pfSense 2.4.3 : IP-Failover sur un ESXi chez OVH

I. Présentation

Avec une seule IPv4, un serveur dédié à manager et potentiellement des services à publier au travers de machines virtuelles, ce n'est pas toujours simple de s'en sortir... On peut très bien imaginer attribuer une IPv6 à l'hyperviseur pour l'administration et conserver l'adresse IPv4 pour publier nos services, au travers d'un firewall virtuel.

Dans le cadre de la location d'un serveur dédié chez OVH, vous pouvez bénéficier d'un nombre conséquent d'IPv4, gratuitement. Enfin presque. En fait, il n'y aura pas de loyer mensuel sur cette option car c'est inclus, mais il y a un coût de mise en service de 2,40€ TTC par adresse IP supplémentaire.

L'objectif de cette configuration est de conserver l'adresse IPv4 fournit par OVH pour administrer l'hyperviseur VMware ESXi via le vSphere Client. Tout en ayant une seconde adresse IPv4 pour sortir sur Internet pour les machines virtuelles. Pour protéger l'accès à nos machines virtuelles, comme on le ferait finalement sur une infrastructure on-premise, on va positionner en frontal un firewall.

Le rôle de firewall sera assuré par la solution pfSense, où l'interface WAN se verra attribuer l'adresse IP-Failover, et où le LAN isolé et NATé permettra aux VMs de sortir sur Internet. On pourrait même imaginer avoir plusieurs LANs isolés, le tout contrôlé par le firewall. L'intérêt est d'acquérir/louer qu'une seule IP publique supplémentaire, mais on pourrait en prendre plusieurs et envisager de la redondance.

Pour mener à bien cette configuration, il nous faut :

  • Un serveur dédié chez OVH (ou SoYouStart)
  • Une adresse publique IP-Failover et l'adresse MAC virtuelle associée
  • Une machine virtuelle pfSense
  • Une machine virtuelle cliente pour administrer le pfSense et tester l'accès au web
  • Un serveur VMware ESXi, en version 6.5 et administré par le vSphere Web Client dans mon cas

Si l'on fait abstraction de la couche virtuelle, ça nous donne le schéma suivant :

Pour des raisons de confidentialité, certaines données sont masquées. Voici les données que nous utiliserons :

  • IP publique OVH dédiée à la gestion ESXi : 50.50.50.1
  • Passerelle OVH : 50.50.50.254
  • IP Failover acquise en supplément : 90.90.90.90
  • Adresse MAC virtuelle du failover : 00:50:56:0a:16:0e

Voilà, maintenant nous allons commencer...

II. Configurer l'IP-Failover sur OVH

Remarque : Nous partons du principe que vous avez déjà commandé votre IP-Failover.

Sur votre espace client OVH, accédez au menu "Dédié" et ensuite sur la gauche cliquez sur "IP".

La liste de vos IP va s'afficher, avec l'une qui sera mentionnée par l'icône "FO" pour "IP Failover", c'est celle-ci qui nous intéresse.

Tout au bout de la ligne sur la droite, cliquez sur les trois points, puis "Ajouter une MAC virtuelle".

Sélectionnez le type "vmware" et indiquez le nom d'hôte du serveur qui va bénéficier de cette IPv4 et de cette MAC. Validez.

Il faut ensuite patienter quelques minutes...

Le message "Une nouvelle MAC virtuelle a été générée et sera disponible sur l'IP X.X.X.1 dans quelques minutes." va s'afficher et l'adresse MAC sera indiquée, comme ceci :

Notez cette adresse MAC car nous allons dès maintenant la configurer sur notre VM firewall.

III. Configurer l'adresse MAC statique sur la VM

Je ne vais pas détailler ici la procédure de création d'une machine virtuelle, ni l'installation de pfSense ou encore des vSwitchs dans VMware. Nous partons du principe que vous avez une machine virtuelle pfSense avec deux cartes réseau :

  • Une carte réseau rattachée à un vSwitch pour le WAN, qui utilise l'adaptateur physique de votre serveur dédié OVH (ce vSwitch est déjà existant si vous avez utilisé l'installation ESXi via OVH) - C'est sur cette carte virtuelle du firewall que l'on va attribuer l'IP-Failover

  • Une carte réseau rattachée à un vSwitch pour le LAN, interne à la couche de virtualisation c'est-à-dire qu'il n'a pas d'adaptateur physique, il faudra passer par le firewall pour accéder à Internet

Nous allons maintenant attribuer l'adresse MAC fournie par OVH sur la carte WAN du firewall pfsense. Pour cela, vous devez éteindre la VM car ce n'est pas possible "à chaud".

