PFSENSE, VLAN, VSPHERE et DHCP



  • Bonjour à tous,

    je suis actuellement confronté à un problème sur mon infrastructure, je m'explique, j'ai loué un serveur dédié chez OVH afin de monter un projet, sur ce serveur dédié , j'ai installé plusieurs VM  , dont une avec pfsense, le tout tournant sur un esxi accessible via Vsphere 5.5.

    Sur Pfsense, j'ai configuré 4 interfaces ( WAN, LAN, DMZ, et VLAN), Pfsense me sert ici de serveur DHCP et également de firewall.
    Mon problème est le suivant, sur mon infra réseau , j'ai plusieurs sites (VLANS) , chaque site possède un adressage IP différents, à savoir (10.0.0.x, 10.0.1.x, 10.0.2.X ..etc), actuellement le DHCP est configuré sous l'interface LAN via l'adressage 10.0.0.x /24, et il fonctionne très bien mais seulement si la VM se trouve sur Internet VM (CF capture d'écran).

    J'aimerais que chaque VM se trouvant dans un VLAN (CF capture d'écran) puisse obtenir une adresse correspondant à son adressage via le DHCP de Pfsense.

    Voilà quelques capture d'écran qui pourront vous aider:





    Le plan d'aressage est le suivant :

    Centrale achat : 10.0.0.X /24
    Hyp Annecy :10.0.1.x /24
    Hyp Lyon : 10.0.2.x /24
    Hyp Grenoble : 10.0.3.x /24

    L'interface VLAN est un test, ne vous inquiétez donc pas des configs bizarre que vous pourriez y trouver.

    bonne journée à tous !



  • Encore une "architecture" ALC !
    Firewalls sur esx. Une seule et unique interface et un seul vswitch pour tout cela, y compris l'interface de management Vmware.
    Du très grand n'importe quoi, de haute volée . Inutile d'espérer la moindre résistance d'une telle solution.



  • merci pour ta réponse très constructive !
    Je suis étudiant, désolé de ne pas être aussi bon que toi .

    Moi qui pensais que le monde du libre était accueillant.



  • Salut salut

    N'étant pas un spécialiste mais comme ccnet je ne comprends pas votre montage esxi avec ou sans vlan, cela ne me parait pas cohérent.

    Pourquoi ne pas avoir segmenté vos réseau pour une meilleur lecture, personnellenent meme en posant la question sur le forum des utilisateurs du vmware http://www.vmug.fr/ vous auriez aussi eu le même type de charge que celle de ccnet.
    pourquoi vous  faire des noeux au cerveau (pauvre bete).
    Faites simple c'est une fois que l'on a compris que l'on va vers le plus complexe.

    A titre perso, j'ai un projet coton a faire au final, et mais je suis parti de la base routeur simple avec dmz pour finir par m'attaquer à plus coton (archi full HA)

    Vous avez pléthore de solution et tuto sur pf et ces mises en application , virtuelle ou pas.
    Je ne discute pas sur faite de passer par la virtualisation qui quand nous n'avons pas la place ni trop les moyens physiques de monter un tel labo, que cela soit chez soi (perso ou boulot) ou en location comme vous le faites.

    Que vous soyez ou pas étudiant quand on se lance sur une nouvelle appli ou os ou matériel, il faut apprendre , ce documenter, et tester et surtout comprendre ce que l'on fait ou pas et pourquoi on se plante ensuite en tirer les enseignement.

    Une piste peut être, commencer sans vlan ou juste un.

    Cordialement.



  • Deux règles essentielles et assez évidentes :

    • On peut virtualiser un firewall (pfSense) … pour et uniquement pour test (et avec la complexification due à la virtualisation de la partie réseau).
    • on ne peut virtualiser, sur un hyperviseur physique réel, que des VM de la MEME zone logique : risque flagrant de court-circuit du firewall !

