Firewall OpnSense virtualisé: Installation et Configuration cartes réseau
HTML-код
- Опубликовано: 21 окт 2024
- Hello! Pensez à vous abonner, mettre un petit "j'aime" et un commentaire et si vous vous le souhaitez, m'offrir un petit café ou profiter d'un lien affilié!
Nouvelle vidéo dans laquelle je vous montre ma manière d'installer une distribution de firewall dans une machine virtuelle avec la gestion des cartes réseau dans Proxmox.
Liens utiles:
OpnSense: opnsense.org/
Communauté, github & soutenir la chaine:
linktr.ee/tont...
Logiciels utilisés: Mobaxterm Home edition
mobaxterm.moba...
Virtualisé ou bare-metal votre firewall?
Un soucis? Passez sur le Discord exposer votre problème > discord.gg/2NQskxZjfp <
Pensez à vous abonner et à mettre une petit j'aime :-)
Liens invalid #Description : discord.gg/h6UcpwfGuJ
Bare-metal, évidemment ! ;)
[IPFire, 3 NICs]
Je trouve même assez bizarre de virtualiser un FW, perso, s'il y a un truc pour lequel
il n'y a aucun intérêt à virtualiser, c'est bien un FW, AMHA.
Après, évidemment, pour des tests avant mise en prod' ou un clone pour tester des MàJs
avant de les mettre sur le FW en prod' là, OK.
Mais c'est juste mon humble avis à moi que j'ai.
@@BrunoFerfone Je suisd'accord mais c'est oublier 2 cas: le buget avec la volonté de vouloir "rentabiliser" du matériel et les infra purement cloudées :)
@@TontonJo Arf... le cloud :/ one point.
Par « rentabiliser du matos » tu / vous voulez dire « faire des économies » ? ;)
@@BrunoFerfone Je dirais plus une volonté d'exploiter au maximum ce qui est
Un gros merci pour tes vidéo, et encore un gros merci à ta communauté Discord, il y a toujours quelqu'un pour prendre le temps de filer un coup de main, et on sait ce que ça demande en patience de gérer des gens qui n'ont pas les connaissances, et vous êtes toujours au top, patient et serviable, un gros merci encore une fois.
Avec plaisir et merci pour eux!
Héhé... !
Ça me rajeunit de re-voir l'installeur BSD -- qui n'a pas changé depuis 20 ans ! -- ça
me rappelle des [joyeux] souvenirs, notamment mon 1er FW sous OpenBSD, au
tout début de ce siècle ; MDR.
[puis ce fût IPCop, puis IPFire.]
Merci Tonton Jo, je n'avais plus vu de BSD sur mon écran depuis fort longtemps.
OpenBSD / freeBSD c'est la base pour tout ce qui à trait au réseau :)
@@TontonJo Yup, yup !
Avec une [très] nette préférence pour OpenBSD du point de vue sécurité (mais au
détriment de la simplicité, etc... ... comme d'hab').
hello
Tout d'abord, super vidéo
Ensuite pour etre sur, toi tu as une carte réseau a double Ethernet?
Exactement!
Bon continuation
Merci !
Hello, super tuto comme d'habitude.
Un avis entre openSense et pfSense ?
Hello! Merci!
J'ai une petite préférence esthétique pour Opnsense et j'en suis globalement satisfait:
Pas un avis fondé donc :-)
Merci.
On en a déployé 170 dans les établissements scolaires avec Sensei. Le gros avantage par rapport à pfSense, le filtrage applicatif. Par contre, Sensei est gourmand (normal, il écoute en permanence).
C'est vraiment pas mal Sensei, mais en effet ça consomme!
Hello, excellent tuto, merci ! Sur xcp-ng, ce serait quoi l'équivalent du "linux bridge" de proxmox ?
Hello!
Merci pour ton commentaire!
Je ne connais pas les interfaces possible sur XCP-NG. Peux-tu passer nous en dire plus sur Discord?
Je ne suis pas très connaissant côté réseautique. Quelle est l'utilité d'indiquer dans l'interface pont vmbr0 une passerelle et un masque réseau ? Du moins, pour ce qui est de l'adresse de la passerelle n'est-ce pas quelque chose qui sera de toute manière configuré directement dans chacune des machines virtuelles ? Merci.
Hello!
Les VM n'auraient en effet pas de problèmes, mais il en serait autrement pour Proxmox, tant pour son propre accès que pour y accéder :-)
@@TontonJo Je comprends maintenant, merci. C'est la manière pour l'hôte de se connecter à ce pont. Je crois que ce qui me confond c'est que cela soit fait sur l'interface WAN. À mon sens ce serait plus logique que cela soit fait sur l'interface LAN.
Tu n'a pas de problème avec mobaxterm ? Le mien a un délai de 0.5s entre le clavier et l'écran, même en local. C'est hyper-pénible...
Hello!
Absolument aucun problème de mon côté.
As-tu testé avec un autre utilitaire?
instinctivement je dirais que ce genre de lenteures est dûe au réseau
Salut Tonton je me suis fait éjecter de Discord (pas sympas les 2) alors que toi si donc mon problème se situe au niveau au niveau de la compréhension du sous réseau et firewall cité à 10,25.Ma question ou je peux trouver les miens et j'ai déjà installé sensé lan et fan ouvert DMZ sur ma box et port 443. Merci pour ta réponse ici
Hello!
