«

»

Août 01

Pfsense : Mise en place d’un routeur frontal sur un ESXi dédié

Pfsense : Mise en place d’un routeur frontal sur un ESXi dédié

Pfsense : Installation et configuration

 

Beaucoup cherche à mettre en place un serveur dédié pour des tests, laboratoire ou projets d’étudiants. Il est simple de mettre en place un hyperviseur VMware mais moins de fournir un accès internet à toutes ses machines virtuelles.

 

Dans ce tutoriel « Pfsense : Mise en place d’un routeur frontal sur un ESXi dédié« , nous verrons les différentes étapes afin de mettre en place Pfsense pour en faire une passerelle internet à vos machines virtuelles.

Pfsense CE (Community Edition) est un système OpenSource fournissant tous les services d’un routeur / pare-feu. Si vous ne l’avez pas installé, suivi ce tutoriel.

 

Ce tutoriel s’applique pour un serveur dédié chez online.net. Il peut également être utilisé pour des serveurs dédiés d’autres fournisseurs avec quelques subtilités qui leurs sont propres.

Nous aborderons les sujets suivants :

  1. Prérequis sur votre serveur dédié
  2. Configuration réseau de ESXi
  3. Configuration réseau de Pfsense
  4. Règle de NAT sous Pfsense
  5. Problèmes rencontrés


1) Prérequis

 

Afin de pouvoir commencer, vous devez avoir :

  • Un serveur dédié chez online.net, installé sous VMware ESXi 5.x / 6.x et prêt à l’emploi
  • 1 adresse IP FaiIlover ainsi que son adresse MAC virtuelle sous le modèle « VMware » (nous verrons comment le faire)
  • Le client vSphere afin de pouvoir administrer votre hyperviseur
  • Avoir installé Pfsense (voir ce tutoriel pour l’installation)

 

L’adresse IP FailOver est importante, c’est elle qui sera affecté à la carte WAN de votre Pfsense. Vos connexions vers internet seront natés sur cette adresse IP. Pour l’obtenir, connectez-vous sur votre console Online.net.

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Sur la ligne correspondante à votre serveur, cliquez sur Administrer

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Cliquez sur Failover du menu à gauche

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Cliquez sur COMMANDER DES ADRESSES IP

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Un très large choix d’adresse IP vous est proposés. Sélectionnez celle que vous souhaitez et que cliquez sur COMMANDER D’IP FAILOVER

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Un message vous signal que l’adresse IP sera facturé à l’installation et mensuellement.

Cliquez sur COMMANDER

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Sur votre console online.net, retournez dans le menu Failover

Votre adresse IP sera visible à gauche. Elle sera de couleur verte pour indiquer qu’elle est disponible et attribuable

Glissez le bloc de l’adresse IP vers le serveur sur laquelle vous souhaitez l’attribuer et cliquez sur MISE A JOUR

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Valider l’opération en cliquant sur MISE A JOUR

Maintenant que l’adresse IP Failover est attribué à notre serveur dédié, nous allons configurer son adresse MAC pour être compatible avec VMware

 

Pour cela, rendez-vous sur la page de votre serveur

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Sur la ligne de votre IP Failover, cliquez sur Ajouter une adresse MAC

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Les 6 premiers digits de l’adresse MAC sont uniques par éditeurs. Nous allons donc générer une adresse MAC VMware commençant par 00:50:56

Pour cela, cliquez sur la roue dentée puis AJOUTER UNE ADRESSE MAC VIRTUELLE POUR VMWARE

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Notez bien l’adresse MAC de votre IP FailOver, nous l’utiliserons dans la configuration de la VM Pfsense.

 

2) Configuration réseau de ESXi

 

Passons maintenant à la configuration réseau de notre ESXi au travers des vSwitch. Un vSwitch c’est quoi ? C’est un switch virtuelle permettant à l’hyperviseur de segmenter nos réseaux.

Nous allons donc créer un nouveau vSwitch qui sera vSwitch2 sur l’exemple. J’ai nommé le groupe de port « Labvmware »

Attention : ne surtout pas affecter de carte réseau à ce vSwitch.

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

L’idée sera de placer la patte WAN de Pfsense dans le groupe de port « wan » du vSwitch0 et la patte LAN de Pfsense dans le groupe de port « Labvmware » du vSwitch2. Pfsense effectuera ensuite le NAT de vos VM vers internet.

Sur le screenshot, le vSwitch1 (Prod Web) n’est pas utilisé dans ce tutoriel.

