Proxmox – Installation VM Pfsense + IP failover

Proxmox – Installation VM Pfsense + IP failover

Cet article fait suite à l’installation et la sécurisation d’un serveur Proxmox où nous verrons comment mettre en place une machine virtuelle pfSense pour sécuriser au mieux son infrastructure. Pour rappel, j’ai déjà effectué un lab similaire sous ESXi que vous pouvez retrouver ici.

 

Ce Lab a été divisé en deux parties pour plus de clarté. Ici vous trouverez dans mon second article comment installer vos machines virtuels et les connecter à Internet via un serveur virtuel  sous pfSense en utilisant une IP failover. Si vous n’avez pas encore installer votre serveur Proxmox, je vous invite à aller lire tout d’abords mon premier article ici.

Mon architecture contiendra l’installation et la configuration de Proxmox sur un serveur dédié Soyoustart (article1) et l’installation d’une machine virtuelle sous pfSense avec la mise en place d’une IP failover (article 2).

 

Rappel

 

Votre architecture finale ressemblera à ce schéma :

Archi_proxmox

Nous avons déjà réalisé l’installation de notre serveur Proxmox, il vous faudra pour continuer ce lab :

  • Une IP failover (deuxième IP nécessaire pour connecter vos serveurs virtuels à Internet)
  • La distribution pfSense

 

Préparation machine virtuelle

 

Pour démarrer, connectez-vous à votre console Proxmox en rentrant votre login et mot de passe :

proxmox_connect_utilisateur_web

 

Nous devons créer un nouvelle carte réseau pour avoir un réseau local protégé derrière notre pfSense. Pour ce faire, allez sur votre serveur dans la partie Système\Réseau comme ci-dessous et cliquez sur « Créer » puis « Linux Bridge » :

Une fenêtre comme celle-ci doit apparaitre, rentrez simplement une adresse IP locale (dans mon exemple j’utilise : 10.1.1.1/24) puis donnez-lui un nom dans l’espace « Commentaire » afin de pouvoir l’identifier plus tard :

 

Une fois validez, vous pouvez visualiser la nouvelle carte qui s’est ajouté dans la liste :

 

Attention, votre changement n’a pas encore été pris en compte, il vous faudra redémarrer votre serveur afin d’activer cette carte ! Pour ce faire, rien de plus simple vous avez directement un bouton en haut à droite de votre interface pour le faire :

 

Une fenêtre s’ouvre pour valider votre redémarrage, cliquez sur « Oui » :

 

 

Création machine virtuelle

 

Nous allons pouvoir créer notre première machine virtuelle qui contiendra pfSense. Une fois redémarré, reconnectez-vous à votre interface web et faites un clic droit sur votre serveur puis « Créer VM » :

 

Vous arrivez sur une fenêtre pour préparer la configuration de votre machine virtuelle. Dans le premier onglet nommé « Général », donnez un identifiant et un nom à votre machine. Dans mon exemple, ma machine virtuelle aura l’identifiant « 100 » et le nom « PFsense1 ». Dans le champ « Nœud », vous avez la possibilité de gérer plusieurs serveur pfSense et ainsi sélectionner celui sur lequel vous voulez réaliser l’installation. Cliquez ensuite sur « Suivant » :

Dans l’onglet « OS », vous devez choisir un système d’exploitation que vous avez téléchargé au préalable sur votre serveur. Ici je mets le fichier ISO de pfSense. Cliquez ensuite sur « Suivant » :

 

Dans l’onglet « Système », vous n’avez rien à changer. Cliquez directement sur « Suivant » :

 

Dans l’onglet « Disque Dur », j’ai simplement changé la taille de mon disque. Pour pfSense, 8Go d’espace disque suffise. Cliquez sur « Suivant » :

Dans l’ongle « CPU », je laisse par défaut 1 sockets mais je mets 2 cœurs pour un peu plus de puissance :

Dans l’onglet « Mémoire », je positionne à 2048 car je n’aurais pas besoin de plus pour mon système pfSense, cliquez sur « Suivant » :

