

          On peut bien sur ESSAYER un firewall dans une VM en tenant compte que chaque système de virtualisation a ses méthodes d'accès aux réseaux.
          Mais, je rappelle, ce n'est QUE pour TEST que l'on peut agir de cette façon.
          Dernier point, pour essayer, il faut être compétent.
          Il faut comprendre qu'un test est plus complexe qu'utiliser un (vieux) pc …

          pour me répondre des choses aussi inutiles merci j'en avais pas spécialement besoin…

          je fais ça avant tout pour apprendre et approfondir mes connaissances, j'ai pas marqué que je le faisais pas pour essayer.

          Je ne suis pas compétent ? avant de tenter et tester des trucs persos faut obligatoirement être compétent ? je fais ça pour apprendre, je fais d'ailleurs encore ce que je veux à ce qu'il me semble et j'ai bien avancé, pour celà il y a des tutoriels et des mythos-forums pour être un peu guidé et aidé par un partage des connnaissances.

          Fallait prévenir que ce forum était reservé qu'aux gens qui savent tout sur tout et n'ont pas besoin d'aide, pour ce qui est du fait de la virtualisation d'un firewall je n'ai pas besoin de me renseigner je sais très bien que ce n'est pas très sécurisé, cependant j'ai envie de tester parce que je n'ai que ça sous la main un point c'est tout.

          Et enfin, pour ta gouverne, j'ai réussi à me débrouiller, pourtant non je n'étais pas compétent à la base, des gens ont eu l'amabilité de m'aider et de me conseiller, maintenant ça marche du moins pour ce problème en tout cas.

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            cependant j'ai envie de tester parce que je n'ai que ça sous la main un point c'est tout.

            A quoi servent des tests dans des conditions qui seront très éloignées d'une configuration de production ? Que peut on en déduire ?
            On peut se former sur les fonctions du produit oui. Tester c'est autre chose. La définition de l'environnement de test lorsqu'il s'agit ensuite de passer en production est une autre affaire.

            1 Reply Last reply Reply Quote 0
            • S
              samus
              last edited by

              je doute pas des perfs de pfsense je veux juste savoir le mettre en place c'est quand même pas compliquer… ???

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by

                C'est agréable ! Ca encourage à contribuer !

                Qu'est ce que j'écris (et que reprend ccnet) ?
                => chaque système de virtualisation a ses méthodes d'accès aux réseaux.

                Xen fonctionne différemment d'OpenVz qui fonctionne différemment de VMware qui fonctionne différemment de …

                VMware a décrit le fonctionnement de ses switchs virtuels (pour ESX) dans le document http://www.vmware.com/files/pdf/virtual_networking_concepts.pdf (que l'on trouve sur le site VMware). Il faut le lire ... même pour tester.
                Quand on lit cette documentation, on peut comprendre qu'il faut utiliser des switchs virtuels reliés aux interfaces réelles d'une part et d'autre part aux VM.
                (Encore peut-on encore compliquer les choses avec VLAN ou Teaming ...)

                Il est probable, dans votre cas, que l'interface Wan de la VM pfsense n'est pas reliée, via un switch virtuel, à l'interface physique qui est, elle, reliée à la box.
                Mais faute d'éléments sur votre configuration ...

                Concernant la compétence, je veux dire que, réaliser un test suppose d'être capable de comprendre :

                • le fonctionnement d'un firewall (filtrage par type de flux),
                • la configuration du firewall,
                • le basic des réseaux (dns, gateway, adressage ip, ...) et des tests réseaux (ping, arp, tcpdump, ...),
                • et, en plus pour la virtualisation, les spécificités de la "fourniture réseau" de l'hôte de virtualisation.
                  Etre compétent ou avoir de l'expérience pratique peut faciliter les tests ...
                  Lire les docs techniques (et les digérer) n'est pas une option mais doit être un préalable.

                Tester avec un PC est toujours plus simple que de tester avec une VM.

                Projeter l'environnement de test vers l'environnement de prod (avec, forcément, un firewall non virtuel) n'est pas aisé, comme l'indique ccnet.
                Parce que, d'un côté, on teste le firewall en VM et, de l'autre, on met un firewall non virtuel en prod !

                Enfin c'est ce que beaucoup observent.

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • S
                  samus
                  last edited by

                  Non mais niveau compétence je connais le fonctionnement d'un firewall et comment on le configure, j'ai déjà fait plusieurs passerelles avec pfSense, je ne l'ai pas choisie par hasard, les bases du réseau sont largement acquises.
                  Pour l'ensemble des switch réseau de ma VM je m'étais renseigné sur le fonctionnement d'ESXi à ce niveau.

                  Faut juste avouer que le fait de demander de l'aide et avoir pour réponse (autant attendue qu'elle soit): "c'est pas bien ce que tu fais et faut être compétent pour le faire" c'est pas des plus agréables.

                  Bon sinon le comment j'ai fait du pourquoi du comment.
                  Après avoir bien ajouté mes interfaces dans ma VM. J'ai passé ma Freebox en 192.168.100.1 et donc toute la partie WAN en sous réseau 100, et passé mon réseau LAN en sous réseau 0, ensuite j'ai relié les  deux interfaces par une route statique, et l'affaire est réglée  :D

                  1 Reply Last reply Reply Quote 0
                  • J
                    jdh
                    last edited by

                    C'est incompréhensible !

                    • on ne sait si c'est résolu ou non,
                    • dans ESX, il y a des switchs virtuels : aucune mention (ou presque), c'est à dire incompréhension possible ou confusion possible entre câblage réel et liaison interface réelle/virtuellle,
                    • des adressages réseaux comme "fil conducteur" semble-t-il alors qu'il faudrait s'intéresser d'abord à ces switchs virtuels (enfin à AMHA),
                    • une réécriture de mon post initial (déjà incompris) en en déformant le sens.
                    • "relier deux interfaces par une route statique" ? kesako

                    Bref …

                    Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.