ESXi 5 vswitches für pfsense Firewall?

[tornic]

Hi@all,

wir möchten unsere Firewall (pfsense 2.0) mit ESXi 5/VSphere (free Version) virtualisieren. Die ersten Versuche schlugen jedoch fehl. Mal war das Webfrontend der pfsense nicht erreichbar, mal kein DNS Server und mal funktionierte NAT nicht richtig.

Deshalb die Frage: Was ist bei der Virtualisierung einer Firewall zu beachten.

Hier unsere Netzwerk config (Hardware Fujitsu Server 2+4 GB LAN):

Standard-Switch: vSwitch0
Management Network
vmnic0 + vmnic1

Standard-Switch: vSwitch1
VM Network LAN
pfSense LAN

Standard-Switch: vSwitch2
VM Network DMZ
pfSense OPT1 (DMZ)
VM1 Proxy
VM2 URL Filter
VM3 URL Filter

Standard-Switch: vSwitch3
VM Network WAN
pfSense WAN

Hat jemand einen Tipp oder schon Erfahrungen mit pfSense auf ESXi?

Danke

[Tschoergez]

Hi!
Du kennst den Link? http://blog.romant.net/technology/confi ... -and-esxi/

Hast Du evtl. Probleme mit doppelten MAC-Adressen?
Wie ist den die genaue Konfiguration Deiner pfsense VM?

weitere threads zum thema pfsense:
http://vmware-forum.de/viewtopic.php?t=24797
http://vmware-forum.de/viewtopic.php?t=24723

Viele Grüße,
Jörg

[tornic]

Hallo Jörg,

danke für die schnelle Antwort! Die Links kannte ich schon, sie scheinen aber nicht richtig zu passen.

Ich möchte einen vorhandenen physikalischen Server mit pfSense durch eine VM ersetzen. pfSense nutzt drei interfaces.

LAN - em0
WAN - em1
DMZ - em2

Dazu habe ich die Interfaces je einem vSwitch mit einer eigenen vmnic zugeordnet. Die vSwitches sind mit den Standardeinstellungen konfiguriert. Promiscuous-Modus ist aus. VMware Tools sind nicht installiert.

Grüße, Torsten

[Tschoergez]

achte bei der Zuordnung der Netzwerk-Interfaces im Gast auf die richtige Reihenfolge.
Deine ESX-Netzwerkkonfig sieht gut aus.

Schau in den Settings der pfsense VM die MAC-Adressen der virtuellen Netzwerkkarten nach, merk Dir, welche MAC-Adresse mit welcher Portgruppe verbunden ist. Dann kannst Du im Gast die Interfaces richtig zuordnen.

Viele Grüße,
Jörg

[elgato319]

Mal war das Webfrontend der pfsense nicht erreichbar,

Denk daran das bei pfsense das Webinterface nach dem installieren nur von der LAN seite aus erreichbar ist. Für WAN bzw DMZ musst du das erst in der Firewall freigeben.

[peterba]

Hi,

Torsten and I work together on the problem. I try to give you some more information about our environment:

we have a problem using pfsense 2.0.1 in a virtualized environment (vmware esxi 5.0).

Our network routes 80 school-locations in private networks (10.0.0.0/8) to one router, who is connected to our LAN (192.168.50.0/24).

The pfsense has a LAN-Interface (192.168.50.x/32), a DMZ-Interface (192.168.70.x/32) and a WAN-Interface (219.31.177.x/28). We have 48 official IP-addresses, 16 of them in the network, the WAN-Interface belongs to (219.31.177.0/28), 32 of them in a different network (219.31.175.0/27).

The pfsense interfaces are connected to different vswitches of the ESXi Host.

All requests to the internet are routed through a central proxy-server, NATted to a certain WAN-address. In our DMZ are the proxy-server, a web-server and a mail-server.
With our rules imported from a physical pfsense 1.2.3 firewall, every traffic into the internet works, from everywhere. The webserver can be reached, internally and externally. The mailserver works perfectly.

Some of the school-clients have certain roles, like security-systems, and are NATted to certain virtual ip-addresses in the "second" ip-address section, the one which has netmask 27 (the physical network interface is connected to the section with netmask 28).

With our physical pfsense 1.2.3 this works perfectly. The new virtualized pfsense 2.0.1 doesn't react to any request to such a official address. Rules - if pass or block, always logged - do not show up in the system log.

So, with this - kind of a long - explanation:
- does anybody has a hint or solution?

- we read that putting the vmnics into promiscous mode might help?

- or do we need a kind of static route from the WAN-interface (netmask 28) to our inner ip-addresses (10.0.0.0/8)?

- is this different to the older version?

Any kind of help is very much appreciated ...

Thanks in advance ...

Peter Barth
Medienzentrum Wiesbaden e.V.

[Tschoergez]

Hi!
I suggest you draw a picture of your architecture to clarify things.
To be honest: I don't think it's related to the ESX network configuration (this only works on layer2 / MAC), so even promiscous mode shouldn't make any change.

Maybe you should ask (with the picture) in the pfsense forums, if there are any changes between the versions.

It "smells" like you have some problems with the routing, like triangular routing or problems with double NAT.

Cheers,
Joerg

[MarroniJohny]

hallo

hast Du es geschafft? Ich nutze Endian. Als erstes würde ich die grüne Schnittstelle am ESXi konfigurieren. Dann mit einem vSphere Client direkt verbinden. Wan und DMZ würde ich noch nicht anhängen. Dann die Firewall installieren. Bei meiner Endian konnte ich dann die weiteren Schnittstellen übers Web Frontend konfigurieren.

Musste auch ein wenig basteln, da ich 5 Nics habe

[tornic]

Hallo,

leider habe ich es nur teilweise geschafft - es hat noch eine route gefehlt

Funktionieren tut es aber trotzdem noch nicht zufriedenstellend. Irgendwie verhält sich die 2.0 Version von pfSense mit gleichen Regeln anders als die 1.23.
Jetzt arbeitet die pfSense wieder mit eigener Hardware und nicht als VM.

Grüße