[ URL      ] : https://notes.fr/2022/04/07/ESXi-Reseaux-cloisonnes-pfSense/
[ CATEGORY ] : /Virtualisation/VMware
[ TAGS     ] : , , ,
[ AUTHOR   ] : 4L1N3

ESXi - PfSense et réseaux cloisonnés

Mise en place de réseaux cloisonnés sur ESXi, avec un LAN pour acceuillir des VM et un WAN pour Pfsense

Prérequis

Avant de commencer il est necéssaire d’avoir :

  • Un serveur dédiée avec ESXi d’installé
  • 2 adresses IP :
    • votre adresse publique du serveur
    • une IP failover avec son adresse MAC associée
  • 1 VM avec Pfsense d’installé

Pour la suite de la configuration de Pfsense :

  • 1 VM avec un OS pour utiliser un navigateur pour accéder au client web de Pfsense

Mettre en place le réseau sous ESXi

Il faut 2 réseaux distincts, un premier pour l’interface WAN de pfSense qui sera connecté vers Internet avec une IP failover et un second réseau pour l’interface LAN de pfSense afin de connecter toutes les VM.

Il faudra donc créer :

  • Un LAN isolée pour les VM
  • Un WAN pour sortir vers Internet
  • Pfsense sera à la fois connecté au LAN et au WAN

Les avantages sont :

  • Une seule IP FailOver à louer
  • Réseau LAN privé car il sera invisible sur le net via le NAT
  • Toutes les VM du LAN accèderont à Internet via pfSense.

Les inconvénients ou points à améliorer sont :

  • Pas de redondance IP ici (car 1 seule IP FailOver)
  • Connexion internet mutualisée pour toutes les VM

Création du WAN

Par défaut sous ESXi il existe un vSwitch0 connecté à l’interface réseau physique de votre serveur (et donc aussi à ESXi) qui donne accès à Internet, Pfsense devra se connecter dessus via le WAN ainsi qu’à un autre vSwitch pour la connexion au LAN.

Ce vSwitch0 par défaut possède déjà un groupe de ports appelé “Management Network”. Le groupe de ports est associé à l’adresse publique du serveur physique et consitue le WAN. L’adaptateur physique vmnic0 permet d’aller sur Internet.

Pour ajouter un groupe de ports pour Pfsense (pas besoin de créer ici un autre vSwitch puisqu’on va utiliser celui qui est déjà relié à Internet) :

Dans Mise en réseau > Groupes de ports > Ajouter
Choisissez ensuite un nom (ici WAN) et le comutateur par défaut vSwitch0.

La topologie du vSwitch0 devrait ressembler à ceci :

Création du LAN

Il faut créer un nouveau vSwitch, il ne doit pas être relié à une interface réseau physique du serveur, le but est d’isoler ce LAN d’Internet (car ce traffic doit passer par Pfsense)

Dans Mise en réseau > Commutateurs Virtuels > Ajouter
Choisissez un nom (ici vSwitchLAN) et décocher “Liaison montante” (supprimez-le) pour qu’il ne soit pas relié à une carte réseau du serveur.

Dans Mise en réseau > Groupes de ports > Ajouter
Choisissez un nom (ici LAN) et choisissez le comutateur virtuel nouvellement créé (ici vSwitchLAN).

La topologie du vSwitchLAN devrait ressembler à ceci :

Connexion des VM et de Pfsense

Une fois la création terminée, vous pouvez paramétrer votre VM pfSense avec deux interfaces réseaux au minimum :

  • Une interface sera connectée sur le second vSwitch (celui que vous venez de créer, ici le vSwitchLAN de votre réseau LAN).
  • Une interface sera connectée sur le vSwitch0 (celui qui accède directement à Internet, le WAN) et préciser l’adresse MAC associée à l’IP Failover.

Sur la VM Pfsense, cliquer sur Modifier et dans la partie adaptateurs réseaux :

Ensuite il faut connecter toutes les VM sur le LAN uniquement.

Résumé

Dans Mise en réseau > Commutateurs virtuels vous devrier avoir :

Dans Mise en réseau > Groupes de ports vous devrier avoir :

En cliquant sur le vSwitch0, vous devriez avoir cette topologie :

En cliquant sur le vSwitchLAN, vous devriez avoir cette topologie :

Configuration de Pfsense :

http://n0tes.fr/2022/04/10/ESXi-et-Pfsense-configuration-reseau/

Documentation

https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-esxi.html
https://all-it-network.com/lab-esxi-pfsense/
https://computerz.solutions/mise-en-place-pfsense-sur-esxi-dedie-online-net/
https://computerz.solutions/mise-en-place-pfsense-sur-esxi-dedie-online-net/

> Partager <