Déploiement d'un dispositif réseau virtuel ou « Network Virtual Appliance » (NVA) avec Performance Cloud VMware (NSX-T)

TABLE DES MATIÈRES

• Introduction
• Notes Importantes
• Schéma de la configuration (exemple de scénario)
• Configurez les réseaux virtuels requis
  • Créer un réseau acheminé
  • Créer un réseau isolé
• Déployer le dispositif
• Configurer la passerelle Edge
• Configurer le dispositif réseau virtuel pfSense
• Configurer les machines virtuelles derrière le dispositif réseau
• Créer des règles NAT sur l'appliance pfSense
• Configuration d’un réseau privé virtuel avec le dispositif réseau virtuel

Introduction

Ce guide décrit comment configurer votre propre pare-feu virtuel dans Performance Cloud VMware au lieu d'utiliser la passerelle Edge (incluse par défaut). Vous pouvez déployer votre propre pare-feu virtuel au lieu de la passerelle Edge à des fins de normalisation ou si des fonctionnalités spécifiques sont requises. Une fois le pare-feu virtuel correctement configuré derrière votre passerelle Edge, les configurations « NAT », du pare-feu et des réseaux privés virtuels ou « VPN » seront contrôlées via votre dispositif réseau virtuel.

Dans ce guide, un pare-feu virtuel pfSense est déployé derrière la passerelle Edge, mais les mêmes étapes seraient nécessaires pour déployer tout autre dispositif réseau virtuel de votre choix.

Notes Importantes

- Certaines étapes supposent que vous avez une bonne connaissance de la création de machines virtuelles et de la création de réseaux virtuels. Veuillez-vous référer aux articles principaux du Guide de démarrage si nécessaire.

- Veuillez noter que le support de Sherweb pour d’un dispositif réseau virtuel ou « Network Virtual Appliance » (NVA) est très limité.

- La sécurité par défaut bloque les serveurs DHCP (autres que le service DHCP de la passerelle Edge ou du réseau virtuel). Si vous envisagez d'utiliser le service DHCP avec votre dispositif réseau virtuel, veuillez nous contacter afin que nous puissions autoriser l'utilisation de ce service sur vos réseaux.

Schéma de la configuration (exemple de scénario)

• Le réseau LAN routé 10.0.0.0/24 a été choisi comme exemple, mais peut différer selon vos besoins.
• Le réseau LAN isolé 192.168.0.0/24 a été choisi comme exemple, mais pourrait différer selon vos besoins.
• La passerelle IP 192.168.0.1 de pfSense a été choisie comme exemple, mais pourrait être différent. 

Configurez les réseaux virtuels requis

Créer un réseau acheminé

Utilisez cet article pour créer un réseau acheminé. (10.0.0.0/24 nommé WAN dans cet exemple)

 

Créer un réseau isolé

Utilisez cet article pour créer un réseau isolé. (192.168.0.0/24 nommé LAN dans cet exemple)

(mêmes étapes, mais en choisissant type Isolé au lieu de type Acheminé)

Notes : Dans cet exemple, l’adresse IP de la passerelle Edge est configurée à 192.168.0.254/24 pour garder 192.168.0.1 disponible pour l'utiliser comme passerelle interne sur l'interface LAN du pare-feu virtuel. Cependant, nous aurions pu utiliser 192.168.0.1 dans la passerelle Edge et configurer le LAN sur le pare-feu pfSense avec une adresse IP différente, qui serait utilisée par les machines virtuelles derrière le pare-feu pfSense.

 

Déployer le dispositif

Quelques options sont disponibles pour déployer votre dispositif réseau virtuel.

• Importer le dispositif à partir d'un modèle OVF (voir le guide au besoin)
• Importer le dispositif dans un catalogue et le déployer à partir du catalogue (voir le guide au besoin)
• Importez le fichier .ISO dans un catalogue et créez une nouvelle VM. Connecter le fichier .ISO à la machine virtuelle et procédez à l’installation (voir le guide au besoin)

Pour cet exemple, nous avons créé un catalogue, téléversé un fichier .ISO et créé une machine virtuelle pour y connecter le fichier .ISO et y installer pfSense :

1. Création d’une nouvelle machine virtuelle et entrer toutes les informations requises.
   
   
   
   
   
   Notes:
   
   Dans cet exemple, le type d'adaptateur réseau E1000E est utilisé car l'installation par défaut de pfSense ne prend pas en charge l'adaptateur réseau VMXNET3 tant que nous n'avons pas installé le complément « open-vm-tools » dans le dispositif réseau pfSense. Une fois les outils déployés à l'intérieur du dispositif réseau pfSense, les adaptateurs E1000E peuvent être supprimés et recréés à l'aide du type d'adaptateur VMXNET3 et les interfaces pfSense peuvent être à nouveau configurées à l'aide des nouveaux adaptateurs réseau.
   
   Dans le cas d'un dispositif réseau pfSense, des problèmes d'accès à la page de configuration peuvent survenir avec les deux cartes réseau configurées lors de l'installation. Nous suggérons de commencer l'installation avec uniquement l'adaptateur « WAN ».
     

