Quelqu'un à t-il réussi à foutre un putain de Pfsense avec Promox?

#1

Bonjour à tous,

Quelqu’un à t-il réussi à faire fonctionner un pfsense avec Proxmox (et la bouse qui sert de réseau à Online ?)

Après 3 jours de test en tout genre et tout les tutos des 10 première pages google pour configurer pfsense avec Proxmox, je commence à déséspérer.

#2

en ayant aussi peu d’infos c’est difficile à dire…
Suis tous les tutos que tu as et verifie si les points ici sont ok :slight_smile:

Au niveau online :
Tout d’abord il faut une IP-FO pour la connection WAN (em0) de pfsense.
Pour cette IPFO il faut créer un mac virtuelle ad-hoc dans le manager.

Ensuite dans proxmox (je ne connais pas proxmox mais le principe est le meme en autres virtus):
Creer la vm (avec au moins 2 nic pour pfsense)

  • pour la nic1 (wan) il faut specifier une mac address manuelle (celle obtenue dans le manager online).
  • Il faut ensuite la “binder” sur la nic physique du server proxmox pour qu’elle puisse sortir (uplink).
  • pour le LAN et OPT1 il faut créer un switch virtuel par nic (ou un seul switch et configurer en vlans)
    Demarrer la vm et installer pfsense
    Je suppose que jusque la ca se trouve dans tous les tutos.

Dans pfsense (il faut tricher un peu) :
L’important comme en esx est de s’assurer que pfsense utilise la nic wan (em0) avec la bonne mac ET la bonne IPFO.
Donc configurer le wan (em0) avec l’IPFO et subnet mask /32
Au depart, il n’est pas possible de configurer le Gateway avec une IP (62.210.xxx.1) qui est externe au range de l’IP-FO en /32 ! donc le laisser vide.
Dans pfsense, lancer une session shell et taper :
route add -net 62.210.xxx.1/32 -iface em0
route add default 62.210.xxx.1
en utilisant le meme gateway que la nic physique de proxmox.
Ensuite retourner dans la config du nic wan et creer un gateway avec l’ip 62.210.xxx.1
A partir de là pfsense aura une connection vers internet (mais elle ne sera pas persistante apres un reboot evidemment).

Pour que cela reste permanent :
Dans pfsense, aller dans system > package manager et installer shellcmd.
Ensuite dans le menu services > shellcmd , il faut ajouter 2 lignes
Command Shellcmd Type Description
rem shellcmd route add -net 62.210.xxx.1/32 -iface em0
rem2 shellcmd route add default 62.210.xxx.1

J’espere que c’est plus ou moins clair… bon courage.

#3

Avec autant de négativité (titre + post), pas sûr que tu aies beaucoup d’aide…

Perso, avec cette page : https://linuxfr.org/forums/general-general/posts/configuration-reseau-proxmox-pfsense j’ai tout installé :wink:

#4

Bonjour,

Utilises-tu une carte VirtIO (paravirtualisé) ?
Si oui, mon message peut t’intéresser ^^

J’avais un problème similaire. Mais ça, c’était avant :slight_smile:

J’avais procédé globalement comme l’explique Bice au dessus.
Depuis mes VM, je pouvais pinguer des ip, mais la résolution de noms était curieuses :
- sur les CT, “ping google.fr”, commençait à “démarrer” très tard ;
- sur les KVM, cela retournait direct une belle claque :" ping: google.fr: Non ou service inconnu".

Donc, ça ne semblait pas être un problème de règles de firewall, puisque ça pouvait quand-même passer, certes tardivement, sur les CT. Mais alors quoi ?

Recherches, modifications, réinstallations, recherches, modifications, !migraines!, réinstallations…
STOP !!!

Je viens de trouver à l’instant la solution et maintenant tout roule : DNS correctement résolus. Accès au Web normal depuis les VM.

En fait, quand on utilise des VM avec des périphériques émulés via VirtIO, il est nécessaire de cocher une petite case bien planquée dans System/ Advanced/ Networking -> [x] Disable hardware checksum offload

Ceci a pour effet de désactiver une vérification de checksum sur la requête, car dans notre cas, elle tourne toujours mal.

https://computerz.solutions/pfsense-2-3-lan-nat-drivers-virtio-connexion-impossible/

https://techblog.jeppson.org/2015/06/fix-nat-not-working-with-pfsense-in-xenserver/

Moralité : la capture des paquets, c’est pas du luxe :wink:

1 Like
#5

Bonjour,

Pas mal, j’en suis à 2 jours. Mon pfsense ping bien le nic vmbr1, le vmbr0 etant le eth0 de promox.

J’ai une VM également qui ping vmbr1.

pfsense et ma VM utilise le nic vmbr1

Je viens de voir la petite astuce de “bice” pour acceder au pfsense depuis le net, je vais tester, pour le moment mon pfsense ne ping pas vers l’extérieure.

De même avec ma VM je n’arrive pas à accéder à l’interface de pfsense par le web

#7

Bon, je ne sais pas si c’est d’actualité, mais si quelqu’un tombe sur ce thread ca pourra servir.

Je pars d’une Debian (9) sur laquelle j’installes Proxmox (5). Nous ne sommes donc pas avec un template fait par Online, ni dans la conf d’un ISO fait par Proxmox.
:point_up: Attention, pendant ces manip, vous pouvez vous couper les pattes, prevoyez un accès IDRAC :point_up:

  1. La premiere étape est de créer un Bridge (nommons le vmbr10) avec l’interface publique (ici eth0)
    brctl addbr vmbr10
    brctl addif vmbr10 eth0

  2. Votre adresse IP publique doit etre sur le Bridge et non sur eth0
    cat /etc/network/interfaces

auto vmbr10
iface vmbr10 inet static

address VOTRE_IP_PUBLIQUE
netmask 255.255.255.0
broadcast XXX.XXX.XXX.255
gateway XXX.XXX.XXX.1
bridge_ports eth0
bridge_stp off
bridge_fd 0

  1. on crée un bridge pour le reseau LAN des VM derrière le pfSense
    brctl addbr vmbr1

  2. On mets une IP a cette interface ou pas, au choix (c’est l’interface LAN du pfSense qui fera Gateway pour les VM). Mais ca permet depuis la machine hôte de naviguer dans le LAN.

  3. vous installez votre VM avec une interface bridge sur vmbr10, avec l’adresse MAC generé dans l’interface, une seconde interface pour votre LAN sur le second bridge vmbr1

  4. on procède à l’installation du pfSense via la console

  5. On crée un tunnel ssh (proxy SOCKS) pour acceder à l’adresse ip LAN du pfSense dans le naviguateur et finaliser la configuration.

… et voilà

#8

Reste ensuite la problematique de la passerrelle ne se trouvant pas dans le même réseaux que l’IPFO. pfSense n’aime pas trop, mais dans les dernière version il est possible de la faire en allant dans les parametres avancés au moent de la création de la Gateway, en cliquant sur l’option qui va bien.