Je te vois pas ejecté ou quoi et à 10:25 rien ne parles de sous-réseau :/
Pour tout ce qui à trait au côté WAN il te faut voir avec ton opérateur, je ne saurais pas t'aider.
@@TontonJo J'ai enfin trouvé plus qu'à paramétrer et merci pour tes vidéos
Le PCI passthrough est adapté si le routeur/pare-feu est en front de l'infrastructure physique (le datacenter en l’occurrence) et qu'il tourne sur un serveur seul.
Par contre, il est inadapté s'il tourne dans un cluster Proxmox VE car il est lié à la carte réseau physique donc impossible dans le cas de la HA de migrer la VM OPNsense en live migration (les ports LAN/WAN vont avoir une nouvelle adresse MAC sur la carte réseau du serveur de secours, ce qui va mettre un bazars pas possible).
Par contre, si on souhaite mettre un pare-feu en front de nos machines virtuelles, le mieux est de virtualiser OPNsense, d'utiliser les pilotes VirtIO ainsi que les switch virtuels Linux Bridge (layer 2) ou Open vSwitch (layer 2/3) fournis par Proxmox VE.
L'idéal serait :
- Un ou plusieurs routeurs/pare-feux en front de notre cluster,
- Des pare-feus virtualisés en front de nos machines virtuelles avec LB/OVS comme switch virtuels sur chaque serveur,
Par exemple, dans un établissement scolaire, tu peut mettre un routeur physique (peu importe la solution) en front de ton infra, un OPNsense virtualisé (pilotes VirtIO et OVS comme switch virtuel de niveau 2/3) pour le mettre en front de tes machines virtuelles et faire que l'IP publique (port WAN) soit géré par le OPNsense virtualisé.
très juste!
Hello je découvre cette video tardivement :-) J'ai une petite question car j'essaie de faire meme chose avec PFSense. La question bête est : dans la BOX de l'opérateur, vers quelle adresse IP du firewall rerouter le flux entrant https ?? CAr si je le reroute sur l'IP WAN (donnée par DHCP) ca marche pas. Si je le reroute sur l'IP du LAN? PFSense considère que c'est une attack et bloque tout.. Du coup, je ne comprends pas sur quelle IP NATer mon adresse publique... Merci !!
Hello!
Je déconseillerais en effet le double NAT ça pose pleins de complications. Il faudrait voir pour avoir l'ip publique distribuée en DHCP ou autres.
@@TontonJo merci, j'ai essayé de supprimer ma box et d'avoir directement l'IP par mon opérateur (bouygues telecom) , mais je n'ai pas encore réussi. Les tutos que j'ai trouvés sur le net sont assez anciens, il y a peut etre eu des changements de paramétrages depuis
Est-il possible d'avoir plusieurs Wan et plusieurs Lan ?
bien entendu: avec la meme manipulation de switch au besoin.
Merci , c'est sympa mais quand tu n'as qu'une carte réseau , comment faire ?
Hello!
En ajouter une carte réseau PCI express (je pense que ça doit fonctionner avec des dongle USB aussi mais pas sur et moins fiable je pense)
Sinon VLAN mais c'est beaucoup de configurations différentes.
@@TontonJo Salut Tonton Jo, merci beaucoup pour tes tutos, ils me sont vraiment utiles.
Je ne comprends pas la question de Thesceam59 qui demande comment faire lorsqu'il n'y a qu'une seule carte réseau car à moins d'avoir raté quelques chose, tu ne mentionnes pas le fait d'en avoir 2 et le tuto ne se fait que sur une seule. J'ai installé Proxmox avec environ 5 VM sur un NUCi3 et je n'ai qu'une seule carte.
@@cyrcaub2043 Hello!
En effet pour réaliser ce tuto, il faut 2 cartes (ou ports) réseau physiques: 1 pour le WAN et 1 pour le LAN -> 2 vswitch
Si ton nuc n'est possède qu'une il doit être possible d'en ajouter via l'USB, c'est pas le top , mais ça devrait fonctionner!
@@TontonJo Est ce qu'avec OPNSENSE je peux créer un réseau virtuel pour simuler une deuxième carte réseau ou est ce que se sont 2 choses différentes?
@@cyrcaub2043 Hello!
Oui, il est possible de crééer des VLAN depuis Opnsense, ça doit fonctionner avec le vswitch Proxmox mais je n'ai jamais testé.
N'hésite pas à passer sur Discord pour pouvoir discuter plus facilement :-)
Je suis un débutant et aimerait configurer le firewall et le système afin que mon réseau sois mieux sécurisé dès tuto en français ces rare et je trouve rien
Bonjour!
Dès qu'un firewall est en place il sécurise votre infrastructure en filtrant. Mais il peut y avoir quelques petits ajustements à faire pour fignoler, mais rien de très grave.
Je note cette idée pour une éventuelle future vidéo si jew trouve suffisemment de contenu sur le sujet!