    Le firewall devrait, pour un tel schéma, être physique (et donc dédié). Ensuite on peut utiliser un hyperviseur pour tous les serveur en DMZ.

    Ensuite, je ne comprends guère l'utilisation de VLAN dans la zone "LAN" ni l'utilisation de DHCP pour des serveurs !

    Bien plus fondamentalement, je ne comprends pas que vous n'ayez qu'un seul vswitch (vswitch0) !
    Vous devriez avoir, à minima, 3 vswitchs : un pour le wan, un pour la dmz, et un pour le lan et d'éventuels vlan !
    La notion de zone physique (ou virtuelle) et logique vous serait-elle acquise ?

    (J'ai été, autrefois, étudiant et stagiaire : avec le recul, j'étais très loin d'être omniscient !)



  • Salut salut

    @Jdh

    Personnellement, J'abonde dans votre sens concernant la virtualisation pour test,  avec la nuance de maquettage de présentation que je dissocierais des tests.

    • la partie test pour effectivement étudier y ou y solution et méthode.
    • la partie maquettage pour réaliser une présentation à un client de ce qui pourrait être mise en place comme support dématérialisé en complément d'un slide.
      mais certes autonome d'un réseau en production dans un réseau ou sous réseau défini bien évidement.

    Je n'ai pas développé plus en avant les éléments réseau nécessaire pour l'hyperviseur car le sujet de départ était :

    • un manque de compréhensions de la virtualisation réseaux/système.
    • un manque de réflexion avant projet.

    @ all

    Etre étudiant, stagiaire et professionnel n'interdit pas la réflexion préalable, la recherche documentaire (immatérielle ou non), poser des questions sur un mécanisme dont un le comprends pas ou mal le fonctionnement au près d'un forum, d'un tuteur, d'un collègue.

    Mais en aucun cas donner la solution toute faite, plutôt aiguiller vers la solution ou le mécanisme à utiliser.

    Des personnes comme Ccnet et Jdh et d'autres ont des compétences de hauts niveaux pour lesquels je comprends largement leurs agacements quand une présentation de problématique dénote un manque de synthèse dans la réflexion préalable.

    Le temps du tout cuit n'a jamais existé.

    Après expliquer où se situe l'erreur c'est le but d'un forum, mais ensuite il faut en tirer des enseignements pour éviter par la suite de les renouveler.

    Je ne suis pas une expert, ni exempt d'erreurs faites avec Pfsense et d'incompréhensions sur certains modes de fonctionnements de cet outil, loin de là.
    C'est en lisant les postes et les réponses que j'appréhende mieux ces points qui pour l'instant chez moi ne sont que des projets ou des axes de réflexions.

    / hors sujet /
    J'en profite aussi de ce poste pour remercier la communauté francophone en général et particulièrement les "barbus du forum".
    / hors sujet /

    Cordialement



  • @f1rstsurf:

    merci pour ta réponse très constructive !
    Je suis étudiant, désolé de ne pas être aussi bon que toi .

    Quand on est étudiant … on étudie, on se documente, on investigue.
    Et là manifestement on est loin du compte. Une lecture rapide des documents fournis par Vmware vous aurait permis de prendre un compte les 2 ou 3 fondamentaux.

    Moi qui pensais que le monde du libre était accueillant.

    Nous sommes sur un forum qui traite de sécurité en général et surtout de Pfsense en particulier, pas dans un supermarché. Si je vous ai secoué c'est bien parce que la réflexion, la démarche est très loin du compte pour un tel projet. Je ne sais pas ce que vous avez étudié jusqu'à ce jour mais le travail minimal à mon sens n'est pas là. Des serveurs en dhcp, encore une fois, est ce bien sérieux ? Ce n'est qu'un exemple.



  • Bonjour ,

    merci d'avoir pris le temps de répondre, premièrement , je n'ai jamais , demandé que l'on me donne la solution tout cuit, je souhaitais obtenir des pistes à suivre, j'ai également lu à de nombreuses reprise, pourquoi un firewall logiciel, je n'ai pas l'infrastructure nécessaire pour mettre du physique, et le serveur étant hébergé chez OVH, je n'ai pas la possibilité d'en configurer un .

