[RESOLU] Virtual IPs et CARP
-
salut salut
Je ne suis pas surpris que cela soit bancal coté esxi :p
Me manque des pattes réseaux.
Ne trouvez vous pas illogique que votre schéma de cluster pf est 3 pattes (wan, lan, synchro) et que sur esxi 1 carte wan ?
Je vous donne des indices, voir la bonne méthode.
- une patte wan = un Vswitch vers wan associé à un carte réseau, par ici la sortie sur l extérieur
- une patte pf to pf = un Vswitch synchro pf à pf
- une patte lan = un Vswitch, la il y aura vos vm lan
avec ce schéma type vous êtes raccord avec le schéma logique du montage d'un cluster pf comme s il était physique, les machines en lan sont ainsi isolé de vos autre réseau grasse au cluster pf qui est entre.
Par ce schéma vous n'aurez plus accès en directe par votre machine physique sur les machines en lan (esxi) mais que par la console esxi.
Quand on vous dit de manière général que virtualiser un pf et qui plus est un cluster de pf vous partez à cout sur dans le mûr, vous en démonter malheureusement l'exemple par votre non maitrise des plusieurs concepts fondamentaux.
- sur le réseaux premièrement
- sur la virtualisation deuxièmement.
- sur la virtualisation avec esxi plus precisement en troisièmement.
Cordialement.
-
Une config VMware correcte (et supporté par VMware) :
- un vswitch pour le management, avec 2 cartes réseaux,
- un ou plusieurs vswitch pour des VM, avec 1 ou 2 ou + cartes réseaux, (pour moi 'LAN', 'LAN1', 'LAN2', …)
- un vswitch pour des VM, sans carte : permet de déconnecter une VM (pour moi 'INTERNE').
Ici, cette logique aboutirait à 5 vswitchs : Management + WAN + SYNC + LAN + 'Interne'.
Et je verrais 3 cartes réseau : 1 pour Management, 1 pour WAN et 1 pour LAN.A la rigueur, on pourrait fusionner Management et LAN, soit un total de 2 cartes réseau.
EDIT/ Déjà écrit par Tatave !
-
(hs)
yes avant le maitre ;o content content ^^
(/hs) -
Le fonctionnement de CARP avec Vmware dépend aussi de la version d'ESX. Et sans paramètres avancés cela ne fonctionne pas avec les réglages par défaut.
-
Bonjour,
Le problème vient du fait que les adresses IP virtuelles ne sont pas autorisées par ESXi il me semble, pour les tests, il faut activer le mode "Espion" sur le vSwitch (cf capture).
Malgré cela, il est conseillé de ne pas virtualiser PFsense … ( je ne vais pas répéter tout ce qui a été dit )Dieweb
-
Oui mais pas seulement. En dessous de la version 4 Update 2 cela ne fonctionne pas semble t il. C'est directement lié à la façon dont fonctionnent les vswitchs.
-
Je suis bien d'accord, mais je ne pense pas qu'il soit en dessous de cette version, si ?
-
Il ne dit pas quelle version il utilise, persuadé qu'il est que le problème est sur Pfsense alors qu'il est dans l'usage de ESX.
Il faut aussi autoriser les adresses forgées. Et il y a une modification à faire dans les paramètres avancés de l'hyperviseur. En fait tout est là :
https://doc.pfsense.org/index.php/CARP_Configuration_Troubleshooting
C'est un peu dommage de donner du tout cuit puisqu'il n'y a pas eu de recherches pertinentes faites sur le problème rencontré. -
il y a un malentendu j'ai l'impression, j'ai cru que vous me demandiez la carte réseau physique (celle qui est réellement dans ma machine et relié a ma box), c'est donc cette configuration que je vous ai montré.
J'ai évidement plusieurs Vswitch, les voici (j'ai d'autres machines que j'ai commencé a installé, ne faites pas attention) :-
Le wan
-
La DMZ
-
Le LAN (derrière la DMZ, pas traité ici)
-
Le PFSYNC (pour CARP)
Pour ce qui est de ma version d'eux, j'ai ESXi 6.0 (qui viens juste de sortir :)
-
-
Oui en effet, le problème venait du mode espion sur les vswitch, merci beaucoup a tout le monde pour votre aide !
-
il y a un malentendu j'ai l'impression
Nous faisons avec ce que vous voulez bien donner comme information. Nous n’arrêtons pas d'expliquer qu'il faut donner des descriptions complètes. Même si le lien ne vous semble pas évident.
Oui en effet, le problème venait du mode espion sur les vswitch
Je n'ai jamais douté de l'origine du problème …
L'essentiel étant que cela soit réglé et fonctionnel.
