Installation de pfsense sur un serveur ESXI

PfSense est un pare-feu open source basée sur l’Unix FreeBSD.

Le but de ce tutoriel est de donner accès à plusieurs machines sur votre ESXi à internet en passant par une seule IPFailover. Si vous ne savez pas installer une machine virtuelle en passant par le client vSphere, je vous invite à lire ce tutoriel en effet je ne vous détaillerais pas la création de la machine virtuelle ici.

Vous pourrez télécharger l’image iso de pfsense ici prenez la version se terminant par .iso.gz et penser à la décompresser avant de l’uploader sur votre data-store.

Etape 1 : Installation de pfsense

Au moment de l’installation lors du choix du Système d’exploitation client choisissez Autre > FreeBSD, vous aurez besoin d’attribuer deux cartes réseaux à votre machine virtuelle : Une pour le Wan et une pour le Lan

Image

Image

Vous pouvez maintenant démarrer votre machine virtuelle pour lancer l’installation de pfsense

Image

Un menu apparaît choisissez l’action par défaut touche « 1 » pour débuter l’installation et la configuration de pfsense

Image

puis appuyer sur la touche I pour lancer l’installation

Image

Sélectionnez « Accept this settings »

Image

Puis « Quick and easy install »

Image

Validez votre choix

Image

Image

Si vous avez plusieurs processeurs sélectionnez « Symmetric multiprocessing kernel »

Image

Après avoir déconnecté l’image iso de votre lecteur CD virtuel, redémarrez votre pfsense en sélectionnant « Reboot »

Etape 2 : Configuration de base de pfsense

ImageIndiquez que vous ne souhaitez pas activer la configuration des vlans en appuyant sur « n »

Image

On indique quelle carte sera considérée comme l’interface « WAN » (internet), ici je sélectionne ma carte « em0 » qui possédait l’ip failover.

Image

même chose pour le réseau local mais avec la seconde carte

Appuyez maintenant sur la touche entrée pour valider la configuration des cartes

Image

Vérifiez une dernière fois votre configuration et validez.
L’installation de pfsense commence.

Une fois l’installation de pfsense terminé on remarque que notre carte LAN c’est vu attribuer une IP, cette ip va nous servir à accéder à l’interface web de configuration de pfsense et nous permettre de configurer l’accès au WAN sur la deuxième carte.

Image

On va maintenant activer le dhcp et la webinterface de pfsense sur notre carte lan

Pour ce faire dans le menu sélectionnez l’option « 2 » « Set interface IP address »

Image

Sélectionnez votre carte réseau Lan en tapant « 2 »

Image

et attribuer lui une ip, ici 192.168.1.1

Image

Configurez maintenant le masque de sous réseau sous la forme « CIDR », ici je choisie un masque de classe C = 24 = 255.255.255.0

Image

On active le DHCP sur la carte LAN

Image

On configure la plage qui sera utilisée par le DHCP pour fournir une adresse au client.

Puis on active le WebConfigurator protocol pour avoir accès à l’interface web.

Image

Pour accéder à cette interface « 192.168.1.1 » il va falloir configurer une machine cliente pour quelle obtienne une ip à partir du dhcp du pfsense. Si vous n’avez pas de machine de cliente installé sur votre ESXi, vous pouvez suivre ce tutoriel.
Seul impératif il faut que sa carte réseau soit configuré sur le port_group sur lequel votre carte Lan pfsense est connectée. Ici je configure l’interface de mon OS client sur le portgroup « Reseau Interne ».

Etape 3 : Configuration de la carte WAN

Connectez vous sur votre machine cliente qui doit posséder logiquement une adresse ip en 192.168.1.* si vous avez correctement configuré votre dhcp.

Dans votre navigateur web tapez 192.168.1.1 :
Vous devriez arriver sur l’interface de pfsense, un login et un mot de passe vous sera demandé.

Image

Login : admin
password : pfsense

Vous voilà maintenant connectez sur l’interface web de pfsense, nous allons attribuer l’ip failover à l’interface WAN
Pour se faire aller dans Interface > WAN

pf100

Vérifier que l’adresse MAC correspond à l’adresse MAC de votre IPfailover
Ajoutez votre IPfailover

Nous allons maintenant ajouter les routes pour la carte WAN.
Rendez-vous dans l’onglet Diagnostics > Command Prompt.