Ensuite, effectuez un clic droit sur la VM et "Modifier les paramètres".

Déroulez les options de la carte réseau WAN, et passez l'adresse MAC sur "Manuel". Au sein du champ sur la droite, renseignez l'adresse MAC. Comme ceci :

Validez la configuration et vous pouvez relancer votre VM.

IV. pfSense : Interface WAN et routage

Sur mon serveur dédié, j'ai également une machine virtuelle Windows 10 connectée sur le LAN isolé. L'adresse IP par défaut du LAN pfSense est 192.168.1.1/24, je lui ai donc attribué l'adresse IP 192.168.1.2/24 ce qui permet de se connecter sur l'interface de gestion du pfsense, en https.

Cet accès va faciliter la configuration de la carte WAN et surtout évitera d'y revenir plus tard. Étonnamment, via l'interface web on peut définir un masque /32 sur une interface mais pas via la configuration en shell où l'on peut seulement jusqu'à /31. Du coup, si on configure via le Shell il faudrait revenir sur l'interface ensuite pour rechanger le masque...

Une fois sur l'interface de pfSense (default login : admin / password : pfsense), accédez à "Interfaces" puis "WAN".

Configurer l'adresse IPv4 statique sur l'interface WAN, en indiquant l'IP Failover dans le champ. Pour ma part ce sera 90.90.90.90 et mettez le masque en /32. Pour la passerelle, nous devons utiliser la passerelle de l'adresse IP publique du serveur dédiée, ce qui est hors réseau par rapport à l'IP définie sur l'interface. Pfsense ne va pas nous laisser faire via l'interface web... Il va falloir créer nos propres routes en ligne de commande, laissez impérativement "None" pour la passerelle et validez.

Maintenant, ouvrez la console pfSense, vous devriez d'ailleurs voir vos interfaces apparaître avec le nom (em0 et em1) ainsi que l'adresse IP. Indiquez le choix "8" pour ouvrir la console.

Pour éviter tout conflit, on va supprimer une éventuelle route par défaut existante :

route del default

Maintenant, on va définir une passerelle sur notre interface WAN "em0" et ensuite indiquer à pfSense la passerelle par défaut à utiliser. Ce qui donne :

route add -net 50.50.50.254/32 -iface em0
route add default 50.50.50.254/32

Pour rappel, "50.50.50.254" correspond à la passerelle utilisée par le serveur dédié OVH. Autrement dit, vous devez reprendre la même passerelle que celle utilisée par votre ESXi.

A partir de ce moment-là, vous devez pouvoir ping Google :

Attention : après le redémarrage, cette configuration sera perdue ! Il faut passer par shellcmd pour reéxecuter ces deux commandes à chaque démarrage, lisez notre tutoriel à ce sujet : pfsense shellcmd.

A ce stade de la configuration, votre pfSense accède à Internet mais pas notre client Windows 10 connecté au LAN. Il va falloir créer une règle du NAT.

V. pfSense : Règle de NAT

A partir de la VM Windows 10, retournez sur l'administration Web de pfSense. Dans le menu "Firewall", cliquez sur "NAT" et ensuite sur la section "Outbound".

En ce qui concerne le mode de NAT, choisissez "Manual Outbound NAT" ce qui va nous donner la main sur les règles de NAT que l'on veut créer.

Sauvegardez la configuration, ensuite appliquez-la.

Maintenant, dans le bas de la page cliquez sur le bouton pour ajouter une règle de NAT.

Nous allons utiliser les paramètres suivants :

  • Interface : WAN
  • Protocol : Any
  • Source : Network - 192.168.1.0/24 pour NATer les hosts connectés au LAN isolé
  • Destination : Any (Internet)
  • Translation : Interface Address (c'est l'IP de l'interface WAN qui sera utilisée pour sortir sur Internet)

Quand vous aurez définit ces paramètres, validez la création de la règle et appliquez la configuration.

Dès lors que cette règle est appliquée, votre machine virtuelle connectée au LAN doit pouvoir accéder à Internet en passant par votre firewall :

Voilà, la configuration est terminée. Il ne vous reste plus qu'à peaufiner les règles de firewalling sur votre pfSense, puis à créer des VMs dans votre LAN isolé !

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Co-Fondateur d'IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno' est importante je partage aussi des actus.

florian has 1698 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.