Question d'un débutant



  • Bonjour,

    J'ai découvert il y a quelque semaine pfsense par un amis et sa ma l'air plutôt bien.

    J'aimerai essayer de m'en servir dans mon infrastructure:

    Actuelle:
                                                                                    eth0:1-VM1
    WAN (avec bloc IP RIPE)–-> eth0-Serveur proxmox ve ---> eth0:2-VM2
                                                                                    eth0:3-VM3

    Souhaité:
                                                                                                                                eth0:1-VM1
    WAN (avec bloc IP RIPE)---> eth0-Serveur pfsense-eth1 ---> eth0-Serveur proxmox ve ---> eth0:2-VM2
                                                                                                                                eth0:3-VM3

    Se n'ai que schématique, mais j'aimerai que toute la parti réseau sois gérer par le serveur pfsense (mrtg par ip, routage vers les différente machine virtuelles...).

    J'aimerai savoir si c'est possible.

    Merci



  • Personne ne peut m'aider ?

    J'ai essayer de chercher si pfsense gère les ip RIPE, mais je n'ai pas trouver grand chose.



  • Le schéma "actuel" n'est qu'un schéma sans firewall aucun, et où il est probable que chaque VM dispose d'une adresse ip publique (distincte).
    Il n'y a aucune sécurité bien sur avec un tel schéma : "venez, venez c'est par là !"

    Il faut un firewall (forcément).
    Les VM peuvent être des serveurs d'une DMZ.
    Il suffit de s'intéresser au NAT (dans un sens ou peut-être surement dans les 2).

    A moins d'avoir mal ou peu cherché, ce sujet me semble documenté et est aisé à trouver dans l'interface de pfSense.
    Mais comme d'habitude, commencer par se poser la question : quel est mon besoin ?

    NB : en quoi des adresses Ip RIPE serait-elles différentes d'autres adresses ip publique ? En Europe, quand on demande à son opérateur une range d'ip, c'est forcément le RIPE qui les a fournies à son FAI !



  • Merci de ta réponse,

    Je vais continuer a chercher de la doc pour le nat avec pfsense.

    Mais il me reste une petite question, pour les ip publiques elles devrons toutes être déclarer dans pfsense, mais mes machine virtuelle aurons une ip publique ou privée dans les conf réseaux?

    Merci



  • Cela dépend entièrement de vous, de ce que vous voulez. Les deux sont possibles avec Pfsense.



  • A partir du moment où on n'exprime pas en français son besoin, il est difficile d'aider … (Cela aide très souvent de façon considérable d'avoir à exprimer dans un français courant ce qu'on veut faire !)

    En principe, des serveurs internes devraient avoir une adresse privée parce qu'internes : ce n'est pas le NAT qui va rallonger le temps de traitement par le firewall de chaque paquet ip !

    Ce qui compte c'est que s'ils sont à l'initiative d'une session ip ils aient, extérieurement, la même ip que si, à l'inverse, c'est un pc (client) qui établit la session.



  • Mes Besoins:

    Héberger 5 Machines virtuelles sur un serveur proxmox.
    Chaque machines devra être indépendante (impossibilité de voir n'y dialoguer avec les autres).
    Une IP publique sera réserver pour chaque machines et une pour l'hôte.
    Pouvoir faire du monitoring réseau (pour voir la consommation en bande passant,…. de chaque machine virtuelles)

    J'ai possibilité d'avoir un serveur physique pour pfsense mais serai t'il possible que le serveur pfsense sois en virtuelle ?

    Voila mes besoins



  • Bonjour,

    Désoler de revenir vers vous, mais j'aurais juste voulu savoir ou et comment déclaré mon bloc de 32 ip dans pfsense, cars je vois beaucoup de tuto qui sont bien fait, mais je ne trouve pas d'information quand on a plusieurs ip publiques.

    Merci



  • @XuNiL:

    J'ai possibilité d'avoir un serveur physique pour pfsense mais serai t'il possible que le serveur pfsense sois en virtuelle ?

    Possible, mais à proscrire.

    Chaque machines devra être indépendante (impossibilité de voir n'y dialoguer avec les autres).

    Nécessite des vlans.

    mais je ne trouve pas d'information quand on a plusieurs ip publiques.

    Cela a été décrit ici ou sur le forum anglais plusieurs fois. Une méthode consiste à créer des VIP. Ce n'est pas la seule.



  • Bonjours,

    Je reviens vers vous cars j'ai installer pfsense sur un serveur qui reçois la connexion de mon hébergeur et la ma deuxième interface retourne sur un switch.

    Pfsense à la 1ere ip utilisable du block et j'ai déclarer les autre dans la section Firewall: Virtual IP Addresses en Proxy ARP (est ce normale que je ne puisse pas changer le /32 en /27  dans mon cas).

    j'ai un 2eme serveur branché a mon switch avec un ip locale et qui communique bien avec mon interface lan de pfsense (le serveur 192.168.1.101 et lan pfsense 192.168.1.100)

    J'ai fait une règle NAT: Port Forward pour que d'une ip virtuel je puisse accéder en ssh a mon serveur en local donc je fait du nat et je met l'ip local du 2eme serveur. J'ai aussi fait une règle NAT: 1:1 d'une ip virtuel a mon ip local (toujours le /32 à la place du /27 pour la publique).

    Mais sa ne marche pas, j'ai du oublier ou mal configurer quelque chose.

    Sinon pour en revenir a mon infrastructure j'aimerai savoir comment faire pour que mes machines virtuelles (qui sont sur le serveur 192.168.1.101) ai directement les ip publique.

    Merci



  • bonjour,

    Personne ne peut m'aider?
    Cars je cherche toujours et je ne trouve pas de solutions.

    Merci



  • Salut,

    Quand tu crée un ip virtual dans ton cas tu dois choisir le mode Proxy ARP.  Tu crée un IP viruel et pas une range ip viruel donc c'est normale que tu sois en /32 cependant vérifie bien que ton WAN netmask soit correct et que ton IP virtuel ce trouve bien dans la range du WAN.

    si non tu peux te retrouver avec des erreurs !

    Après avoir crée ton IP virtuel, tu peux crée une NAT 1:1 sur cette ip !

    Attention ! tu dois ouvrir les ports que tu as besoin sur Firewall > Rules > Wan
    Et ajouter une règle avec tes différents ports à ouvrir, dans la partie destination tu dois mettre l'IP LAN de ton serveur et non l'ip viruel !

    Et normalement ça fonction ..

    Nb: Utilise des alias pour les ports et ip de tes serveurs, plus simple, plus claire et moins de règles à gérée.

    Bonne journée,
    Sdnatcher



  • Merci beaucoup pour ta réponse.

    Je vais essayer tous sa.

    Merci,


Locked