Image

Cela va vous permettre d’accéder au shell de pfsense

Image
La configuration des routes est très simple il vous suffit de passer les commandes suivantes :

Votre passerelle correspond à l’adresse de votre ESXi en modifiant le dernier octet pour le mettre à 1
ex : ip ESXi 88.100.215.29 —-> ip passerelle 88.100.215.1

Ci-dessus il faut bien se baser sur l’ip de son ESXi et non l’ipfailover

Après avoir rajoutez les routes vérifier dans l’onglet Interface > Wan que votre interface utilise bien la nouvelle Gateway :

pf102
En rouge : IPfailover
En vert : Gateway

Votre carte WAN est maintenant configuré. Malheureusement a chaque redémarrage de pfsense par exemple pour une mise à jour, la configuration de la passerelle sera perdu …

Pour palier à ce problème nous allons installer un  Packages disponible pour pfsense.

Rendez-vous dans System > Package est installé « shellcmd »

shellcmdUne fois installez rendez-vous dans Services > shellcmd et cliquez sur ajouter pour passer une commande shell. Nous allons rajouter les deux commandes que nous avons utilisées tout à l’heure.

shellcmd1

A chaque redémarrage de votre pfsense pour une mise à jour par exemple shellcmd exécutera automatiquement les commandes que nous lui avons données.

82 réflexions au sujet de « Installation de pfsense sur un serveur ESXI »

  1. Bonjour
    J’ai un soucis j’ai pas sauvegarder la config su pfsense ……
    alors voila j’ai 2 ip publique
    la premiere sur esx 88.190.48.97
    la seconde que j’ai rajoute sur mon pfsense 88.191.242.38
    j’ai essaye les 2 gtw mais pas possible de surfer
    merci

    j’essaye de taper les 2 lignes mais qu’elle adresse je dois mettre en gtw
    88.190.48.1 ou 88.191.242.1 ??
    egalelement c’est pas un /24 qu’il faut rentrer ?:
    route add -inet ip de la gtw /32 -link -iface em0
    route add default ip de la gtw

  2. Bon écoute ton tutoriel est pas mal, mais apparement il y a plusieurs personne ou cela ne marche pas ! est pareil pour moi

    tu as oublié aprés la configuration de IP LAN aprés la validation de la valeur 24 pour (255.255.255.0) la question :

    FOR a WAN enter the new LAN IPv4(tralala) en gros rentrer une ip GATEWAY LAN !
    donc la faut faire quoi ?

    deuxième chose apparemment le fais d’être en 255.255.255.255 sa ne marche pas j’ai réussie à faire fonctionner internet sur un vps windows connecter au lan 192.168.1.1 et avoir internet mais des que je modifie non pas dans le shell mais directement dans le panel, la plus internet ….

    est-ce que tu peux faire une vidéo ou une mise à jours, quand ont fais quelque chose on le fais bien et surtout ont le termine, et ont le tiens à jour, merci

  3. Bonjour,
    Merci pour ce tuto :)

    J’ai une petite question qui pourrait venir par la suite. Je souhaitais assigner une seconde ip publique à mon Pfsense (multiple serveurs web). J’ai essayé d’assigner une virtual IP sans succès. Aurais tu une petite idée sur la méthode à utiliser ?
    Merci infiniment pour ta réponse.

              1. oui mais non… Ca ne fonctionner malheureusement pas. D’ailleurs quand j’ajoute la virtual IP, celle ci ne repond pas au ping… (malgré le faite que j’ai configurer la reponse au ping).
                Je dois passer à coté de qq chose, mais je ne sais pas quoi…

                1. Il faut que tu ajoutes les règles qui vont bien niveau firewall, par défaut tout est bloqué… je ne sais plus si la virtual est considérée comme une interface classique au niveau des règles, à vérifier

                    1. Je peux pas répondre à ton poste chère Ophyde, alors je post ici.
                      En effet, je suis assez peu familiarisé avec les reverse proxy. Mais la procedure à l’air diablement efficace et le tuto au top comme toujours. Je mets tout ca en pratique et je fais un retour.
                      Milles merci à toi et xhark pour vos réponses :)

                    2. Juste un petit retour.
                      J’ai mis du temps à mettre en pratique le reverse Proxy, mais cela fonctionne à merveille.
                      Alors milles mercis Ophyde et xhark :)

  4. Bonjour à tous,

    Un grand merci à Ophyde, c’est vraiment the « tuto » à avoir. J’ai du certes m’y reprendre à plusieurs reprises, mais là ça marche est très bien.

