Назад | Перейти на главную страницу

Настройка сети ESXi для виртуальных машин, которые подключаются к Интернету через PfSense

Использование ESXi v6 со следующей настройкой:

Один стандартный коммутатор: vSwitch0

Я хотел бы добавить 4-ю виртуальную машину с PfSense, через которую будет проходить весь входящий и исходящий интернет-трафик, к трем виртуальным машинам, которые я уже запустил.

Что-то вроде трех виртуальных машин, имеющих внутреннюю частную сеть (скажем, в диапазоне 10.10.10.0), с использованием брандмауэра pfSense в качестве шлюза. Один из способов, которым это может сработать, - это создать сеть только для локальной сети. Каждая из 3 сетевых карт виртуальных машин будет подключена только к этой локальной сети (предполагается, что в качестве шлюза используется 10.10.10.100).

PfSense будет иметь два сетевых адаптера, один из которых подключен к физическому сетевому адаптеру, а другой - к локальной сети с IP-адресом 10.10.10.100.

Что я уже сделал:

Нужно ли мне настроить шлюз для этих сетевых адаптеров виртуальных машин на IP-адрес PfSense LAN only? Или я могу использовать vkernel и изменить шлюз с общедоступного IP-адреса по умолчанию на 10.10.10.100 (попробовал это однажды, и я потерял соединение с сервером ESXi)?

ПРЕДУПРЕЖДЕНИЕ о вашей настройке

Я бы посоветовал вам с осторожностью использовать эту систему в этой настройке, если у вас только один физический адаптер, а затем только один восходящий канал к вселенной из системы. Я бы посоветовал пойти и купить дополнительный адаптер для системы и добавить его в вашу систему - так у вас все еще будет резервное физическое соединение.

Другая головная боль, с которой вы столкнетесь при использовании только одного восходящего канала, заключается в том, что вам придется переместить свой VMKernel в сеть pfSense, и тогда вы не сможете получить доступ к этому VMKernel через Интернет. Затем вам нужно будет настроить VPN на pfSense, чтобы вы могли подключиться к сети через VPN для доступа к сети управления ESXi через pfSense.


Несколько важных примечаний к моему ответу, которые вам следует принять к сведению.

  • Я не собираюсь подробно рассказывать, как настроить pfSense. Этот вопрос здесь касается настройки сети ESXi, поэтому я обращаюсь к этой части ответа. Если вам нужна помощь в настройке pfSense, задайте отдельный вопрос или обратитесь к одному из миллиардов руководств в Интернете.
  • Сервер ESXi, который я использую для своих снимков экрана, имеет девять (9) физические порты Ethernet на нем. Из них только два не используются, поэтому на этих изображениях они показаны как vmnic5 и vmnic6. В то время как изображенные элементы на моих схемах для этого не активно используется, этот подход до сих пор «работает». Я проверил это как на VMware Workstation (с другим, но похожим подходом), так и на моем ESXi.
  • Моя система ESXi - ESXi 6.0U2, с включенным встроенным веб-интерфейсом. Я могу переключаться между WebUI и vSphere Client; на моих скриншотах, но основы настройки остаются прежними.
  • На моих скриншотах НЕ будет VMKernel. VmKernel на моем ESXi находится на отдельном vSwitch, с отдельным восходящим каналом, в отдельной подсети. Мой диаграммы хотя покажет элемент VMKernel.

С учетом моих обязательных предупреждений это действительно не так сложно, как кажется.

С участием физический оборудования и физического устройства pfSense, у вас будет порт WAN и порт LAN. Ваш порт WAN будет подключен к восходящей линии связи с миром. Порт LAN будет подключен к коммутатору определенного типа, а остальная часть инфраструктуры LAN во внутренней сети. WAN pfSense будет настроен для IP-адреса WAN (статический или динамический), а локальная сеть pfSense будет настроена для IP-адреса LAN со статическими настройками, и вы либо включите DHCP для LAN, либо получите статический IP-адрес каждой отдельной системы. d со шлюзом по умолчанию, указывающим на эту LAN.

Со всем, что есть на ESXi, мы должны подражать этому, но это все та же концепция.


ESXi и vSphere

Если у вас уже есть виртуальные машины, вероятно, у вас уже есть vSwitch0, который, в свою очередь, связан с исходящими каналами физической системы, например, здесь, но с виртуальными машинами в группе "Сеть виртуальных машин" и с vmnic что на самом деле с чем-то связано:

Важно, что с этого момента все, что есть на vSwitch0, теперь будет рассматриваться на «восходящем канале», так как на нем есть физические сетевые адаптеры.. Мы можем изменить это позже. Виртуальный сетевой адаптер pfSense WAN будет находиться на этом коммутаторе.

