Performance Cloud VMware – Déploiement d'un appareil réseau virtuel ou "Network Virtual Appliance"
TABLE DES MATIÈRES
- Introduction
- Notes
- Schéma de la configuration (exemple de scénario)
- Configurez les réseaux virtuels requis
- Déployer le dispositif
- Configurez la passerelle Edge
- Configurer le réseau local
- Créez vos règles NAT sur PFSense (Exemple - RDP vers une VM Windows qui a PFSense)
- Exemple - configurer un VPN site à site de PFSense externe à PFSense dans Performance Cloud VMware derrière le Edge Gateway
Introduction
Ce guide décrit comment configurer votre propre dispositif de pare-feu dans Performance Cloud VMware au lieu d'utiliser le pare-feu par défaut de la passerelle Edge. Pour cet exemple, nous utilisons un dispositif de pare-feu PFSense, mais les mêmes étapes seraient nécessaires pour d'autres dispositifs de pare-feu.
Notes
- Certaines étapes supposent que vous avez une bonne connaissance de la création de machines virtuelles et de la création de réseaux virtuels. Veuillez vous référer aux articles principaux du Guide de démarrage (Getting Started) si nécessaire.
- Veuillez noter que le support de Sherweb pour d’un appareil réseau virtuel ou "Network Virtual Appliance" est très limité.
Schéma de la configuration (exemple de scénario)
- Le réseau LAN routé 10.0.0.0/24 a été choisi comme exemple, mais peut différer selon vos besoins.
- Le réseau LAN isolé 192.168.0.0/24 a été choisi comme exemple, mais pourrait différer selon vos besoins.
- La passerelle IP 192.168.0.1 de PFSense a été choisie comme exemple, mais pourrait être différent.
Configurez les réseaux virtuels requis
Créer un réseau routé
Utilisez cet article pour créer un réseau routé. (10.0.0.0/24 nommé CIS-Network dans cet exemple)
Créer un réseau isolé
Utilisez cet article pour créer un réseau isolé. (192.168.0.0/24 nommé VNet-PFSense-Lan dans cet exemple)
(mêmes étapes, mais en choisissant "Isolated" au lieu de "Routed")
Remarque : nous configurons la passerelle CIDR en utilisant 192.168.0.254/24, car si nous avions entré 192.168.0.1, nous ne pourrions pas l'utiliser pour notre appareil PFsense. Cependant, nous aurions pu entrer 192.168.0.1 et configurer le LAN sur le dispositif PFSense pour utiliser une autre adresse IP, qui serait utilisée par les VM derrière le dispositif.
Déployer le dispositif
Ici, vous avez plusieurs options pour déployer votre dispositif de pare-feu.
- Importer le dispositif à partir d'un modèle OVF (voir le guide existant).
- Importer le dispositif dans un catalogue et le déployer à partir du catalogue (voir guide existant)
- Importez l'ISO dans un catalogue et créez une nouvelle VM. Mettez en correspondance l'ISO téléchargée avec la VM et procédez à votre installation (voir le guide existant).
Pour cet exemple, nous avons créé un catalogue, téléchargé un fichier .ISO et créé une machine virtuelle vierge pour y connecter le fichier .ISO et y installer PFSense :
- Créer la VM vide
Notes :- Assurez-vous de sélectionner le bon réseau (VNET-Edge-LAN dans cet exemple). Cela représentera l'interface WAN de votre PFSense. Assurez-vous de configurer l'IP désirée aussi.
- Ici, un type d'adaptateur réseau E1000E at été utilisé, car l'installation par défaut de PFSense ne supporte pas l'adaptateur réseau VMXNet3 jusqu'à ce que le paquet open-vm-tools soit installé dans le PFSense. Une fois que vous avez déployé le PFSense, vous pouvez installer le paquet puis supprimer le type d'adaptateur E1000E, recréer un type d'adaptateur VMXNet 3 et reconfigurer le WAN du PFSense sur ce nouvel adaptateur réseau.
- Une fois la VM créée, allumez la machine virtuelle, démarrez avec le fichier ISO et suivez les instructions du fournisseur pour déployer le système d'exploitation.
- Configurez votre NIC WAN pour 10.0.0.2
Configurez la passerelle Edge
- Allez dans Networking -> Edges- sélectionnez votre Edge GW.