 

Dans l’onglet « Réseau », je sélectionne la carte réseau que j’avais créé précédemment nommée « vmbr1 » qui sera celle de notre réseau LAN :

 

Le dernier onglet « Confirmation » nous donne un récapitulatif de la configuration que nous avons réalisée. Cliquez sur « Terminé » pour valider votre configuration et installer votre machine :

 

Nous n’avons pour le moment qu’une seule carte réseau connecté à notre réseau LAN. Il nous faut ajouter une seconde carte pour se connecté au WAN avec notre IP failover. Sélectionnez votre serveur et dans la partie matériel, cliquez sur « Ajouter » puis « Carte réseau » :

 

Sélectionnez ensuite « vmbr0 » qui est déjà une carte NAT connecté à Internet et cliquez sur « OK » :

 

Et voilà, la configuration de votre machine virtuelle est finalisée, il faut maintenant installer notre système d’exploitation et le configurer en démarrant la console en haut à droite de notre interface :

 

 

Installation Pfsense

 

Votre machine virtuelle démarre et vous avez accès à une nouvelle console sur laquelle vous visualiser votre système d’exploitation :

 

Après quelques secondes, votre console devrait être arrivée à cette fenêtre sinon attendez encore un peu 🙂 et oui soyez patient !! Sélectionnez « Install » :

 

Sélectionnez le clavier français et validez avec « Continue with fr.kdb keymap » :

 

Laissez « Auto » par défaut et validez :

 

L’installation se déroule :

 

Pas besoin d’aller sur les lignes de commandes, sélectionnez « No » :

 

Vous arrivez sur cette fenêtre. Pour finir, redémarrez votre serveur en sélectionnant « Reboot » :

 

Et voilà après le redémarrage de votre machine, l’installation est terminée et vous arrivez sur votre système pfSense, qui je vous l’accorde n’est pas très jolie :

 

 

 

 

 

 

 

 

Passons maintenant à la configuration de notre pfSense, et oui encore du boulot vous ne pensiez pas finir si vite !?

 

Configuration Pfsense

 

Commençons par configurer l’interface WAN de notre serveur. Cette interface sera connectée en direct sur Internet. Cela permettra donc de sécuriser nos machines virtuelles sur le LAN en faisant office de passerelle.

Pour ce faire, il va vous falloir l’adresse MAC qui vous a été donnée en même temps que votre adresse IP public. Ensuite allez dans votre machine virtuelle via l’interface web et sélectionnez la carte réseau qui est vmbr0 pour changer la MAC :

 

Maintenant que nous avons l’adresse MAC qui devra être liée à l’interface WAN de notre machine, nous pouvons retourner sur la console de notre machine virtuelle et commencer la configuration. Vous avez sur la console un menu de disponible avec des options de 0 à 16. Commençons par assigner la bonne interface à la bonne connexion (LAN ou WAN).

Choisissez « 1) Assign Interfaces » en tapant 1 et appuyez sur Entrée :

 

La première question demandée est en rapport avec les VLANs, nous ne souhaitons pas en mettre dans notre architecture, mettez seulement « n » puis Entrée :

 

Ensuite vous devez entrer l’interface qui correspond à votre WAN, vous avez le choix entre em1 ou em0. Faites correspondre l’adresse MAC (1) que vous avez configurée précédemment avec les deux interfaces pour savoir laquelle est utilisée pour le WAN. Pour ma part c’est em1 (2) :

 

Ensuite choisissez l’autre interface pour le LAN, em0 dans mon cas:

 

Une question sur une interface optionnelle vous est proposée, laissez vide et validez :

 

Un récapitulatif apparait, vérifiez que vous n’avez pas fait d’erreur et validez en rentrant « y », la configuration va ensuite s’effectuer, attendez un peu (Petite astuce, j’ai eu le cas une fois ou rien ne se passait…l’écran était figé sur « done! ». Pour vous en sortir utilisez les touches CTRL + C simultanément) :

