Pfsense : Mise en place d’un routeur frontal sur un ESXi dédié

 

Beaucoup cherche à mettre en place un serveur dédié pour des tests, laboratoire ou projets d’étudiants. Il est simple de mettre en place un hyperviseur VMware mais moins de fournir un accès internet à toutes ses machines virtuelles.

Dans ce tutoriel « Pfsense : Mise en place d’un routeur frontal sur un ESXi dédié« , nous verrons les différentes étapes afin de mettre en place Pfsense pour en faire une passerelle internet à vos machines virtuelles.

Pfsense CE (Community Edition) est un système OpenSource fournissant tous les services d’un routeur / pare-feu. Si vous ne l’avez pas installé, suivi ce tutoriel.

 

Ce tutoriel s’applique pour un serveur dédié chez online.net. Il peut également être utilisé pour des serveurs dédiés d’autres fournisseurs avec quelques subtilités qui leurs sont propres.

Nous aborderons les sujets suivants :

1. Prérequis sur votre serveur dédié
2. Configuration réseau de ESXi
3. Configuration réseau de Pfsense
4. Règle de NAT sous Pfsense
5. Problèmes rencontrés

1) Prérequis

Afin de pouvoir commencer, vous devez avoir :

• Un serveur dédié chez online.net, installé sous VMware ESXi 5.x / 6.x et prêt à l’emploi
• 1 adresse IP FaiIlover ainsi que son adresse MAC virtuelle sous le modèle « VMware » (nous verrons comment le faire)
• Le client vSphere afin de pouvoir administrer votre hyperviseur
• Avoir installé Pfsense (voir ce tutoriel pour l’installation)

 

L’adresse IP FailOver est importante, c’est elle qui sera affecté à la carte WAN de votre Pfsense. Vos connexions vers internet seront natés sur cette adresse IP. Pour l’obtenir, connectez-vous sur votre console Online.net.

 

Sur la ligne correspondante à votre serveur, cliquez sur Administrer

 

Cliquez sur Failover du menu à gauche

 

 

Cliquez sur COMMANDER DES ADRESSES IP

 

 

Un très large choix d’adresse IP vous est proposés. Sélectionnez celle que vous souhaitez et que cliquez sur COMMANDER D’IP FAILOVER

 

 

Un message vous signal que l’adresse IP sera facturé à l’installation et mensuellement.

Cliquez sur COMMANDER

 

 

Sur votre console online.net, retournez dans le menu Failover

Votre adresse IP sera visible à gauche. Elle sera de couleur verte pour indiquer qu’elle est disponible et attribuable

Glissez le bloc de l’adresse IP vers le serveur sur laquelle vous souhaitez l’attribuer et cliquez sur MISE A JOUR

 

 

Valider l’opération en cliquant sur MISE A JOUR

Maintenant que l’adresse IP Failover est attribué à notre serveur dédié, nous allons configurer son adresse MAC pour être compatible avec VMware

 

Pour cela, rendez-vous sur la page de votre serveur

 

 

Sur la ligne de votre IP Failover, cliquez sur Ajouter une adresse MAC

 

 

Les 6 premiers digits de l’adresse MAC sont uniques par éditeurs. Nous allons donc générer une adresse MAC VMware commençant par 00:50:56

Pour cela, cliquez sur la roue dentée puis AJOUTER UNE ADRESSE MAC VIRTUELLE POUR VMWARE

 

 

Notez bien l’adresse MAC de votre IP FailOver, nous l’utiliserons dans la configuration de la VM Pfsense.

2) Configuration réseau de ESXi

 

Passons maintenant à la configuration réseau de notre ESXi au travers des vSwitch. Un vSwitch c’est quoi ? C’est un switch virtuelle permettant à l’hyperviseur de segmenter nos réseaux.

Nous allons donc créer un nouveau vSwitch qui sera vSwitch2 sur l’exemple. J’ai nommé le groupe de port « Labvmware »

Attention : ne surtout pas affecter de carte réseau à ce vSwitch.

 

L’idée sera de placer la patte WAN de Pfsense dans le groupe de port « wan » du vSwitch0 et la patte LAN de Pfsense dans le groupe de port « Labvmware » du vSwitch2. Pfsense effectuera ensuite le NAT de vos VM vers internet.

Sur le screenshot, le vSwitch1 (Prod Web) n’est pas utilisé dans ce tutoriel.