- Cliquez sur SERVICES
- Allez dans Firewall et créez une nouvelle règle pour autoriser le Any-Any (puisque les règles du pare-feu seront gérées par l'appliance PFsense). Vous pouvez toujours restreindre le trafic au niveau de la passerelle périphérique si vous le souhaitez au lieu d'ouvrir Any-Any.
- Allez dans NAT et créez les règles NAT suivantes :
- New DNAT Rule (pour pointer vers l'IP WAN de PFSense)
- New SNAT Rule (pour le VNET-Edge-LAN)
- New SNAT Rule (pour le VNet-PFSense-Lan)
- New DNAT Rule (pour pointer vers l'IP WAN de PFSense)
- Allez dans Routing, puis Static Routes.
- Créez une nouvelle route et cliquez sur KEEP.
- À ce stade, vous devriez maintenant être en mesure d'accéder à votre dispositif de pare-feu en utilisant l'adresse IP externe.
Remarque : vous pouvez également configurer le VNET-Edge-LAN sur une autre machine virtuelle et accéder à votre pare-feu avec son IP interne. Par exemple, un NIC dans le VNET-Edge-LAN a été ajouté sur cette VM Windows :
Configurer PFSense
- Maintenant que vous avez accès à PFSense, vous pouvez installer le paquet open-vm-tools.
- Une fois installé, vous pouvez supprimer la NIC E1000E pendant que la VM PFSense est en cours d'exécution, cela prendra 10 secondes pour déconfigurer la NIC à l'intérieur du serveur.
- Après avoir attendu 10 secondes pour permettre à l'ancienne NIC d'être déconfigurée dans le PFSense, vous pouvez maintenant arrêter la machine virtuelle, puis la mettre complètement hors tension.
- Maintenant, vous pouvez reconfigurer votre WAN sur une NIC VMXNet3 à partir de la console, comme cela a été fait à partir de la console lors de la configuration initiale.
- Vous devez maintenant configurer les règles du pare-feu sur votre PFSense (pour le WAN). Dans cet exemple, j'ai autorisé Any-Any, mais vous devez restreindre le trafic provenant de l'interface WAN (comme le port du configurateur web, etc.).
- Une fois que vous avez changé pour VMXNet3 et que tout fonctionne, vous pouvez à présent ajouter le VNET-PFSense-LAN (Note : assurez-vous que le PFSense est complètement éteint ou vous aurez des problèmes avec la carte réseau).
- Vous pouvez désormais attribuer l'interface LAN
- Configurer le réseau local
- Désactiver le NAT sortant dans PFSense pour éviter un double NAT (Edge + PFsense). Cela fonctionnera quand même s'il est activé, mais vous n'auriez pas besoin de la route statique dans EdgeGW et de la règle SNAT pour 192.168.0.0/24 pour le double NAT.
Configurez votre machine virtuelle via PFSense
- Configurez l'adaptateur réseau de votre machine virtuelle sur le VNET-PFSense-LAN.
- Configurez l'adaptateur réseau de votre VM
- Vous devriez être en mesure d'accéder à Internet à partir de la machine virtuelle qui a PFSense.
Créez vos règles NAT sur PFSense (Exemple - RDP vers une VM Windows qui a PFSense)
- Sur votre PFSense, vous créez votre règle NAT. Dans cet exemple, le port RDP vers la VM Windows est ouvert.
- Testez le RDP vers l'IP externe
Exemple - configurer un VPN site à site de PFSense externe à PFSense dans Performance Cloud VMware derrière le Edge Gateway
Voici un exemple de configuration VPN entre un PFSense externe et le PFSense dans Performance Cloud VMware.
Configuration du PFsense externe
Configuration de la phase 1
Configuration de la phase 2
Règles du pare-feu :
Statut :
Règle de pare-feu pour autoriser le trafic dans le VPN
Configuration de PFSense dans Performance Cloud VMWare
Configuration de la phase 1
Note : assurez-vous de configurer l'IP externe de la passerelle Edge comme identifiant, car, si vous mettez votre adresse WAN, elle utilisera 10.0.0.2 au lieu de l'IP externe.
Configuration de la phase 2
Règle de pare-feu pour autoriser le trafic dans le VPN
Test Ping dans le VPN
De PFsense externe à une VM derrière PFsense dans Performance Cloud VMware :
De la VM avec PFsense de Performance Cloud VMware à PFsense externe :