    Donc un grand big up, pour le travail derrière, le partage.

    Dioxyde aka co2

  5. Bonjour Ophyde,

    Je me permets de t’envoyer ce message afin de te remercier pour ce tuto.
    Ceci dit, je souhaiterai savoir ce qu’il faudrait que je renseigne dans la partie
    « for a WAN, enter the new LAN IPv4 upstream gateway address
    for a LAN, press for none:
    >
     »

    Cordialement

  6. Oki,

    C’est bon, en refaisant plusieurs fois, j’y suis arrivé.

    J’en suis à configurer l’interface em0 soit le WAN pour pouvoir ensuite dl le package shellcmd ^_^

    j’avance, j’avance!!

    merci en tout cas

  7. Dans la foulée, l’ip publique que tu ajoutes « route add -inet IP…. » c’est bien l’ip failover ?

    En attente de ton retour.

    Williams

    1. Non la gateway c’est l’ip de l’esxi pas l’ip failover ;-)
      C’est normal que tu es cette erreur pfsense doit d’abord être bien configurer pour accéder au réseau avant de pouvoir télécharger et installer des packages.
      Les routes que tu as utilisé pour configurer ta carte WAN ne doivent pas être les bonnes.

  8. Salut,
    hum, ok

    pour faire simple:
    mon ip publique est en 62.X.Y.Z
    ip failover 212.X.Y.Z
    dans interface /wan, j’ai mis l’ip 212.X.Y.Z/32
    dans le command prompt j’ai mis route add -inet 62.X.Y.1/32 etc…

    J’ai bien compris la config ?
    cordialement
    williams

  9. Justement , que ce soit à partir du webUI ou de la vm pfsense (choix 7), le resultat est le même 3 pertes de packet, 100% perdus…
    donc c’est pour cette raison que je redemandais bien la conf.

    Maintenant, cela peut peut être venir de la conf que j’ai fait au niveau de l’ESXi…

  10. Re-bonjour à tous.
    Si vous rencontrez les mêmes problèmes que moi, c’est à dire : Pfsense ne semble pas avoir de connexion Wan, voilà la manip que j’ai fait, cela pourrait peut être servir à d’autres :-p

    Vérifier, dans un premier temps le ping vers l’exterieur répond bien depuis l’esxi (connecté en ssh)

    dans le menu « Interface->Wan », j’ai bien configuré l’ip Fo comme expliqué par Ophyde (merci Ophyde ;-) )
    Penser a sauvegarder et appliquer les changements, et redémarrer pfsense.

    Une fois pfsense redémarré, ajouter les routes précisé par Ophyde, et normallement, tout devrait fonctionner correctement

    Williams

  11. Re-bonjour,

    Encore un léger souci.

    Sur la patte Lan du pfsense, j’ai pas d’accès au net….
    je fais par exemple un ping sur 8.8.8.8 -> tout les paquets sont perdus…

  12. Auriez vous a tout à hasard, une idée de « comment faire en sorte que pfsense donne accès à internet depuis sa patte Lan?

    Bien cordialement
    Williams

    1. Oui Pfsense fait office de pare-feu, il faut que tu autorises les fluxs de ton client à sortir sur le net.
      Pour se faire il faut créer les régles dans « Firewall > rules > Lan »

  13. Salut Ophyde.

    Je viens de faire une régle sur l’interface LAN, où je dis, d’accepter tout traffic en TCP/UDP….mais, ca ne fonctionne pas mieux…
    peut etre ai-je oublié autre chose…mais quoi…!?

    lorsque je fais un ping sur 8.8.8.8 depuis la patte Lan de mon pfsense (diagnostic:ping), le ping echoue

    A moins qu’il faut que je fasse une « jonction » entre la patte Lan et la patte Wan…
    mais je sais pas comment faire

    1. Depuis pfsense fait un ping :

      – depuis l’interface WAN vers ta gateway,
      – depuis l’interface WAN vers 8.8.8.8,
      – depuis le l’interface LAN vers 8.8.8.8.