Avant de passer à l’étape suivante, il faut modifier l’adresse MAC de l’interface réseau qui est connectée sur le vSwitch0, celui qui a internet. Vous devez y saisir l’adresse MAC virtuelle au format VMware généré sur votre console online.net. L’opération ne peut être réalisé que si votre machine virtuelle est éteinte.

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Dans les paramètres de votre VM Pfsense, sélectionnez la carte réseau connecté au réseau nommé « wan »

Sélectionnez Manuel pour l’adresse MAC

Copiez-collez l’adresse MAC généré sur votre console online.net

Cliquez sur OK pour valider les changements et démarrer votre VM

3) Configuration réseau de Pfsense

 

Passons maintenant à la configuration de votre Pfsense.

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Connectez-vous sur la console de votre Pfsense, puis la touche  » 8  » pour entrer dans le shell

Passez les commandes suivantes :

 

route del default

Cette commande permet de nettoyer toute route configurée sur votre Pfsense

 

route add -net 192.168.35.1/32 -iface em0

Cette commande permet d’ajouter la route par défaut à votre interface EM0, interface connecté à internet qui a votre adresse IP Failover. Remplacer l’adresse IP  « 192.168.35.1 » de la commande par l’adresse IP de votre ESXi en terminant par .1

 

route add default 192.168.35.1

Cette commande permet d’ajouter la route par défaut à utiliser par votre Pfsense. Encore une fois, remplacer l’adresse IP  « 192.168.35.1 » de la commande par l’adresse IP de votre ESXi en terminant par .1

 

Maintenant que nous avons configuré les routes par défaut, passons  à la configuration de l’interface réseau

Connectez-vous à la console

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Généralement, si vous ne l’avez pas changé, c’est https://192.168.1.1/

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Une fois authentifié sur l’interface web de Psense, l’assistant de configuration se lance

Cliquez sur >> Next

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Cliquez sur >> Next

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Entrez le nom de votre Pfsense, le domain (si besoin) et une adresse DNS principale (j’utilise ceux de google qui sont joignable sans problème)

Cliquez sur >> Next

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Laissez le Time server hostname par défaut

Sélectionnez votre Timezone

Cliquez sur >> Next

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Cette page vous permet de configurer l’interface WAN de votre Pfsense

Sélectionnez Static dans le menu déroulant

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Pour son adresse IP, entrez l’adresse IP Failover pris sur online.net avec un masque en 32

Votre gateway doit être l’adresse IP principale de votre serveur dédié termiant par .1

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

Laissez les paramètres par défaut. Je vous conseil de changer l’adresse LAN ultérieurement

Cliquez sur >> Next

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Entrez un mot de passe pour l’accès à l’interface web

Cliquez sur >> Next

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

Les paramètres ont été prit en compte

Cliquez sur >> Reload

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Patientez durant le chargement des nouveaux paramètres…

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

La configuration de la partie réeau est maintenant terminée

Il est nécessaire d’effectuer une règle de NAT pour autoriser vos VMs à accéder à internet

 

4) Règle de NAT sous Pfsense

 

Afin de permettre à vos machines virtuelles d’accéder à internet, nous allons configurer le NAT sous Pfsense

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Rendez-vous dans le menu Firewall \ NAT

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Cliquez sur Outbound

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Cochez la case Manual Outbound NAT rule generation (AON – Advanced Outbound NAT)

Cliquez sur Save

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Les paramètres doivent être appliqués

Cliquez sur Apply Changes

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Nous allons ajouter notre règle de NAT

Cliquez sur Add

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Sélectionnez les paramètres suivants :

  • Interface : WAN
  • Protocole : any
  • Source : Any
  • Destination : Any

 

Validez en cliquant sur Add

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Les paramètres doivent être appliqués

Cliquez sur Apply Changes

 

La configuration de Pfsense en tant que routeur frontal est maintenant terminée.

Pensez à bien placer une carte réseau de vos machines virtuelles dans le même vSwitch

 

 

 

5) Problèmes rencontrés

 

Lors de la configuration, il m’est arrivé d’avoir mon adresse IP Failover désactivé par le service technique Online.net.

Cela est dû à la configuration du serveur DHCP v6 de Pfsense.

Pensez à désactiver cette option. Le service technique online.net vous réactivera l’adresse IP Failover en les contactant

 

Pfsense : Mise en place d'un routeur frontal sur un ESXi dédié

 

Rendez vous dans Services \ DHCPv6 Server & RA

Décocher la case DHCPv6 Server

 

N’hésitez pas à me faire part de vos problèmes rencontrés afin de les partager.

 

 

 

 

LinkedInFacebookTwitterGoogle+EmailGoogle GmailPartager

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser les balises HTML suivantes : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>