Создайте vSwitch1 для локальной сети pfSense

Здесь мы создадим локальную сеть. Если вы уже создавали vSwitches, вы можете легко пройти через эту часть, но на самом деле мы добавляем vSwitch для виртуальных машин, а не VMKernel. Ключевым моментом здесь является не подключите физический адаптер к этой сети, поскольку мы запускаем его через pfSense, который будет виртуальным сетевым адаптером, подключенным к этому vSwitch. Я назвал новую группу портов здесь «pfSense LAN».

Отложено на потом: переместите виртуальные машины в локальную сеть pfSense.

Потому что это может быть система, в которой вы не может есть время простоя, я собираюсь переместить виртуальные машины в локальную сеть pfSense в качестве более позднего шага.


pfSense ВМ

Теперь о pfSense. Когда вы создаете виртуальную машину pfSense, вам необходимо предоставить ей два виртуальных сетевых адаптера - одну для pfSense «WAN», которая является «внешней», на которой существует восходящий канал, и одну для pfSense «LAN», которая является внутренней сетью. который защищает межсетевой экран pfSense и выполняет NAT и маршрутизацию к восходящему каналу для машин в локальной сети.

При настройке pfSense необходимо убедиться, что вы предоставили виртуальной машине два виртуальных сетевых адаптера (vNICs, с этого момента и далее в этом ответе). Каждый из них должен быть в отдельных сетевых группах, которые у нас есть, одна - в vSwitch0 ("Сеть виртуальных машин", как раньше), и один на vSwitch1 ("pfSense LAN"). я использую E1000 адаптеры типа - они, похоже, хорошо работают с системой pfSense на базе FreeBSD.

Это необязательно, но я очень рекомендую это. Убедитесь, что у вас есть виртуальная машина в сети «pfSense LAN», где вы можете получить доступ к графическому интерфейсу пользователя, чтобы вы могли получить доступ к pfSense после его настройки. Это понадобится вам для настройки брандмауэра pfSense, если вы не знаете, что делаете в интерфейсе командной строки для pfSense (я не буду добавлять сюда шаги по настройке pfSense, поскольку это, по сути, другой вопрос).


Переходите в этот раздел ТОЛЬКО ПОСЛЕ того, как вы настроили pfSense для параметров LAN и WAN и настроили правила брандмауэра, чтобы вы могли начать с настройки «Все может выйти в мир из LAN», а затем начните добавлять элементы в белый список и правила брандмауэра перед блокировкой.

После того, как вы настроили pfSense, мы вернемся к той части, где вы может есть время простоя, если вам нужен доступ извне к виртуальным машинам.

Переместите виртуальные машины в локальную сеть pfSense

По сути, отредактируйте настройки сетевого адаптера для каждой из ваших виртуальных машин, которые находятся в сети виртуальных машин по умолчанию, и установите их в сегменте сети «pfSense LAN». Если все имеет статический IP-адрес, тогда все должно быть настроено, просто убедитесь, что на виртуальных машинах установлен «шлюз», равный статическому IP-адресу, который вы установили на адаптере локальной сети pfSense. (Таким образом, виртуальные машины могут маршрутизироваться через pfSense).

Как только вы закончите, и ваши виртуальные машины могут подключаться к чему-либо за пределами через pfSense (правильно настроив шлюз на каждой машине), вам просто нужно настроить pfSense для разрешения подключений. входящий к машинам снаружи, где это необходимо.


И теперь все готово. PfSense должен иметь доступ к сети, как и виртуальные машины. Если вас действительно беспокоит наличие "сети виртуальных машин", добавьте группу в vSwitch0 называется «pfSense WAN», а затем отредактируйте настройки сети pfSense, чтобы vNIC «Сеть виртуальных машин» был подключен к новой группе «pfSense WAN».

Единственное, что мы здесь не изменили, - это место расположения VMKernel. Пока я не собираюсь сделать это здесь, потому что это сильно сломает мою систему, вы теоретически можно добавить VMKernel в vSwitch1свойства, и присвойте ему статический IP-адрес в «pfSense LAN», если вы хотите, чтобы управление было доступно только из раздела «pfSense LAN» сети. После того, как вы подтвердите, что можете войти через него, вы можете удалить VMKernel на vSwitch0. Однако, если все начинает ломаться, вам потребуется физический доступ к машине, чтобы перенастроить сеть управления через саму машину.

Обратите внимание, что если вы уже находитесь в локальной сети или в другом месте, где находится сеть управления, оставьте сеть управления в покое. Если вашему ESXi не требуется выход в Интернет, он вам не понадобится для прохождения через шлюз.


Схема топологии сети pfSense / ESXi после настройки

Фактически, что касается ESXi и топологии в отношении ваших виртуальных машин, pfSense и восходящего канала, вы получите что-то вроде этого, сосредоточившись исключительно на части ESXi.