Firewall / Router compatible Esxi ET IPFO

[Xender]

Hello

Je cherche un Firewall et un routeur qui serait pas trop chiant à configurer en utilisant des IP Fail Over.
Du monde à déjà fait ça ? Si oui avec quelle Os ?

[kalistyan]

J'utilise pfSense (VM/ESXi) sur mes dédiés, testé avec l'infra SoYouStart (OVH) et Online.

[Xender]

Bon bah je vais retenté ça dans ce cas ^^'
Un tuto à me conseiller ?

Sinon je souhaiterais accéder à chez moi via un VPN mais je n'ai aucune idée de la configuration requise...
Un simple VPN avec une plage DHCP suffirait ?

[kalistyan]

Tutorial => http://www.ophyde.com/esxi-et-pfsense/

Quel firewall as tu chez toi ?

[Xender]

Merci pour le tuto

Pour la maison c'est Pfsense

[kalistyan]

parfait, une fois validé ton pfsense sur le dédié. Restera à monter un vpn site à site (ipsec) entre les deux et rulez.

Si besoin n'hésite pas poser des questions. J'utilise pfSense @home.

[Xender]

Merki
Je test ça ASAP

[merlin2000fr]

j'utilise PFsense en cluster devant mes esxi+nas en dmz, j'ai juste bataillé avec les param dmz redirections mais le cluster pf tourne depuis plus de 5 ans sans grands soucis notable.

[dsebire]

si tu aime tout faire a la main, ya debian, iptables et openswan qui font très bien l'affaire

je l'utilise a la maison, et chez mes clients

un peu de lecture:
http://smpfr.mesdiscussions.net/smpfr/S ... _830_1.htm

[poulpito]

comme d'hab je radote mais debian + fridu firewall = une interface fichier de conf pour iptable c'est plus que redoutable

pfsense jamais eu moyen de lui faire bouffer correctement les ipFo car la gateway était en dehors du subnet des ipFo (me demandez pas pourquoi j'y peux rien :/ )
donc je suis resté sur solution hypersimple et rock stable

ma vm gateway tourne avec ca j'ai 4 ipFo dessus donc 4 zones et basta
après tu dis juste quel port tu ouvre sur quelle zone vers quelle vm

http://www.fridu.org/fulup-posts/40-hos ... n-firewall

[dsebire]

pfsense jamais eu moyen de lui faire bouffer correctement les ipFo car la gateway était en dehors du subnet des ipFo (me demandez pas pourquoi j'y peux rien :/ )

j'ai eu le même pb chez OVH, pfsense acceptait pas de faire du MAC spoofing, et router sur un autre réseau.
je me prenait des alerte d'OVH en permanence.
=> viré pour une debian

[poulpito]

on est d'accord ^^ pfsense poubelle dans notre cas
j'avais passé 2j a essayer de l'installer :/

[dsebire]

idem !
tugs m'avais filé un coup de main par tel aussi a l'epoque, sans résultat

[kalistyan]

on est d'accord ^^ pfsense poubelle dans notre cas
j'avais passé 2j a essayer de l'installer :/

Y a un bidouille à faire, ensuite rulez.

[dsebire]

c'est quoi la bidouille ? a l'époque, j'avais testé tous les tutos dispo, et la version PF 2 en beta a l'époque était celle qui marchait le moins mal (mais impossible de faire du routage, les paquets partaient n'importe ou)

[poulpito]

bah écoute toutes les bidouilles que j'ia trouvé la dessus donnait rien la bidouille qu'il préconise ne marche pas dans ce cas la il t'éjecte toujours en te disant que la gateway n'est pas dans le subnet
si tu l'as sous la main montre te dirai si c'est celle que j'ai testé

pas faute d'y avoir passé du temps

[kalistyan]

c'est quoi la bidouille ?

Bien entendu j'ai été confronté au même problème. Pour y remédier, tu saisies tout d'abord ton IPFO, tu valides. Ensuite via la console, tu passes en lignes de commande. Puis modification du fichier de conf à la mano, reboot et rulez.

[poulpito]

bah je confirme donc édition à la mano impossible
en rebootant l'interface ne monte pas testé et non validé

tu as fait le test chez qui kali ? dédié ovh aussi

[dsebire]

c'est exactement la manip faite.
au reboot, plus d'accès avec un gros message d'erreur d'OVH
a l'époque, j'avais contacté OVH, et eux aussi de leur coté n'avait pas de soluce (ils détectaient du spoofing MAC et ça ne leur plaisait pas)

peut etre que depuis, ils ont modifié qqch chez eux pour que ça passe (c'était en 2010 perso)

[kalistyan]

tu as fait le test chez qui kali ? dédié ovh aussi

Comme précisé plus haut, testé et approuvé chez SoYouStart (OVH) et Online.net. Cela tourne depuis début 2014, et aucun problème constaté. Mais cette bidouille ne concerne que la passerelle.

Y aussi un fichier à créer (plus le chemin en tête)
Faut y saisir :

SoYouStart/OVH

L'ip passerelle/sortie = IPFO mais termine par 254

Code : Tout sélectionner

route add -inet 88.190.30.254/32 -link -iface em0
route add default 88.190.30.254

Online.net
L'ip de passerelle/sortie = IP principal mais termine par 1

Code : Tout sélectionner

route add -inet 66.190.30.1/32 -link -iface em0
route add default 66.190.30.1

[poulpito]

c'est bien ce que je dis tu as la route dans le même réseau que ton interface
ils ont du changer un truc en pratique c'est pas le cas

regarde moi chez online.net

auto eth0
iface eth0 inet static
address 212.83.x.x
netmask 255.255.255.255
broadcast 212.83.x.x
post-up route add 62.210.99.1 dev eth0
post-up route add default gw 62.210.99.1
dns-nameservers 62.210.16.6 62.210.16.7


auto eth1
iface eth1 inet static
address 212.83.x.x
netmask 255.255.255.255
broadcast 212.83.x.x
post-up route add 62.210.99.1 dev eth1
post-up route add default gw 62.210.99.1
dns-nameservers 62.210.16.6 62.210.16.7

et la ta soluce ne marche pas
je maintiens ce que je dis
92.210.16.x tu as l'adresse de ton esxi
212.83 = ipFO mais qui doivent utiliser la route via 62.210.16

[poulpito]

sur mon autre dédié
même chose
ip en 195.154 pour l'esxi
et les ipfo en 212.129.
mais qui passe par la route en 195.154

[kalistyan]

Attention dans mon exemple j'ai pris des ip au pif sur le net. C'était surtout pour faire ressortir le changement à la fin.

Quant à online, nous sommes d'accord tout sort via l'ip principal, faut juste remplacer le dernier champ par 1.

Me concernant

ESXi = 195.154.xxx.100
IPFO/vm-pfsense = 195.154.xx.201

Ma sortie = 195.154.xxx.1

[poulpito]

donc tu as du bol :d
ou commandé les ipFo en même temps ou je ne sais quoi

[kalistyan]

Euh... J'aurais eu du bol à chaque test ? Même chose chez OVH ? Cela fait bcp de chance sur plusieurs mois avec des infras différentes... :d