Forum Linux.debian/ubuntu Proxmox/PFSense serveur Kimsufi

Posté par  . Licence CC By‑SA.
Étiquettes :
1
3
juil.
2019

Bonjour à tous,

Je possède un serveur kimsufi et je souhaite gérer mon réseau local / accès web au travers d'un FW PFSense.

Je souhaiterai que PFSense dispose directement de l'IPv4 publique du kimsufi sans NAT depuis l'hôte mais je me prends la tête depuis maintenant 3j pour accéder à l'internet IPV4 depuis le serveur.

Pour cela j'ai :

  • Configuré l'IPv6 sur l'hôte (vmbr0) et désactivé l'IPv4 sur vmbr0. L'interface de gestion proxmox est bien accessible en IPv6 Only
  • Créer une interface réseau vmbr1 pour le réseau local, sans port associé
  • Crée une VM PFSense avec une interface réseau sur vmbr0 avec l'adresse MAC de la machine kimsufi physique et une interface réseau sur vmbr1

Après l'installation, PFSense récupère bien la config IPv4 sur le port vmbr0. La GW et l'IP est bien configuré cependant je n'ai pas accès à internet depuis le pfsense. Je ne peux pas ping 8.8.8.8

Ai-je oublié quelque chose dans mes étapes de configuration ?

Merci d'avance pour votre aide précieuse

  • # strategie, et virtualisation

    Posté par  . Évalué à 2. Dernière modification le 04 juillet 2019 à 07:38.

    j'aime ton idée de dissocier ipv6 pour le management, ipv4 pour le firewall,
    cependant si l'attribution de l'IP en DHCP fonctionne,
    le reste du trafic risque neanmoins de se bloquer à la carte physique de la machine à cause de l'adresse MAC, qui lui dit de s'arreter là

    Crée une VM PFSense avec une interface réseau sur vmbr0 avec l'adresse MAC de la machine kimsufi physique et une interface réseau sur vmbr1

    pour moi (enfin c'est comme cela que je fais)
    il te faut bien créer une interface reseau sur le vmbr0,
    mais c'est avec une addresse MAC virtuelle qu'il faut le faire, et une nouvelle IP (IP failover, 2euros à l'installation chez kimsufi, voir y a des IP failover gratuite avec le serveur, j'ai quitté kimsufi y a 2 ans, l'offre a peut-etre changé)

    dans l'interface kimsufi, tu vas creer une nouvelle IP failover, definir son adresse MAC
    puis tu mets cette adresse MAC sur ta carte virtuelle (WAN du firewall) qui sera en bridge sur vmbr0

    ensuite il y a un reglage special à faire sur la VM pour lui donner la gateway (cf les modes d'emploi de kimsufi)

    • [^] # Re: strategie, et virtualisation

      Posté par  . Évalué à 1.

      Merci beaucoup de ta réponse.

      En fait le problème principal vient du fait que il n'est plus possible d'avoir d'IP additionnelle sur les Kimsufi, tout comme d'installer ESXI ..
      C'est donc pour ça que je me suis tourné vers l'installation de proxmox et cette configuration.

      Je suis à la base parti de cette page : https://docplayer.fr/60119978-How-to-esxi-sur-kimsufi-avec-une-seule-ipv4-et-une-ipv6.html et j'ai voulu l'adapter à proxmox. Selon cette page, en spoofant l'adresse MAC de l'hôte sur la VM PFsense cela fonctionne et il y a une connexion internet, il doit donc y avoir possibilité d'envoyer le trafic IPV4 sur la VM sans passer par la solution VPN (vu qu'aucune interface n'écoute l'IPv4 sur l'hôte) mais il y a peut être un blocage de base dans linux qui n'est pas présent sur ESXI ?

      • [^] # Re: strategie, et virtualisation

        Posté par  (site web personnel, Mastodon) . Évalué à 4.

        Salut,
        Tu remet l'adresse ipv4 du kimsufi sur le vmbr0 du proxmox (comme à l'origine)
        tu fait une interface virtuel (dumy) sur ton proxmox (tu met vmbr1 avec une adresse ip non routable au proxmox (genre 192.168.76.1/24)
        Tu décides d'une adresse ipv4 pour la partie wan de ton futur pfsense (genre 192.168.76.15/24)
        Dans le proxmox (qui est une debian 9) tu fait des régles iptables qui vont faire du nat des ports voulus en direction de ton pfsense, et une règle qui va faire du masquering pour le trafique sortant de ton pfsense.

        Voici un exemple de ce que je faisais dans le temps (j'ai aussi un pfsense sur un proxmox mais chez soyoustart avec des ipv4 failover) quand j'utilisais qu'une adresse ipv4:

            # Vider les tables actuelles 
    iptables -t filter -F 

    # Vider les règles personnelles 
    iptables -t filter -X 

    # Interdire toute connexion entrante et sortante 
    iptables -t filter -P INPUT DROP 
    iptables -t filter -P FORWARD ACCEPT
    iptables -t filter -P OUTPUT ACCEPT 

    # --- 

    # Ne pas casser les connexions etablies 
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
    iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 

    # Autoriser loopback 
    iptables -t filter -A INPUT -i lo -j ACCEPT 
    iptables -t filter -A OUTPUT -o lo -j ACCEPT 

    # ICMP (Ping) 
    iptables -t filter -A INPUT -p icmp -j ACCEPT 
    iptables -t filter -A OUTPUT -p icmp -j ACCEPT 

    # ---

        Ne pas oublier de mettre les règles d'administration nécessaire sur vmbr0 et vmbr1 

            #init des tables NAT et MANGLE (pas forcément nécessaire)
    iptables -t nat -F
    iptables -t nat -X
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT
    iptables -t nat -P OUTPUT ACCEPT

    iptables -t mangle -F

    iptables -t mangle -X
    iptables -t mangle -P PREROUTING ACCEPT
    iptables -t mangle -P OUTPUT ACCEPT

    #Règles pour le pfsense
    #trafic sortant pfsense
    iptables -t nat -A POSTROUTING -s 192.168.76.15 -o vmbr0 -j SNAT --to IPPROXMOX
    #Redirection de port depuis l'extérieur
    # ssh
    iptables -t nat -A PREROUTING -p tcp -d IPPROXMOX --dport 2002 -j DNAT --to-destination 192.168.76.15:22

    # http
    iptables -t nat -A PREROUTING -p tcp -d IPPROXMOX --dport 80 -j DNAT --to-destination 192.168.76.15  

    # https
    iptables -t nat -A PREROUTING -p tcp -d IPPROXMOX --dport 443 -j DNAT --to-destination 192.168.76.15

  • # VPN ?

    Posté par  (Mastodon) . Évalué à 3. Dernière modification le 04 juillet 2019 à 08:06.

    Ca sert pile-poil à ça un VPN.

    Tu mets un serveur openvpn sur ton kimsuffi, un client openvpn sur ton pfSense, et tu demandes à passer tout le traffic dans le VPN. Et en prime, tu peux mettre un client openVPN sur ton smartphone, et ainsi profiter de la même IP publique, accéder à l'intérieur de ta maison depuis l'extérieur etc.

    Limitation toutefois, si tu as une très grosse bande passante (fibre à 1Gb), ça risque d'être un goulot d'étranglement (le VPN à 1Gb, faut un sacré CPU).

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: VPN ?

      Posté par  . Évalué à 3.

      le VPN à 1Gb, faut un sacré CPU

      Uniquement si le VPN est chiffré.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.