    Ne pensez pas non plus que je ne me suis pas documenté sur le sujet , j'ai parcouru de nombreux forum et tutos Pfsense et/ou VMware. Néanmoins aucun ne traitait vraiment de mon problème.

    Ensuite Pourquoi du DHCP ? bien évidemment que mes serveurs ont une ip fixe, le DHCP est la seulement pour simuler une infrastructure lambda, l'ensemble des test sont mené sur l'ordinateur client.

    Concernant le manque de réflexion sur le projet, je ne suis pas d'accord avec vous, cela fait depuis des mois que nous sommes dessus, et avons beaucoup travaillé (AD, GPO, Remote App, Serveur de messagerie, DMZ etc..), le fait est qu'il est difficile de tout connaître, j'ai déja monté un pfsense, mais en physique, sur une infra physique elle aussi , composée de 2 routeurs Cisco relier avec une serial et 2 switchs HP avec Vlan et trunk, le tout configuré en cli sans oublier la multitude de serveur qui vas avec.

    Je ne suis pas un as , mais en étant en 3ème année d'étude informatique je pense tout de même avoir des connaissances en réseau .

    Sur vsphere, je ne peut pas assigner 1 vmnic, à 2 Vswitch, le net arrive sur nos VMs via une Failover.

    Sachez enfin ,que j'ai bien conscience de ne pas tout savoir, néanmoins j’espérais apprendre du savoir de chacun, c'est le propre du libre

    Cordialement.



  • Salut salut

    C'est sur votre structure réseau virtualisé que cela coinces principalement.

    Allé une piste

    • 1 réseau  = 1 virtual switch

    Cordialement



  • Mais bien sur ! On ne parle pas de mettre une interface physique sur chaque Vswitch. Mais le minimum (pas suffisant à mon sens mais peu importe) c'est un réseau = un vswitch. On aurait un début de segmentation raisonnable des flux. Un début de quelque chose qui ressemble à une mise en oeuvre un peu cohérente d'un firewall.

    je pense tout de même avoir des connaissances en réseau.

    Pas au point du tout sur la sécurité. Même pas le minimum syndical.



  • Sur vsphere, je ne peut pas assigner 1 vmnic, à 2 Vswitch, le net arrive sur nos VMs via une Failover.

    J'ai écrit qu'il faut à minima 3 vswitchs … puisque vous avez 3 zones logiques !
    Ce n'est pas une question de lecture de doc, çà; c'est une question de schéma logique !

    Sur vSphere, on peut avoir des vswitchs non reliés à une carte réseau (physique) ! Cela permet de démarrer une VM connecté à rien, juste pour voir comment elle démarre indépendamment de tous réseau !

    NB : grillé par ccnet !



  • Merci :)

    donc d'après vous, il faut que je crée, un vswitch pour mes VLANS, un pour mon LAN, WAN et DMZ ? le fait est que le net arrive sur la VMnic0, et que je peut pas la partager , j'ai bien essayer d'en créer une nouvelle , mais elle reste désactivée, et sans avoir la main en mode tech support, je ne peut forcer la forcer à passer en Up.

    Je vais me pencher de ce côté en tout cas.

    Oui dans ce domaine , j'avoue ne pas avoir eu les cours adéquates, la sécurité des réseaux interviens en 4ème année.

    Merci pour ces infos claires en tout cas



  • donc d'après vous, il faut que je crée, un vswitch pour mes VLANS, un pour mon LAN, WAN et DMZ ?

    C'est une certitude ! 1 zone logique = 1 switch logique = 1 vswicth en VMware.

    Ca tombe sous le sens !
    (Même si, par sécurité, il faudrait un hyperviseur par zone logique !)


Log in to reply