OVH Community, votre nouvel espace communautaire.

vRack, esx, pfsense et bloc RIPE


PGombeer
15/06/2015, 22h41
Alors, j'ai terminé mes tests sous ESX et je confirme que l'assignation d'un VLAN ID au subnet privé fonctionne parfaitement. Par contre, comme l'explique Kioob, on ne peut pas assigner un VLAN ID au bloc RIPE.

Concrètement: sur chacun des ESX, j'applique la configuration suivante:
- vSwitch0:Management Network avec l'IP du host ESX physique (il y a aussi un Virtual Machine Port Group pour les virtual servers avec IP fail-over);
- vSwitch1: 2 Virtual Machine Port Group:
° Un group que j'ai appelé vRack 5.135.xx.xx/28 (qui correspond à mon bloc RIPE), pour le réseau public accessible depuis Internet;
° Un group que j'ai appelé vRack 192.168.1.0/24 avec le VLAN ID 100, pour le réseau privé.
- Un virtual server pfSense avec 2 interfaces, une dans chaque Virtual Machine Port Group.
Le pfSense n'est déployé que sur un seul host ESX (pas encore de redondance).



Kioob
15/06/2015, 15h06
Bonjour,

oui tu peux mixer réseaux privés & RIPE dans le Vrack. Mais autant tu peux réserver l'utilisation d'un réseau privé à un VLAN ID particulier, autant pour le moment tu ne peux pas le faire pour le RIPE.

PGombeer
14/06/2015, 19h46
Normalement pour faire les choses proprement et isoler les 2 subnets (privé & RIPE), il faut utiliser du VLAN tagging et assigner un VLAN ID différent à chaucun des subnets. A priori, c'est possible avec le vRack 2.0 (https://www.ovh.com/fr/solutions/vrack/), mais je n'ai trouvé aucune information chez OVH pour configurer concrètement ces VLAN ID. J'ai procédé moi-même à quelques essais (assigner un VLAN ID à mon subnet dans vSphere), mais ça ne fonctionne pas... Raison pour laquelle j'ai ouvert hier ce topic: https://forum.ovh.com/showthread.php...ujet-des-vRack

Apparemment, de ce que je vois ici, les vRacks seraient tous migrés en version 2.0: http://travaux.ovh.net/?do=details&id=12584.


PS: j'utilise exactement les même softs (ESXi, pfSense avec CARP), sauf que je suis dans la situation inverse: mon bloc RIPE est assigné au vRack, mes deux serveurs ESXi peuvent l'utiliser (enfin les VM plutôt), mais je voudrais faire passer le subnet privé dans le vRack.

- - - Mise à jour - - -

Normalement pour faire les choses proprement et isoler les 2 subnets (privé & RIPE), il faut utiliser du VLAN tagging et assigner un VLAN ID différent à chaucun des subnets. A priori, c'est possible avec le vRack 2.0 (https://www.ovh.com/fr/solutions/vrack/), mais je n'ai trouvé aucune information chez OVH pour configurer concrètement ces VLAN ID. J'ai procédé moi-même à quelques essais (assigner un VLAN ID à mon subnet dans vSphere), mais ça ne fonctionne pas... Raison pour laquelle j'ai ouvert hier ce topic: https://forum.ovh.com/showthread.php?104733-Deux-questions-au-sujet-des-vRack

Apparemment, de ce que je vois ici, les vRacks seraient tous migrés en version 2.0: http://travaux.ovh.net/?do=details&id=12584.


PS: j'utilise exactement les même softs (ESXi, pfSense avec CARP), sauf que je suis dans la situation inverse: mon bloc RIPE est assigné au vRack, mes deux serveurs ESXi peuvent l'utiliser (enfin les VM plutôt), mais je voudrais faire passer le subnet privé dans le vRack.

julac
14/06/2015, 13h13
Bonjour,

Avez-vous trouvé des réponses à vos interrogations ? Si oui, elles m'intéressent.

La possibilité d'avoir plusieurs VLAN sur le vRack en gamme infrastructure est-elle dors et déjà possible ? (si oui, comment faut-il le configurer sous ESXi ?)

Merci !

nikolaii
28/01/2015, 18h59
Bonsoir, j'essaie de savoir s'il est possible d'utiliser un bloc RIPE dans un vrack en parallèle d'un sous-réseau privé (qui sert a relier deux serveurs dédiés) ?

Contexte :
- deux serveurs dédiés infra (RBX et SBG)
- un vrack
- un bloc RIPE

Pour le moment j'ai configuré une des interfaces du pare-feu pfsense dans un subnet privé, mes deux serveurs communique correctement via le vrack, pas de problèmes.

Maintenant, je souhaite mettre en place une VIP CARP sous pfsense pour faire du failover. Je me dis donc que si j'affecte le bloc RIPE au vrack, il sera utilisable par mes deux pare-feu pfsense et tout devrait fonctionner correctement.

Mais qu'advient-il alors du sous-réseau privé créé précédemment ? Est-ce qu'il sera toujours utilisable ? J'imagine que oui, car c'est un sous-réseau différent.

Par contre quid de l'isolation entre ces deux réseaux ? Sachant que pour la VIP CARP fonctionne sous ESX je dois mettre les cartes réseau en mode "Promiscuous", est-ce qu'il ne sera pas possible de sniffer le trafic du WAN (bloc RIPE) et réciproquement ?

Merci pour vos conseils.
Nicolas