2. Une fois la machine virtuelle créée, allumez la machine virtuelle, démarrez avec le fichier ISO et suivez les instructions du fournisseur pour déployer le système d'exploitation. (Le type de bus du disque virtuel devra peut-être être modifié pour être compatible)
   
   
   
   
   
   
   
3. Configurez l'interface réseau « WAN » .
   Lorsque vous y êtes invité, configurez la passerelle en amont de l'interface « WAN » avec l'adresse IP du dispositif Edge (10.0.0.1 dans cet exemple)
   
   

Configurer la passerelle Edge

1. Allez dans la section Mise en réseau, puis dans Dispositifs Edge
   Cliquez sur votre passerelle Edge
   
   
   
   
   

2. Allez dans la section Pare-feu et cliquez sur MODIFIER LES RÈGLES.
   
   
   
   
   
3. Créez une nouvelle règle pour autoriser tout le trafic entrant-sortant (puisque les règles de pare-feu seront gérées par l'appliance virtuelle du réseau). Vous pouvez aussi restreindre une partie du trffic au niveau de la passerelle Edge si vous le souhaitez au lieu d’autoriser tout le trafic entrant-sortant.
   
   
   
    
4. Allez à la section NAT et cliquez sur NOUVEAU.
   
     
   
    
5. Créez les règles NAT suivantes :
    
   • Nouvelle règle DNAT (pour rediriger le trafic vers l’interface « WAN » du dispositif réseau virtuel)
     
     
     
     
     
   • Nouvelle règle SNAT – Réseau LAN
     
     
     
      
   • Nouvelle règle SNAT – Réseau WAN
     
     
     
     
     Les règles NAT devraient maintenant ressembler à ceci :
     
     
     
      

6. Allez à la section Routage, puis dans Routes statiques.
    Cliquez sur NOUVEAU
   
        
   
    
7. Entrez les informations de la nouvelle route.
   
    
   
    
   
    

8. À ce stade, vous devriez maintenant pouvoir accéder à votre dispositif réseau virtuel en utilisant l'adresse IP externe.
   
    

Configurer le dispositif réseau virtuel pfSense

Notes :

- Selon le dispositif réseau virtuel, vous pouvez également le configurer directement depuis la console ou depuis une machine virtuelle connectée au réseau LAN et y accéder avec son IP interne. Voir section ci-bas pour Configurer les machines virtuelles derrière le dispositif réseau.

- Dans le cas d'un dispositif réseau pfSense, vous devrez peut-être exécuter la commande suivante à l'aide de la console pour accéder au configurateur Web via l'adresse IP externe: pfSsh.php playback disablereferercheck
  

1. Maintenant que vous avez accès au dispositif réseau virtuel pfSense, vous pouvez installer le complément « open-vm-tools »
   
   
   
   
   
2. Une fois installé, vous pouvez supprimer la carte réseau de type E1000E pendant que la machine virtuelle pfSense est en cours d'exécution, il faudra 10 secondes pour déconfigurer la carte réseau à l'intérieur du serveur.
      
3. Une fois que vous avez attendu 10 secondes pour laisser l'ancienne carte réseau être déconfigurée dans le pfSense, vous pouvez maintenant arrêter la machine virtuelle.
    
4. Retirez la carte réseau de type E1000E et ajoutez les cartes réseau de type VMXNET3. Puis, démarrez votre dispositif réseau virtuel.
   
   
     
5. Vous pouvez maintenant reconfigurer l'interface « WAN » à partir de la console tel que fait lors de la configuration initiale.
   
   
   
   
6. Désactiver le NAT sortant (« Outgoing NAT ») dans le pfSense pour éviter un double NAT (Passerelle Edge + pfSense)
   
   Notes : Cela fonctionnera quand même s'il est activé, mais vous n'auriez pas besoin de la route statique dans la passerelle Edge et de la règle SNAT pour 192.168.0.0/24 pour le double NAT.
   
   
   
   
   
7. Arrêtez le dispositif virtuel pfSense et ajoutez la carte réseau LAN. Ensuite, rallumez le dispositif virtuel pfSense.
   
   
   
   
8. De retour dans le configurateur Web, vous pouvez maintenant attribuer et configurer l'interface LAN.
   
   

Configurer les machines virtuelles derrière le dispositif réseau

1. Configurer l'adaptateur réseau de votre machine virtuelle sur le réseau LAN
   
   
   
   
   

2. Configurer l'adaptateur réseau des machines virtuelles
   
   
   
   
   
3. Vous devriez pouvoir accéder à Internet à partir des machines virtuelles derrière le dispositif réseau virtuel.
   
    

Créer des règles NAT sur l'appliance pfSense

Voici un exemple de règle d’ouverture de port.
 

1. Dans cet exemple, nous ouvrons le port « RDP » vers une machine virtuelle Windows.
   
   
   
   
   La nouvelle règle devrait ressembler à ceci.
   
   
   
   
   
2. Autoriser le port dans les règles de pare-feu
   
   Notes : Dans la mesure du possible, nous vous déconseillons de tout autoriser avec « Any » pour les adresses IP source pour des raisons de sécurité et de performance.
   
   
   
   
   
3. Testez l’accès bureau à distance via l’adresse IP externe
   
   
   

Configuration d’un réseau privé virtuel avec le dispositif réseau virtuel

Pour la configuration d’un réseau privé virtuel ou « VPN », assurez-vous de configurer l'adresse IP externe de la passerelle Edge comme identifiant, car, si vous configurez d’utiliser l’adresse IP « WAN » du dispositif réseau virtuel comme identifiant, l’adresse IP 10.0.0.2 sera utilisée au lieu de l'adresse IP publique et le « VPN » ne connectera pas.