Forum Linux.général proxmox 4.2 - pfsense 2.3 config réseau

Posté par . Licence CC by-sa
Tags :
1
5
juin
2016

Bonjour,

Comme indiqué dans des précédents postes, je cherche a me créer une infrastructure personnel sur base de serveur dédié et hyperviseur. J'avais eu dans l'idée de partir sur OpenStack mais pour faire court OpenStack sur serveur dédié avec une seul ip public c'est un peut compliqué…
J'ai donc décidé de partir sur une infrastructure avec proxmox 4.2 et pfsense 2.3. Chose un peut plus "classique" .

Mon but est d'avoir une infrastructure ressemblant plus ou moins à ça :

VM1 --|
VM2 --|-- fierwall (pfsense 2.3)—proxmox 4.2—public IP
VM3 --|

les vm et une/des patte(s) du pfsense seront sur un réseau de type 192.168.x.x /24

Le réseau WAN, entre le pfsense et proxmox sera 10.0.0.0 /30. (pfsense = 10.0.0.2 | proxmox = 10.0.0.1)
tous ceux qui arrivent sur le proxmox sera redirigé vers le pfsense sauf quelques ports (interface web et ssh) grâce des iptables.

J'ai réussi à installer proxmox et pfsense, mais j'ai un problème tant pour configurer le réseaux 10.0.0.0 : impossible de pouvoir contacter proxmox depuis pfsense et inversement…

Pourriez vous me dire où j'ai fait une erreur SVP ?

CONF INTERFACE PROXMOX

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto vmbr1
iface vmbr1 inet static
address 10.0.0.1
netmask 255.255.255.252
bridge_ports none
bridge_stp off
bridge_fd 0
post-up /etc/pve/kvm-networking.sh
post-down /etc/pve/kvm-networking-down.sh>

auto vmbr0
iface vmbr0 inet static
address 142.X.X.X
netmask 255.255.255.0
gateway 142.X.X.X
broadcast 142.X.X.X
bridge_ports eth0
bridge_stp off
bridge_fd 0
network 142.X.X.X

vmbr1 Linux Bridge Active:Yes Autostart:yes Ports/Slaves: IP:10.0.0.1 Mask 255.255.255.252 Gateway:

Conf pfsense
WAN -> em0 -> v4: 10.0.0.2 /30 (conf manuel)
LAN -> em1 -> v4: 192.168.1.1 /24 (conf automatique)

ping pfsense vers proxmox impossible
telnet du proxmox vers pfsens sur le 80 : impossible (le ping est désactivé par défaut sur le pfsense)

Je vois pas du tout ce que j'ai pu faire comme erreur …
Si il y a besoin d'autre info, je fournis sans problème.

Merci de votre aide.

  • # Inversion de NICs?

    Posté par . Évalué à 2.

    Salut,
    Je n'y connais rien à proxmox mais je fais tourner un pfSense sur mon firewall physique qui dispose parmi ses 3 cartes réseau d'une carte double ports qui est donc vue par pfSense comme 2 cartes utilisant le même driver.
    J'ai déjà constaté lors de réinstallations à quel point il était facile de se gourer dans l'affectation des cartes (em0 et em1 chez toi), d'autant qu'elles ont probablement des adresses MAC très proches l'une de l'autre.
    Donc si j'étais toi, je commencerais par vérifier la cohérence des adresses MAC entre ta config proxmox et la config pfSense.

    • [^] # Re: Inversion de NICs?

      Posté par . Évalué à 1.

      Bonjour,

      Effectivement, je n'avais pas pensé aux adresses MAC.
      Je vérifie ça ce soir.

    • [^] # Re: Inversion de NICs?

      Posté par . Évalué à 1.

      ok mon premier problème venait effectivement de là.
      Confusion entre les cartes réseaux pfsense et proxmox.

      merci

  • # Pourquoi /30?

    Posté par . Évalué à 1.

    Tout est dans le titre… Pourquoi tiens-tu forcément à t'embêter en restreignant à ce point ta classe A avec un masque à /30 ?

    • [^] # Re: Pourquoi /30?

      Posté par . Évalué à 1.

      Bonjour,

      Tout simplement par ce que le dans l'idée sur ce réseau je n'ai besoin que de deux IP, l'interface interne du Proxmox et celle du PFsense (donc /30).

      Mais à vrais dire, avant de poster ce message, j'avais fait le test avec un réseau en 172.16.0.x (.1 et .2) /24 et j'avais eu le même problème.

  • # interface WAN de ta VM Pfsense

    Posté par . Évalué à 3.

    tu configures le reseau WAN du proxmox sur l'interface vmbr1, c'est tres bien, c'est fait pour ca…

    mais l'interface WAN de ta VM PfSense, tu l'as bien mise sur vmbr1 aussi (et pas sur vmbr0) ?

    ensuite tu peux ajouter un vmbr2 brancher sur l'interface dummy, et mettre tes interfaces LAN sur ce vmbr2.

