Installer Pfsense sur Proxmox – KVM (Firewall Virtualisé OpenSource)
Sommaire
I. Présentation
Dans cet article je vais vous montrer comment installer Pfsense sur Proxmox (via KVM), ce qui va vous permettre d’avoir un firewall virtuel Open source à bas coût.
Le firewall Pfsense est dorénavant ma passerelle par défaut pour toutes mes machines, ce qui me permet de filtrer les flux en entrée/sortie, la freebox v6 bien qu’évoluée ne permet pas de faire grand-chose à ce niveau.
La version Pfsense 2.1 RC1 est sortie depuis peu, n’étant pas dans un environnement professionnel je ne prends pas beaucoup de risque. De plus, sachant que PFsense se base sur FreeBSD et des outils éprouvés, j’aurais tendance à dire que seule l’interface web est en candidate release.
II. Lien de téléchargement
http://www.pfsense.org/mirror.php?section=downloads
III. Création de la machine virtuelle en mode KVM
Type : KVM (impossible de le faire en mode OpenVZ, FreeBSD oblige)
Média d’installation : l’ISO Pfsense précédemment téléchargée et uploadée sur mon serveur Proxmox
Espace disque : 10 Gigas (largement suffisant, ce n’est qu’un firewall, et cela même avec un proxy intégré)
Nom : pfsense.ec0.local
Mémoire : 256 Mo aurait suffi, mais vu que j’ai 4 Gigas à perdre j’ai donc mis 512 Mo.
Réseau : Une carte réseau en mode Bridge.
Pour le reste c’est du standard, mais attention il va falloir ajouter une seconde interface réseau à mon Firewall Pfsense (LAN + WAN)
C’est assez facile il suffit d’aller dans le menu suivant (cf capture).
Et de créer une seconde interface en mode Bridge.
IV. Installation de Pfsense
Démarrer le serveur pfsense.ec0.local depuis le serveur Proxmox et se connecter en VNC.
Étape 1 : Sélection du type d’installation « Custom install »
Étape 2 : Configuration du stockage.
On laisse la même géométrie du disque que celle proposée.
On valide les changements pour que notre nouvelle structure de disque soit effective.
On crée ensuite notre partition principal
On confirme et notre disque dur est presque prêt à recevoir Pfsense!!!
Il faut ensuite créer la partition de boot (on laisse les options par défaut)
On choisi ensuite le disque (partition qui va accueillir notre PFsense)
Étape 3 : Installation de PFsense.
Formatage de la partition principal, on va créer deux partition un / et une partition de swap
On install Pfsense, une fois finie la machine virtuelle rebootera.
V. Configuration réseau de PFsense.
Une fois la machine rebootée nous allons pouvoir configurer nos deux interfaces réseaux (LAN et WAN)
NB : Je n’active pas le support des VLANs, car je n’en ai pas besoin pour l’instant.
On identifie l’interface WAN re0 et LAN re1, et on valide les changements.
Dans cette capture on vois que les paramètres IP sont déjà configurés, je suis passé par le menu (2) Set interface IP, je vous laisse découvrir vous même cette partie c’est super simple.
VI. Connexion à l’interface WEB PFsense
Il vous suffit de vous connecter sur l’adresse suivante :
login : admin
mot de passe par défaut : pfsense
VII. Configuration des interfaces WAN et LAN (mode GUI)
Interface LAN :
Section Interface/LAN
On attribue une IP à notre interface dans mon cas 192.168.1.250/24 et on choisi de ne pas bloquer les réseaux privés.
Interface WAN :
On configure ensuite notre interface WAN toujours dans le réseau 192.168.1.X/24 mais cette fois-ci avec l’IP 192.168.1.251/24 et avec une MTU à 1460.
On va ensuite définir une passerelle par défaut.
Dans cette section je vais définir comme passerelle par défaut ma Freebox en 192.168.1.254
J’associe ma nouvelle passerelle à mon lien WAN et c’est parti, mon Pfsense fonctionne correctement et devient ainsi ma passerelle par défaut pour mon LAN !!!
NB : Il est effectivement bien plus secure de ne pas mettre le LAN ainsi que le WAN sur le même réseau, mais faute de mieux (je n’ai qu’une seule interface sur mon serveur Proxmox et pas de switch pour gérer des VLANs)
Je verrais peut-être pour m’acheter une petite carte réseau USB à l’avenir ou un switch avec une gestion des VLANs!!!
Exemples :
http://www.abix.fr/dacomex-adaptateur-gigabit-usb-reseau-rj45-10-100-1000,article,151336.html
http://www.materiel.net/carte-reseau/d-link-dub-e100-adaptateur-ethernet-usb-2-0-28084.html
Hi there,
nice job with your post. I was wondering if you have one NIC or two? If two, it won’t help me with my problem. If one, do you mind sending me your /etc/network/interface file please?
I have problem configuring the bridges correctly.
Thank you,
Michael
Hi,
Hello and sorry for the delay i was in holiday with a limited internet connexion.
In my side i only have one physical interface, but i use vlan.
I have migrate from proxmox to a server with kvm and lxc (i don’t use the cluster fonctionnality, i just have only one server)
Just below my /etc/network/interface (from my lxc server)
root@server:~# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
#auto eth0
#iface eth0 inet manual
#bond-master bond0
# VLAN 50 - DATA
auto vmbr0
iface vmbr0 inet static
address 10.249.0.250
netmask 255.255.255.0
network 10.249.0.0
broadcast 10.249.0.255
gateway 10.249.0.254
# Bridge command
bridge_ports eth0
bridge_fd 0
bridge_maxwait 0
bridge_stp off
# VLAN 1 - INTERNET FREEBOX
auto vmbr1
iface vmbr1 inet static
address 192.168.1.253
netmask 255.255.255.0
dns-nameservers 192.168.1.254
dns-search ec0.local
bridge_ports eth0.1
bridge_stp off
bridge_fd 0
bridge_ageing 0
# VLAN 10 - WIFI TPLINK
auto vmbr2
iface vmbr2 inet manual
bridge_ports eth0.10
bridge_stp off
bridge_fd 0
bridge_ageing 0