OVH Community, votre nouvel espace communautaire.

Firewall en VM en frontal pcc


cmer81
26/01/2013, 09h52
Salut,

Voila pour toi

arpamaje
25/01/2013, 10h36
Bonjour à tous,

Je viens de découvrir ce thread, qui parle d'une de mes problématiques de partage d'un réseau local entre les 2 hosts de mon PCC, avec un proxy pour accès extérieur. Mais malheureusement quelques éléments de réponses sont manquants dans les posts.

La configuration qui fonctionne est d'avoir des VM 1 NIC (VM Network + VMXNET 3) en sous-réseaux 192.168.x.0 et une VM Proxy 2 NIC (VM Network + VMXNET 3)

Je doute de la bonne sécurité de la configuration si toutes les VM sont sur VM Network, et je cherche des solutions.

Freemaster, post 08/04/2012 : Peux-tu indiquer comment tu crées ton switch virtuel "vm local" ?

cmer81, post 08/04/2012 : Peux-tu remettre à disposition l'image du lien http://miroir.cmer.fr/cmer/reseaux.PNG ?

steph10200, post 08/04/2012 : Peux-tu remettre à disposition l'image du lien http://demo.ovh.net/fr/859f5794a382a...fce58831e6ab8/
?

Merci,
Math33
16/08/2012, 08h47
oles a donné quelques indices dans le thread suivant :
http://forum.ovh.com/showthread.php?t=81925

Plus particulièrement :
La négociation avec Cisco avance mieux et on pense
inclure Nexus 1000v dans l'offre par défaut. On doit
maintenant réfléchir comment le faire, en terme de
prix, la migration de l'existant mais surtout plein
de nouvelles fonctionnalités. La liste est longe et
plein de choses nouvelles sont possible comme par
exemple la revente jusqu'à 4000 infrastructures
privées sur un même pCC. Vos clients peuvent vous
commander 5GHz de CPU avec 12Go de RAM sur 14VM
dans un réseau isolé avec un /27 privé et vous
pouvez gérer jusqu'à 4000 clients comme ça.
neyz
15/08/2012, 14h34
Bonjour,

y a t-il du nouveau concernant tout ce qui est vDS, vShield et Nexus 1000v ?

Merci !
cmetge
12/06/2012, 10h17
Bonjour,
Je viens aux nouvelles concernant l'installation d'un firewall dans l'offre private_cloud, une date? Cisco ASA?

Merci
HeleneC
09/04/2012, 15h22
Pour le moment on a désactivé la fonctionnalité vDS du pCC : elle n'est pas stable sur l'infra qu'on propose et n'est plus supportée telle qu'elle par VMware.
Il y avait trop de plantages qui rendaient indisponibles les infras des clients.

Pour le moment pas de solution alternative, mais le Cisco 1000v arrive très bientôt sur pCC, donc ca permettra de mieux gérer ses configurations réseaux.
Freemaster
08/04/2012, 18h42
si tu as plusieurs hôtes esx, effectivement les switch locaux ne seront pas utiles...
il te faudra passer par un swicth distribué, encore faut-il que ta licence le permet
http://www.vmware.com/fr/technical-r...resources.html

sinon VPN
steph10200
08/04/2012, 18h29
Bonjour,

Merci pour tes infos,

oui, mais ça reprend ce que j'ai dis plus haut, tant que tu as tes VM sur le même hôte tu peux utiliser le switch local group, mais j'ai plusieurs hôtes esx ( pcc ), qui ont chacun leur local port group indépendant.

Dans mon lan, j'ai créé un vlan avec un vswitch avec un idvlan, pas de souci, mais la, sur les esx du pcc j'ai pas la main pour créer un nouveau vswitch avec un nouvel id vlan indépendant du vlan "public", je n'ai donc aucun moyen de mettre mon LAN privé sur d'autres vswitch si je souhaite toujours bénéficier de l'interconnexion de mes X hotes esx de mon datacenter virtuel.


