Installation PFSENSE SUR VMWARE ESXI 4.0



  • Bonjour, j'ai pour mission : sécuriser l'accès internet d'une SSII, j'ai donc installé pfsense qui répond parfaitement à mes exigences (vielles machine, performance, open source et évolutivité avec les packages…).
    Mon serveur fonctionne bien, cependant mon chef m'a fait parvenir une directive. Il faudrait que je virtualise le serveur firewall pfsense.
    Chose absurde et entièrement bête car on laisse une faille de sécurité en virtualisant un parefeu... Bref j'obéis même si je lui ai fait parvenir ce que je pensais.

    Bref me voila entrain de virtualiser pfsense, j'avais déjà virtualisé pfsense sous vmware workstation pour le tester sur ma machine perso mais dans un réseau virtuel. (HOST ONLY pour les connaisseurs de VMWARE)

    J'ai choisi l'hyperviseur VMWARE ESXI 4.00 pour virtualiser, je suis donc arriver à installer le pfsense, cependant je n'arrive pas à faire correspondre les interfaces de mon pfsense avec mes interface physique de mon serveur ESXI 4.0.

    J'ai l'impression qu'une seule interface établie la correspondance, car l'interface de mon WAN est en dhcp et est compris dans la plage d'adresse IP de mon serveur.

    Y a t-il déja des personnes qui ont opté pour VMWARE ESXI et pfsense en couple ??

    J'ai cherché, oui sur internet mais ce n'était pas assez explicite ou cela m’avançait pas....

    HELPPPP Merci???



  • Tout dépend de la configuration réseau de l'ESXi. Il faut créer les port groups associés aux différentes zones, et y associer des numéros de VLan, configurer ces vlan sur les ports des switch reliés à l'ESXi.
    Attention, de base ESX termine le contexte Vlan au vSwitch. Pour amener les VLan (paquets taggés) jusqu'à la VM il faut passer le vSwitch en passthrough en créant un seul port group avec 4095 comme numéro de vlan.
    Peut être devriez vous vous former sur ESX avant d'attaquer ce genre de choses.



  • Bonjour,

    Justement je venais faire un tour pour poser une question à propos de la virtualisation possible de Pfsense.

    Je vais effectuer des recherches en parallèles, mais est ce possible de virtualiser sur un ESX4.0 (avec les datastores en LUN sur du SAN via FC) un Pfsense ? Peut être puis je avoir des retours d'expériences ?

    Merci d'avance.

    Cdt,



  • La virtualisation sur ESX4.0 fonctionne.



  • J'utilise sans le moindre probleme pfsense 1.2.3 sur ESXi 4.0, dans differentes configurations, que les vlans soient gérés par le pfsense (ESXi en mode passthrough comme indiqué par juve) ou par l'ESXi au niveau du port group.

    pensez à installer le package open-vm-tools pour tirer le meilleur de votre installation.



  • Je viens justement de finir le miens… et on peut dire que j'en ai réellement bien bavé... il y a des configs à faire dans l'ESXi et dans pfSense, si quelqu'un a besoin d'infos c'est avec plaisir que j'apporterai ma contribution  :D



  • Je vous crois volontiers. Et c'est précisément pour cette raison que nous sommes plusieurs à déconseiller ce type de configuration. Les sources d'erreurs dues à des problèmes de configuration sont très importantes.
    Personnellement je proscris en production ce type de configuration. L'augmentation des facteurs de risque est bien trop grande.



  • pouvez vous donner plus de détails sur ces raisons ccnet ? cela m'intéresse beaucoup



  • Si vous regardez les différents flux réseaux nécessaires, et qui circulent dans une infrastructure virtualisée vous verrez que c'est loin d'être simple pour maintenir une bonne isolation des flux.
    Par ailleurs virtualiser c'est ajouter une couche logiciel supplémentaire donc du code, donc statistiquement des failles. Le problème devient quand vont elles être découvertes et que permettent elles de faire. La question de savoir si elles existent ne se posent pas. C'est statistiquement imparable. Partant de ce constat je ne vois aucune raison, dans le cas du firewall, d'accroitre délibérément mon niveau de risque.
    Certains vont en déduire que je suis contre la virtualisation et que c'est bon à jeter. Ils ont tort. Je la conseille, l'utilise en production comme en test. Mais il y a des précautions à prendre. Au delà de l'effet de mode cela est un outil très utile.
    Il existe un bon document sur hsc.fr à propos la virtualisation et la sécurité. Bref du discernement ne peux pas nuire.



  • En fait le postulat est le suivant:
    -> si on ne maitrise pas les technologies, on ne les met pas en oeuvre. Ou alors on fait ce qu'on appelle de la m*rde.

    Cela pourrait se rapporter au proverbe des mécaniciens "mécanisme inconnu, touche à ton c*l"

    ;D

    Avec de l'humour, la pédagogie réussit toujours.


Log in to reply