      ça donne quoi ?

      Regarde à l’étape 3 du tuto j’ai rajouté quelques explications.

  14. Re-bonjour Ophyde.

    Merci pour cet ajout dans la partie 3, cela m’aide bien car, j’avasi oublié de rentrer la gateway

    l’ajout de la gateway semble prendre beaucoup de temps chez moi, comme le montre ce screenshot
    http://w.bui.free.fr/pfsense_1.png

    ping de l’interface WAN vers ma gateway (IP publique .1)
    Ping OK

    ping de l’interface WAN vers 8.8.8.8
    Ping OK

    ping de l’interface LAN vers 8.8.8.8
    Ping NOK

    Ping de l’interface LAN vers l’interface WAN (IP FO)
    Ping OK

    Ping de l’interface LAN vers l’IP publique
    Ping NOK

    :-/

    Bien cordialement
    Williams

  15. Salut xhark,
    mon architecture est pour le moment, comme cela:
    INTERNET —— ESXI —– PfSense (VM1) -|— Client Windows 7
    Au niveau de l’ESXi, cela donne ça:
    http://w.bui.free.fr/pfsense/ESXI_1.png

    En suivant les indications ajoutés par Ophyde, voilà ce que j’ai dans la configuration de l’interface WAN:
    http://w.bui.free.fr/pfsense/pfsense_2.png

    lorsque je clique sur « save gateway », j’ai info qui me dit d’attendre, mais, cela ne disparait pas, même après 10 minutes (j’ai fait le test)
    http://w.bui.free.fr/pfsense/pfsense_1.png

    j’ai donc fait les tests de ping demandé par Ophyde, sur la patte WAN, j’accède bien à internet, mais, sur la patte LAN, je ping l’ip de mon client

    http://w.bui.free.fr/pfsense/ping_lan_8.png

    http://w.bui.free.fr/pfsense/ping_wan_gtw.png

    http://w.bui.free.fr/pfsense/ping_wan_8.png

    Bien cordialement
    Williams

    1. ton vSwitch1 n’est relié à aucune carte ? tu ne l’utilises qu’en interne avec tes VMs ?

      Sans l’IP failover, est-ce que ça fonctionne ?
      Est-ce que tu vois des choses dans les logs firewall (pense à activer le log) ainsi que le log système.
      Ouvre tout, from any to any et proto any. Au moins tu verras si c’est une règle qui bloque.

      J’ai un pfSense sur un ESXi, et je n’ai eu aucun souci pour le faire fonctionner. Pense aussi à vérifier tes masques réseau

  16. Salut xhark,

    le vSwitch1 sert pour mon réseau Lan, où je mettrai toutes mes vms.
    toutes les vms passeront par le pfsense pour avoir accès au net.

    au niveau des masques de sous réseaux:
    http://w.bui.free.fr/pfsense/status_interface.png

    les régles de firewall
    http://w.bui.free.fr/pfsense/firewall_rules.png

    quand tu me demandes si sans l’IP FO ça fonctionne, tu veux que je l’enleve, c’est bien cela?

    dans cas, j’ai juste a remplacer l’ip fo par l’ip puplique?

    quand aux logs, je vais chercher sur google comment les activer et les consulter.

    Bien cordialement
    williams

  17. Quand tu as quelque chose qui ne fonctionne pas, il faut revenir à la base. Puis complexifier l’install pas à pas pour mettre en lumière le paramètre qui provoque le défaut, donc oui vire ton faileover ainsi que le routage associé, reviens dans une configuration basique.