    • [^] # Re: interface WAN de ta VM Pfsense

      Posté par . Évalué à 1. Dernière modification le 06/06/16 à 19:04.

      Bonjour,

      Je pense que c'est ce que voulait dire cyberjunkie.

      Et effectivement je pense que le problème vient de là.
      Jusqu'à présent, j'ai :

      Net1 = vmbr1 = em1 = 192.168.1.1 = 32:62:30:64:65:33
      Net0 = vmbr0 = em0 = 10.0.0.2 = 66:33:62:37:33:38

      Or il faudrait que j'ai l'inverse non ?

      Net1 = vmbr1 = em1 = 10.0.0.2/30 = 32:62:30:64:65:33
      Net0 = vmbr0 = em0 = 192.168.1.1/24 = 66:33:62:37:33:38

      Et je ne comprend pas bien la dernière remarque.
      L'interface qui aura l'IP en 192.168.1.1 n'est pas déjà une interface pour le LAN non ?
      Et vmbr2 servirait à avoir un deuxième interface LAN pour un réseau en 192.168.2.0/24 …?

      Je m'embrouille …

      • [^] # Re: interface WAN de ta VM Pfsense

        Posté par . Évalué à 3.

        Or il faudrait que j'ai l'inverse non ?

        et bien il faut surtout que la carte WAN du pfsense cause à la carte "WAN" de ton serveur.

        donc si tu mets 10.0.0.1 sur le vmbr1 du serveur, il faut mettre pfsense sur vmbr1 avec 10.0.0.2

        et le vmbr2 c'est pour eviter de mettre tes VM sur le reseau de l'hebergeur (puisque vmbr0 c'est la carte physique avec laquelle tu geres le serveur)

        donc faire un proxmox avec 3 cartes :
        vmbr0 sur eth0 pour le management du serveur
        vmbr1 sur eth1 (ou dummy0 suivant les serveurs) pour l'interface WAN avec le pfsense
        vmbr2 sur eth2 (ou dummy1 suivant les serveurs) pour l'interface LAN de pfsense et des VMs

        il restera un peu de config sur le serveur lui meme pour rediriger certains flux entrant de l'IP publique vers l'IP WAN du pfsense

      • [^] # Re: interface WAN de ta VM Pfsense

        Posté par . Évalué à 1.

        OK c’était bien cela, j'avais mis l'ip a mauvaise 10.0.0.2 sur la mauvaise carte le ping pfsense -> proxmox fonctionne et pfsense joint bien l'internet.

        Je ferai un petit récapitulatif quand j'aurai fini mais j'ai encore un petit problème.

        Je souhaiterai rediriger tout les flux qui arrivent sur mon proxmox vers tout les ports vers le pfsense sauf le port 8006 et un autre port qui sera l'accès en ssh du proxmox ainsi que activer l'interface web du pfsense depuis le wan.

        Sur le proxmox j'ai donc exécuté les commandes suivantes pour rediriger pour l'instant seulement le port 443 de l’interface web du pfsense.

        echo 1 > /proc/sys/net/ipv4/ip_forward
        iptables -t nat -A POSTROUTING -s '10.0.0.0/30' -o vmbr0 -j MASQUERADE
        iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 443 -j DNAT --to 10.0.0.2:443

        Puis, j'ai voulu activer l'interface web depuis le wan avec la commande suivante sur le pfsense:

        easyrule pass wan tcp 0.0.0.0 10.0.0.2 443

        Or cela ne fonctionne pas… (telnet 10.0.0.2 443 depuis le proxmox ideme) où me suis je encore planté svp?
        C'est bien la bonne carte non ?

        merci par avance.

        • [^] # Re: interface WAN de ta VM Pfsense

          Posté par . Évalué à 2.

          Or cela ne fonctionne pas… (telnet 10.0.0.2 443 depuis le proxmox ideme) où me suis je encore planté svp?
          C'est bien la bonne carte non ?

          l'iptables du proxmox est bon, mais pour ce qui arrive de l'exterieur de ton proxmix et qui entre par vmbr0 vers le port 443.

          en l'occurence quand tu fais un telnet 10.0.0.2 443 depuis le proxmox
          tu vas directement sur la carte vmbr1 tenter de causer à pfsense,

          donc c'est probablement sur le pfsense qu'il faut adapter la configuration (je dirais que le plus simple reste de relancer l'assitant d'installation pour cocher les bonnes cases en repondant aux questions.

          de plus exposer le port 443 depuis l'exterieur (WAN) du pfsense est une faille de securité,

          je ne l'exposerais qu'à ton IP publique, voire mieux, pas du tout,
          et tu fais un tunnel SSH vers proxmox pour rebondir ensuite sur le port 443 du pfsense.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.