Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense chez un hébergeur tel que OVH ou dedibox

    Français
    3
    6
    5.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • PARNP
      PARN
      last edited by

      Bonjour,

      Je viens vers vous pour avoir votre retour sur l'utilisation de pfSense chez un hébergeur tel que OVH ou dedibox.

      J'aimerai savoir si il est possible d'installer et d'utiliser pfSense convenablement (sans pirouette) et surtout sans avoir à le virtualiser (ni Xen, ni KVM, et surtout pas vmware)

      J’aimerai déployer une infrastructure virtualisée avec des serveurs dédiés mais avec en tête un firewall pfSense.

      Merci de partager votre expérience sur ce sujet.

      @+

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Les hébergeurs tel OVH ou Online (dedibox) propose soit des hébergements mutualisés soit des serveurs dédiés.

        Avec un serveur dédié, il y a 2 possibilités :

        • sans virtualisation : serveur unique, devant intégrer le firewall (script iptables sous Linux) ainsi que les services usuels (web+php+MySQL ou Messagerie)
        • avec virtualisation : le serveur est hôte de virtualisation et fait tourner plusieurs machines virtuelles (VM).

        Le 1er cas tend à disparaitre au profit du schéma 2 (comme dans les entreprises d'ailleurs).
        Dans le 2ième cas, il importe de gérer l'aspect réseau entre hôte, ip failover, VM, firewall.

        Outre la problématique réseau entre VM, il y a à comprendre comment accéder à une VM firewall puis aux VM deriière le firewall, tout en accédant, de façon protégée, à l'hôte de virtualisation.
        Bref sécuriser le physique et le logique … Pas simple et, donc, nécessite une bonne expertise et compréhension des enjeux et de la vision réseau en monde virtuel.

        Un schéma avec un premier serveur dédié firewall + un deuxième serveur dédié (avec plusieurs VM) et derrière le firewall du premier serveur est très largement inhabituel et non couvert par les offres standards ! Notamment les offres standard proposent forcément un adressage public.

        NB : Chaque solution de virtualisation a ses avantages et inconvénients, et sa vision des réseaux (qu'il faudra impérativement maitriser). VMware est le leader (et de loin) des solutions commerciales de virtualisation, et son offre ESXi est particulièrement solide, sérieuse et efficace (avec maitrise). Sauf méconnaissance, VMware n'est pas à écarter.

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • PARNP
          PARN
          last edited by

          Merci de votre retour,

          Au sujet de vmware, j'aime bien le fait d'utiliser des solutions libres, donc je ne dit pas que vmware n'est pas une bonne solution mais elle ne me convient pas.

          J'aimerai trouver un design de serveurs et services  intégrant ces solutions : ffirewall, reverse proxy, serveur web, serveur mysql ; + tolérance de panne.

          Donc la solution serait d'avoir un cluster de 2 hyperviseurs avec chaque services virtualisés et une ipfailover pour basculer entre les hyperviseurs.

          Donc dans ce cas là on pourrait imaginer avoir une vm pfSense (sur chaque hyperviseur) qui est en charges des flux réseaux dans un environnement KVM, Xen ou mais c'est encore autre chose openstack.

          Es ce que pfSense pourrait s'envisager dans une vm KVM par exemple. Bien sure la partie réseau de l'hyperviseur et à réfléchir avec précaution.
          Je ne fais que penser à une solution, comme je le ferais dans un LAN d'une entreprise.

          Si vous avez des commentaires ou des retours d'expérience je suis preneurs, merci.

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            En terme de virtualisation, en monde "libre", j'apprécie Proxmox (qui permet les 2 virtualisations : conteneur et KVM).
            J'ai fait tourner (il y a qq années) pfSense en mode KVM sur du Proxmox : sans difficulté.

            J'insiste sur la vraie problématique : comment configurer les réseaux sur le système de virtualisation choisi ?

            Concernant pfSense, le mode cluster (CARP) est aisé mais c'est du actif/passif donc dans une optique : un seul accès Internet <-> 2 serveurs pfSense <-> un seul réseau interne (avec multiples switch et une interface dédiée à pfSync=DMZ).

            Les offres standards ne me semblent pas coller mais l'hebergeur peut proposer des solutions …

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • TataveT
              Tatave
              last edited by

              Salut  salut

              Personnellement je ne suis pas partisan de la dématérialisation de Pfsense en production, en test je suis moins tranché.

              Proxmox ou Xen je n'ai pas encore fait de vrai test sur des serveurs (bac à sable).
              Pour le moment je suis sur du test ESXi/Hyper-v avec un cluster derrière pour le stockage déporté des VM et des données partagés sur le mon réseau.
              Cela pourrait paraitre assez lourd comme configuration, sauf que quand il y a un besoin de sécurité et de disponibilité cela devient un minima.

              • pour esxi il y a un coût pour mettre en oeuvre cela avec la licences du kit qui offre le HA Réplication et permet l'usage avec cette licence de 3 serveur de virtu
              • pour hyper-v avec deux licences de windows 2012 standard sauf erreur c'est les deux serveurs hôtes qui doivent être paramétré en HA et réplication. (sauf que j'éprouve des soucis avec les environnement type mac OS à virtu sans passer par des crac qui sont des infectés et qui m'ont fait des misère et que je ne préconise pas). mes tests sur hyper-v ne sont pas terminés.

              En résumé sur ces deux méthodes (hyper-v ou Vmware) il y a un cout à prendre en compte trop prohibitif pour un particulier comme je le suis à moins d'avoir touché le gros lot au loto

              • vmware est une licence annuelle ou sur trois ans en deux versions (production 24/24/7/7 ou basic période du lundi au vendredi aec une plage horraire de 12H/jour).
              • hyper-v via windows 2012 std c'est un cout unique pour deux licences serveurs et aux quels il rajouter les licences clients au delà d'un certain nombre (à valider)
              • xen et proxmox pas encore tester mais de mémoire il y un support pour prendre en compte payant suivant ce que vous voulez faire avec.

              Si je me suis trompé quelques parts dite le moi car n'étant pas un spécialiste mais juste un généraliste, il est fort probable que je me soit trompé ;o

              Cordialement

              aider, bien sûre que oui
              assister, évidement non !!!

              donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
              apprendre à un homme comment cuisiner, il sera vivre.

              1 Reply Last reply Reply Quote 0
              • PARNP
                PARN
                last edited by

                Merci de votre retour :)

                J'ai testé vite fais pfsense sur Xen et ça marche bien (juste l'install je parle)
                Tout l'enjeu c'est la gestion du réseau et des interfaces public ou interne. Je vais regarder ça de plus près et vous redemander des conseils.

                J'aimerai bien faire un tuto qui intègre pfSense et la virtualisation mais de façon saine. et de voir les solutions que propose des hébergeurs comme OVH (vrack) ou Online avec ses serveurs qui possèdent une 2eme carte réseau et la possibilité de faire une sorte de LAN (RPN)

                Oui des solutions d'hyperviseur il n existe pleins mais c'est vrai que je m'oriente plus vers des solutions libre tel que :

                XEN
                KVM

                Ovirt
                Opennodecloud
                Openstack

                Si vous avez encore des idées ou des infos je suis preneurs, je reviendrais vers vous avec d'autres questions quand je me serais plus plongé dans la partie virtualisation du réseau.

                @+

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.