    Désactive aussi ipV6 dans un premier temps sur tes interfaces em0/em1.
    Dans ta règle il faut mettre protocole en any (*) au moins t’es sûr que rien n’est filtré pour le debug (même si mettre IPv4 doit théoriquement faire la même chose…)

  18. salur xhark,

    merci pr ta réponse.

    j’ai enlevé l’ip failover pour la remplacer par l’ip publique, dans interface:wan
    http://w.bui.free.fr/pfsense/modif_test.png

    j’ai enlevé les deux rélges de routages qui
    étaient celles données par Ophyde.

    lorsque je refais un test de ping 8.8.8.8 depuis l’interface wan, cette fois, j’ai un ping NOK

    Bien cordialement.
    williams

  19. Bonsoir à tous.

    J’ai résolu le souci.

    En fait, Il me fallait absolument renseigner la gateway sur l’interface em0

    n’y arrivant pas par « interface->Wan », je suis passé par « system->routing », onglet gateway, et « add gateway »

    Là, ça a fonctiooné, car, en revenant dans « interface->Wan », la gateway que j’ai renseigné précedemment apparrait dans la liste deroulante.

    j’ai pu la selectionner et valider toutes les modifs.

    Afin de tester que tout fonctionne correctement, j’ai effectuué un ping , sur la patte LAN de 8.8.8.8, celui-ci est OK

    et donc en faisant un ping de 8.8.8.8 sur le client windows 7 : ping OK

    Merci à tous pour vos aide.
    Le diag a été long, mais maintenant c’est nickel!

  20. Je suis en train de faire un tuto PDF (très) détaillé afin que celui qui n’y connaisse rien puisse tout même effectuer l’installation sans problème.

    Pourrai-je le partager ici Ophyde?

    Williams

  21. Re,

    Est il normal que le ping vers l’ip failover soit NOK?

    est ce que normalement je pourrais me connecter à l’interface web pfsense depuis l’exterieur en entrant l’ip failover?
    car si cela est possible pour vous….moi j’y arrive pas :-(

    En attente de vos retours.
    Williams

    1. Oui c’est normal si tu n’as pas autorisé les flux icmp sur ton interface WAN.
      Par défaut la WEBui est accessible qu’à partir du LAN mais tu peux le rendre accessible depuis le WAN si tu le souhaites ce que je te déconseille ;-)

  22. merci pour ta réponse Ophyde.

    Autre question:
    est ce normal que, lorsque je ping mon ip failover, le ping est en échec.

    l’ip failover permet d’accéder aux serveurs sans utiliser l’ip principale?
    c’est bien cela?

    cordialement
    Williams

    1. Je t’ai déjà répondu à ta question sur le ping :
      « Oui c’est normal si tu n’as pas autorisé les flux icmp sur ton interface WAN. »

      L’ipfailover ça te permet d’avoir d’autres ip publiques routables sur internet en plus de l’ip de ton ESXi que tu peux attribuer à n’importe quels serveurs que tu as virtualisé ;-)

  23. Bonsoir, cela va paraitre bête mais je ne connais pas trop Exsi
    je jouais sur proxmox avant et du coup je comprend pas trop la config reseau à mettre en place dans ton tuto tu expliques utilisé 2 carte reseau, pourrais tu faire un screen de la config ^^ ?

    Merci

    1. bon voila après pas mal de recherche est d’essaie j’ai reussi a tout configurer Sauf que pfsense peut pinger sur le wan, mais par contre moi je ne peu pas le pinger de l’exterieur et lui me dit qu’il a pas de connexion internet, prendrait t’il en compte le lan par default ?

    1. Depuis pfsense fait un ping :

      – depuis l’interface WAN vers ta gateway,
      – depuis l’interface WAN vers 8.8.8.8,

      Depuis ta machine cliente :

      un ping de ta gateway (192.168.1.1 je pense)
      un ping vers 8.8.8.8

      ça donne quoi ?

  24. mais par contre quand je refait l’execution des commandes de routing
    le Wan vers 8.8.8.8 fonctionne vers la GW aussi >< a n'y rien comprendre

    1. Tu as redémarré ton pfsense entre les tests ? si c’est le cas la configuration des routes sautent au redémarrage c’est pour ça que tu as du les repasser je pense !
      Va dans « Diagnostics > dns lookup » et essaye de résoudre l’adresse 212.129.5.214 ça te donne quoi ?

  25. ah effectivement >< voila, j'ai juste du rajouté le dns google pour pouvoir acceddé au net
    du coup en désactivant le firewall je devrait pouvoir avoir le net des vm qui sont sur le reseau lan?