Avant de passer à l’étape suivante, il faut modifier l’adresse MAC de l’interface réseau qui est connectée sur le vSwitch0, celui qui a internet. Vous devez y saisir l’adresse MAC virtuelle au format VMware généré sur votre console online.net. L’opération ne peut être réalisé que si votre machine virtuelle est éteinte.

 

 

Dans les paramètres de votre VM Pfsense, sélectionnez la carte réseau connecté au réseau nommé « wan »

Sélectionnez Manuel pour l’adresse MAC

Copiez-collez l’adresse MAC généré sur votre console online.net

Cliquez sur OK pour valider les changements et démarrer votre VM

3) Configuration réseau de Pfsense

 

Passons maintenant à la configuration de votre Pfsense.

 

 

Connectez-vous sur la console de votre Pfsense, puis la touche  » 8  » pour entrer dans le shell

Passez les commandes suivantes :

route del default

Cette commande permet de nettoyer toute route configurée sur votre Pfsense

route add -net 192.168.35.1/32 -iface em0

Cette commande permet d’ajouter la route par défaut à votre interface EM0, interface connecté à internet qui a votre adresse IP Failover. Remplacer l’adresse IP  « 192.168.35.1 » de la commande par l’adresse IP de votre ESXi en terminant par .1

route add default 192.168.35.1

Cette commande permet d’ajouter la route par défaut à utiliser par votre Pfsense. Encore une fois, remplacer l’adresse IP  « 192.168.35.1 » de la commande par l’adresse IP de votre ESXi en terminant par .1

 

Maintenant que nous avons configuré les routes par défaut, passons  à la configuration de l’interface réseau

Connectez-vous à la console

 

 

Généralement, si vous ne l’avez pas changé, c’est https://192.168.1.1/

 

Une fois authentifié sur l’interface web de Psense, l’assistant de configuration se lance

Cliquez sur >> Next

 

 

Cliquez sur >> Next

 

 

Entrez le nom de votre Pfsense, le domain (si besoin) et une adresse DNS principale (j’utilise ceux de google qui sont joignable sans problème)

Cliquez sur >> Next

 

 

Laissez le Time server hostname par défaut

Sélectionnez votre Timezone

Cliquez sur >> Next

 

 

Cette page vous permet de configurer l’interface WAN de votre Pfsense

Sélectionnez Static dans le menu déroulant

 

 

Pour son adresse IP, entrez l’adresse IP Failover pris sur online.net avec un masque en 32

Votre gateway doit être l’adresse IP principale de votre serveur dédié termiant par .1

 

Laissez les paramètres par défaut. Je vous conseil de changer l’adresse LAN ultérieurement

Cliquez sur >> Next

 

 

Entrez un mot de passe pour l’accès à l’interface web

Cliquez sur >> Next

 

Les paramètres ont été prit en compte

Cliquez sur >> Reload

 

 

Patientez durant le chargement des nouveaux paramètres…

 

 

La configuration de la partie réeau est maintenant terminée

Il est nécessaire d’effectuer une règle de NAT pour autoriser vos VMs à accéder à internet

4) Règle de NAT sous Pfsense

Afin de permettre à vos machines virtuelles d’accéder à internet, nous allons configurer le NAT sous Pfsense

 

 

Rendez-vous dans le menu Firewall \ NAT

 

 

Cliquez sur Outbound

 

 

Cochez la case Manual Outbound NAT rule generation (AON – Advanced Outbound NAT)

Cliquez sur Save

 

Les paramètres doivent être appliqués

Cliquez sur Apply Changes

 

Nous allons ajouter notre règle de NAT

Cliquez sur Add

 

 

Sélectionnez les paramètres suivants :

• Interface : WAN
• Protocole : any
• Source : Any
• Destination : Any

 

Validez en cliquant sur Add

 

 

Les paramètres doivent être appliqués

Cliquez sur Apply Changes

 

La configuration de Pfsense en tant que routeur frontal est maintenant terminée.

Pensez à bien placer une carte réseau de vos machines virtuelles dans le même vSwitch

5) Problèmes rencontrés

 

Lors de la configuration, il m’est arrivé d’avoir mon adresse IP Failover désactivé par le service technique Online.net.

Cela est dû à la configuration du serveur DHCP v6 de Pfsense.

Pensez à désactiver cette option. Le service technique online.net vous réactivera l’adresse IP Failover en les contactant

 

 

Rendez vous dans Services \ DHCPv6 Server & RA

Décocher la case DHCPv6 Server

 

N’hésitez pas à me faire part de vos problèmes rencontrés afin de les partager.