Schema réseau de l'infra avec 2 hotes :
http://demo.ovh.net/fr/859f5794a382a...fce58831e6ab8/


Non ? je fais fausse route ?
Freemaster
08/04/2012, 18h10
Citation Envoyé par cmer81
Je fonctionne comme cela

http://miroir.cmer.fr/cmer/reseaux.PNG
c'est exactement comme ça que je le voyais !
cmer81
08/04/2012, 18h03
Citation Envoyé par Freemaster
et bien... crées toi un nouveau switch virtuel, relier à aucune carte physique

par exemple "vm local"

c'est ce que je fais moi
Je fonctionne comme cela

http://miroir.cmer.fr/cmer/reseaux.PNG

Apres tu peux aussi faire du VPN entre tes serveurs et le firewall je fonctionne aussi comme sa pour mes serveurs qui sont ailleur

exemple de routage pour mon serveur beta au canada

Code:
C:\Users\Cedric>tracert 91.121.63.11

Détermination de l'itinéraire vers 91-121-63-11.ovh.net [91.121.63.11]
avec un maximum de 30 sauts*:

  1    <1 ms    <1 ms    <1 ms  FREEBOX [192.168.1.254]
  2    22 ms    21 ms    23 ms  88.182.***.***
  3    22 ms    24 ms    23 ms  213.228.36.126
  4    24 ms    23 ms    23 ms  toulouse-6k-1-v800.intf.routers.proxad.net [212.
27.56.117]
  5    30 ms    31 ms    29 ms  bordeaux-crs16-1-be1005.intf.routers.proxad.net
[212.27.50.85]
  6    35 ms    35 ms    35 ms  bzn-crs16-1-be1100.intf.routers.proxad.net [212.
27.51.57]
  7    36 ms    36 ms    36 ms  th2-crs16-1-be2000.intf.routers.proxad.net [212.
27.57.209]
  8     *        *       37 ms  th2-1-6k.fr.eu [213.186.32.181]
  9    36 ms    37 ms    37 ms  gsw-g1-a9.fr.eu [91.121.128.164]
 10    40 ms    40 ms    40 ms  rbx-g1-a9.fr.eu [91.121.215.151]
 11    39 ms     *       45 ms  vss-3-6k.fr.eu [94.23.122.237]
 12    41 ms    40 ms    41 ms  firewall.cmer.fr [178.32.77.68]
 13   127 ms   126 ms   130 ms  91-121-63-11.ovh.net [91.121.63.11]

Itinéraire déterminé.
Comme tu voie l'ip 91* route sur le firewall qui ensuite part direct au quebec via un tunnel VPN

Le tout avec PFsense
Freemaster
08/04/2012, 15h41
et bien... crées toi un nouveau switch virtuel, relier à aucune carte physique

par exemple "vm local"

c'est ce que je fais moi
steph10200
08/04/2012, 15h00
Bonjour,


oui, je sais bien, sauf, que le local port group est local à chaque hote, et que je n'ai pas l'intention de n'utiliser qu'un seul host !
j'ai prévu un équilibrage en fonction de l'usage de mes différentes VM donc de pouvoir déplacer d'un hote sur un autre tout en conservant l’accès réseau.

une VM sur l'hote 1 dans le local port group ne pingera pas une VM sur l'hote 2 également dans le local port group.

au départ c'est ce que j'avais fait, mon FW entre VMNetwork et local port, mais j'ai déchanté quand j'ai basculé une VM sur un autre hôte, plus d’accès réseau.


ou alors j'ai loupé qqch ?
Freemaster
08/04/2012, 14h10
ça te sert à quoi un fw, si toutes tes machines sont sur le vm network ?

ton fw as 2 cartes réseaux, l'une sur la vm network avec l'ip publique
et l'autre sur local port group avec une ip privé, genre 192.168.0.1

toutes les autres machines doivent avoir une seule carte et être sur le local port group, avec comme passerelle 192.168.0.1, l'ip du fw

si ton fw fait bien routeur, et dns bien renseigné, tu dois pourvoir sortir sur le net depuis les machnines...
steph10200
08/04/2012, 13h31
Bonjour,

sur mon pcc, j'ai installé un firewall en frontal, pfsense pour ne pas le citer.

J'ai néanmoins une question,

mon fw dispose de 2 interfaces réseau (normal quoi).

mon FW porte toutes les adresse IP publiques et fait du NAT sur mes VM en adressage privé.

pour que toutes mes VM et le firewall puisse dialoguer quel que soit l’hôte sur lequel tournent les machines, je ne peux pas utiliser le "local port Group" qui ne permet de dialoguer entre les VM que sur un même hôte, toutes mes machines utilisent donc le "vm network"

je trouve pas ça très sécure puisqu'il est relativement facile de passer outre le firewall, toutes les VM étant dans le même réseau.


Avez vous fait ce même genre de config ?

Y a t il une autre solution pour avoir un réseau privé accessible entre mes hôtes et indépendant de mon réseau vm network privé ?

Merci de vos réponses.