  26. oui nickel j’ai réactive le firewall du coup ma vm communique vers l’exterieur mais j’arrive plus a accédée a l’interface de l’exterieur encore pas mal de truc à comprendre ^^

  27. toute la config de base de pfsense je l’ai faite avec une vm sur un live ubuntu, en desactivant le firewall j’ai pu ensuite accédé a pfsense de mon pc de la maison ( mon esxi est chez un hébergeur) mais en relancant le firewall celui ci ma coupé l’accés a pfsense ^^

    1. et voila tout fonctionne, j’ai fait les redirections de port adequate et j’arrive a accédé a l’ensemble de mes vm :)

      très bon tuto :)

      1. Salut schwartz

        Peux tu m’expliquer comment tu as configurer tes régles firewall afin de pouvoir accèder au Pfsense depuis l’extérieur, car, là je n’y arrive pas.

        Bien cordialement
        Williams

  28. Salut Ophyde, je n’arrive pas à m’en sortir avec ma config.
    J’ai un serveur physique esxi avec 2 NIC : le lan 192.168.0.X et une WAN DMZ ip fixe (je n’ai pas d’adresse ip failover). un pfsense 192.168.0.240 et un serveur web 192.168.0.17

    depuis mon pfsense je n’arrive pas a faire un ping sur 8.8.8.8 et donc tout le reste foire.
    j’ai bien une gateway déclarée mais je ne sais pas ou renseigner mon subnet mask qui doit être 255.255.255.252 selon mon provider.
    Des idées , un dépannage ? je rémunère évidement… Merci Fred

    1. Salut,

      On parle bien d’une ip publique pour ta carte WAN ?
      Pour configurer le mask il faut aller dans Interfaces > Nom de ta carte
      255.255.255.252 en notation CIDR ça donne 30 :)
      Tu as autorisé le ping depuis tes machines de ton Lan ? Firewall > rules

      Ophyde

  29. Je n’avais pas mis le /30 dans l’adresse WAN en effet . Merci :-) Je peux maintenant pinger depuis pfense mais lorsque je teste le reverse proxy je suis redirigé vers https systématiquement et donc j’arrive sur la page web du esxi et non pas sur mon serveur web.

  30. Désolé j’ai posté sur l’autre page : –> Oui j’ai suivi le tuto mais je suis noyé dans mon installation, serais-tu disponible pour un dépannage rémunéré , en freelance ? si oui on peut en discuter via ma boite mail. si non , je peux t’expliquer mon souhait et t’expliquer en détail ma config. Merci pour ton aide c’est très important pour moi.

  31. Bonjour,
    Aussi curieux que cela puisse paraitre, j’ai suivi le tuto sans avoir vraiment le même résultat.
    Ainsi, j’ai ajouté ma passerelle par défaut ainsi que la route via l’interface wan. Mais, bizarrement pour pfsense je n’ai pas de passerelle. Quand je regarde dans « Interface, WAN » et « IPv4 Upstream Gateway », c’est toujours à none alors que je sors bien et que depuis l’extérieur le PF répond bien aux ping moyennant une règle de pare-feu.
    En soit, ce n’est pas très grave vu que cela fonctionne mais le service apinger refuse de démarrer prétextant qu’il n’y a pas de passerelle ou de route de configuré.
    Bref, je ne sais pas trop quoi en penser.

    1. Bonjour,

      Dans mon souvenir je crois que c’est lié au fait que nous ne sommes pas passé par l’interface web pour configurer la default GW.
      Je crois que tu peux la rajouter en cliquant sur « add a new one » dans « Interface WAN »
      Personnellement j’ai stoppé le service apinger il a tendance à foutre le bordel…

      Ophyde.

      1. Bonjour,
        Entre temps, j’ai fini par réussir à ajouter la passerelle via la page de configuration du wan.
        Une fois cela effectué, je pinguais tous les réseaux y compris internet, les pings passaient bien vers le net mais ni l’UDP ni le TCP ne passaient. Le problème venait des cartes réseau virtuelles. Il y avait un bug dans les pilotes.
        Maintenant tout fonctionne correctement.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *