OVH Community, votre nouvel espace communautaire.

Proxmox et pfsense sous vm KVM


captainadmin
18/11/2015, 10h08
Hello,

Pour ce genre de manipulation je conseille de séparer les ip FO qui serviront pour le service et l'ip de ton proxmox.
Comme le dit AnonymousCoward, il faut faire une vm supplémentaire qui va gérer le trafic et toutes les ip FO que tu vas avoir.
Par contre virer l'ip publique du proxmox reste dangereux et peu utile, tu es sur une debian tu peux facilement mettre en place les différentes sécurités pour éviter les intrusions et mettre à coté sur une vm sécurisé les entrées de sites de ta plateforme.

La mise en place d'une vm connectée sur le port vmbr0 reste assez simple à mettre en place.

Bon courage
http://www.captainadmin.com

AnonymousCoward
17/11/2015, 18h49
Bonjour,

Admettons que ton proxmox soit configuré avec un bridge vmbr0 incluant eth0, l'interface réseau de l'hôte donnant accès à l'Internet. Ce qui est la configuration par défaut.

Tu commences par mettre en place et tester une VM pfsense avec accès à Internet via vmbr0 et une IP failover (+ MAC virtuelle).

Ensuite tu crées un autre brige / switch virtuel sur le proxmox, que l'on appellera "internal_br", par exemple. Sans ajouter eth0 à ce nouveau bridge.
Puis tu ajoutes une interface réseau à la VM pfsense, reliée à internal_br . Que tu auras éventuellement à configurer avec une IP privée, du genre 172.16.0.1 .
Et là :
- Soit tu configures une IP privée sur l'interface internal_br du proxmox, par exemple 172.16.0.2 . Et tu fais du SNAT + relais de port sur la VM pfsense pour accéder au proxmox.
- Soit tu ajoutes une IP privée sur l'interface internal_br du proxmox, tu ajoutes un accès VPN à la VM pfsense. Et tu n'autorises aucun accès au proxmox hormis via ce VPN.
- Soit tu configures une IP failover (+ MAC virtuelle) sur l'interface internal_br du proxmox. Et tu configures la VM pfsense pour faire proxy ARP.

Et là, tu testes la possibilité d’accéder au proxmox via la VM pfsense. Mais alors tu testes tout bien comme il faut.

Et si cela te convient, tu pourras alors désactiver l'adresse IP du dédié principale du proxmox, sur son interface vmbr0. En supprimant son IP ou en mettant un pare-feu n'autorisant rien.

L'option n°2 me semble jouable.
Ceci étant, proxmox fonctionne au-dessus d'une Debian. Et la Debian sait tout à fait faire par elle-même un VPN et/ou un pare-feu aux petits oignons. Un VPN qui pourra utiliser les accélérations matérielles des processeurs pour le chiffrement comme aes-ni alors qu'une VM ne pourra pas forcément.

--
AnonymousCoward

mafime
17/11/2015, 15h14
Bonjour,

Je suis à la recherche d'aide pour effectuer ma configuration de mon Proxmox.

Je m'explique, je souhaite utilise pfsense comme router/parfeu.

Pour se faire, j'ai plusieurs ip failover donc pas de soucis, un Proxmox juste installer en version 3.4 donc voila!

Ce que je souhaite faire :

ip public du dedier ---> pfsense sous KVM ---->reseau privé + acces web proxmox via vpn pfsense

Donc ma question :

Comment configurer l'host proxmox pour diriger d'office tout le traffic arrivant sur eth0 vers une kvm brigdée servant de parfeu et routeur sous Pfsense ?

Cela en étant sûr que l'host est isolé complètement d'internet mais restant accessible via une session vpn connectée au réseau privé derrière pfsense.


Merci encore pour votre aide