 

Vous vous retrouvez sur la console de base et vous pouvez voir que vos interfaces sont bien configurées et que votre WAN a récupéré une adresse en DHCP, il va donc falloir la configurer en IP fixe avec votre IP failover qui ira directement sur Internet :

 

Pour configurer le WAN, choisissez l’option 2 :

 

Nous voulons configurer une IP sur le WAN donc entrez 1 et pressez Entrée :

 

Mettez « n » pour ne pas laisser l’interface en DHCP et configurez une IP fixe :

 

Entrer l’adresse IP Failover que vous avez (Attention cette adresse doit être une IP publique, c’est une IP qui sera en direct sur Internet). Pour l’exemple, je mets une IP fictive 10.10.10.10 :

 

Nous devons entrer le masque de sous réseau mais malheureusement via cette console nous ne pouvons pas mettre de /32 comme il serait nécessaire. Mettez donc 31 pour le moment, nous devrons le changer plus tard via l’interface web :

 

Ici ne mettez pas de passerelle :

 

Dans notre exemple nous ne voulons pas mettre d’IPv6, donc mettez « n » :

 

Pas d’IPv6 fixe non plus, laissez vide et validez :

 

Ensuite pfSense vous demande si vous souhaitez que l’interface web soit disponible via cette interface, par question de sécurité l’interface WEB ne doit être disponible que sur l’interface LAN mais libre à vous de l’accepter. Dans mon cas je mets non « n » :

 

La configuration s’effectue, soyez patient et pressez Entrée pour revenir à votre console :

 

Vous pouvez voir que votre interface a bien pris votre configuration en compte:

 

Nous devons configurer le LAN, vous devez décider quel adressage vous souhaitez mettre en place. Il faut savoir que vous pouvez utiliser les adresses privées qui regroupe :

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Je vais utiliser un réseau en 192.168.0.0/16. Nous allons suivre la même procédure que pour le WAN avec quelques différences. Sélectionnez 2 :

 

Ici sélectionnez l’interface LAN en entrant 2 :

 

Entrez une adresse LAN qui doit être une adresse privée, dans mon exemple 192.168.1.1 :

 

En masque de sous réseau mettez 16 (libre à vous de mettre autre chose mais n’oubliez pas que vos machines virtuelles doivent pouvoir communiquer sur le LAN) :

 

Nous ne voulons pas de passerelle et pas d’IPv6 non plus, pressez 2 fois Entrée :

 

Vous avez la possibilité de mettre en place un serveur DHCP sur votre pfSense pour vos machines virtuelles qui se connecteront sur le LAN. Pour notre architecture, nous allons gérer nos machines en IP fixe donc mettez « n » :

 

Ensuite pfSense vous demande si vous souhaitez que l’interface web soit disponible via cette interface. Pour pouvoir finaliser notre configuration il sera nécessaire d’y accéder donc mettez « y » :

 

La configuration s’effectue, attendez un peu et pressez Entrée :

 

Et voilà, vous pouvez voir que vos deux interfaces sont bien configurées :

 

Félicitation votre serveur pfSense est installé et configuré. Vous pouvez maintenant ajouter des serveurs sur votre réseau local et programmer votre pfSense pour autoriser certain type de trafic. Si vous souhaitez finaliser la configuration de pfSense via l’interface web, je vous invite à aller directement dans mon article du lab de ESXi car la suite est identique 🙂

À propos de l’auteur

Vincent Krahenbuhl administrator

Passionné d’informatique, ma motivation et ma curiosité m’ont permis de réaliser des études en alternance. J’ai dans un premier temps exercé le poste de technicien informatique au sein du groupe Edscha. J’ai ensuite occupé un poste d’administrateur réseau puis je suis devenu ingénieur réseau et sécurité au sein de l’entreprise FM Logistic. Fort de ces expériences dans deux entreprises internationales, j’ai décidé de devenir Formateur Indépendant en Informatique.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.