Pfsense 1.2.3 sur VMware esxi 4.1.0



  • Bonjour à tous,

    Je cherche à virtualiser pfsense sur un vmware serveur esxi dernière version.
    Je sais ce choix n'est pas judicieux, mais là n'est pas le sujet, et mon chef me l'impose donc j'exécute.

    Mon problème est que j'ai installé pfsense, et pour mes tests je ne suis pas directement branché au modem de mon FAI, je suis dérrière le routeur. Donc du mal à identifier l'origine de mes problèmes.

    Pour récapituler rapidement :

    Wan pfsense : 192.168.4.2/24 avec une passerelle en 192.168.4.1 et pour serveur DNS 192.168.4.12 & 192.168.4.14
    Lan pfsense : 192.168.1.1/24
    Portail captif activé.

    Depuis mon poste (192.168.1.10), avant l'authentification du portail captif :

    ping 192.168.1.1 : OK
    ping 192.168.4.2 : OFF
    Après authentification sur le postail captif (http://192.168.1.1:8000)
    ping 192.168.1.1 : OK
    ping 192.168.4.2 : OK
    ping 192.168.4.1 ou google : OFF

    en bref, après authentification j'arrive bien à traverser le firewall, mais impossible d'aller plus loin.
    Je vois 2 sources possibles à ce problème :

    une configuration particulière de ESXi et/ou de pfsense lorsqu'il fonctionne en VM
    un problème de routage, car pfsense déja dérière un routeur.

    Si vous avez des suggestions, retours d'expériences, etc… je suis preneur.



  • Et le ping du 192.168.4.1 depuis pfsense ?



  • Tout est rentré dans l'ordre, autant pour moi.
    Je n'avais pas connecté la carte réseau au niveau de ESXi.
    Il faut, via le vSphere client, après avoir déclaré les vswitch, aller dans les propriétés de la VM en question, puis dans les paramètres de la carte réseau cocher les 2 checkbox "Connecter" et "Mise sous tension au démarrage".

    Un problème 100% VMware, ou plutot 100% novice on ESX  :)



  • C'est pour cela qu'on recommande aux personnes ne maitrisant pas VMware vpshère de ne pas s'en servir. surtout au niveau de la gestion des vswitch (VGT,VST,EST), si ce n'est pas maitrisé alors c'est un gruyère.



  • Tout à fait d'accord, mais c'est en forgeant qu'on devient forgeron.
    Comment maitriser un outil sans l'utiliser ?  ;)



  • comment sont configurés les port groups de l'esxi ?

    comment la machine esxi est-elle reliée physiquement au reste du reseau ?



  • vmnic 0 : vmware esxi serveur (192.168.4.50)+ vm debian(192.168.4.10) + lan pfsense(192.168.1.1 en test / si prod un jour : 192.168.4.100)
    vmnic 1 : wan 1 pfsense (86.x.x.x) > FAI 1
    vmnic 2 : wan 2 pfsense (83.x.x.x) > FAI 2

    Machine ESI relié au reste du réseau comme un poste du réseau (pas de DMZ)
    Le but primaire = faire du load balancing si un de mes FAI n'assure plus le service.
    Nos espérances : rajouter la fonction de proxy/filtrage url et VPN entre les pfsense de chaque site



  • vmnic 0 : vmware esxi serveur (192.168.4.50)+ vm debian(192.168.4.10) + lan pfsense(192.168.1.1 en test / si prod un jour : 192.168.4.100)

    L'utilisation, pour le management de vmware, de la même interface physique et du même port group est explicitement déconseillée par l'éditeur. Mais si le chef à dit … Bon courage en attendant.

    Une copie d'écran pour préciser : vmnic est exclusivement connecté à vSwitch0.




  • Si j'ai un document sur lequel m'appuyer, je vais pouvoir faire passer l'idée qu'utiliser la même carte physique pour l'administration de vmware et pour ma debian et le lan de pfsense est une mauvaise idée.
    Merci pour cette info je vais rechercher dans la doc de vmware pour trouver le paragraphe qui met cela en avant.
    Déja que la solution de la virtualisation pour un firewall est une des plus farfelue, essayons de limiter la casse.

    Merci pour le screen aussi, c'est parlant :)




  • Si l'on respecte les prérequis VMware pour une infrastructue vsphère (pré requis ouvrant le droit au support…) il est stipulé que:

    • le réseau d'administration doit etre dédié
    • le réseau Vmotion doit etre dédié
    • que tous les réseau doivent être redondés (impératif si utilisation de HA).

    C'est pour cela qu'on ne met jamais en oeuvre un ESX ou ESXi sans au moins 6 interfaces réseau et que le dimensionnement conseillé est de 8 interfaces réseau, sans parler des configurations utilisant FaultTolérant.


Log in to reply