通過 PfSense 連接到 Internet 的 VM 的 ESXi 網路設置
使用具有以下設置的 ESXi v6:
一台標準交換機:vSwitch0
- vSwitch0 有一個上行鏈路物理適配器(Internet 連接,這是唯一的物理適配器)
- vSwitch0 VM 網路有 3 個虛擬機(可通過 Web 訪問,使用靜態 IP)
我想將執行 PfSense 的第 4 個 VM 添加到我已經啟動並執行的 3 個 VM 中,所有進出的 Internet 流量都將通過它。
使用 pfSense 防火牆作為網關的 3 台虛擬機具有內部專用網路(例如在 10.10.10.0 範圍內)。這可能有效的一種方法是,如果我創建了一個僅限 LAN 的網路。3 個 VM NIC 中的每一個都將連接到這個僅限 LAN 的網路(假設使用 10.10.10.100 作為網關)。
PfSense 將有兩個 NIC,一個連接到物理 NIC,一個連接到 LAN 專用網路,IP 地址為 10.10.10.100。
我已經做了什麼:
- 創建了一個新的 vSwitch,沒有連接到任何物理網卡
- 將 3 個 VM NIC 分配給此網路
我是否需要將這些 VM NIC 的網關設置為 PfSense LAN only IP?或者我是否使用 vkernel 並將網關從預設公共 IP 更改為 10.10.10.100(嘗試過一次,我失去了與 ESXi 伺服器的連接)?
關於您的設置的警告
如果您只有一個物理適配器,然後只有一個從系統到 Universe 的上行鏈路,我建議您在此設置中謹慎使用此系統。我建議您為系統購買一個額外的適配器,並將其添加到您的系統中 - 這樣您仍然可以擁有備用物理連接。
只有一個上行鏈路您將面臨的另一個令人頭疼的問題是,您必須將 VMKernel 移動到 pfSense 網路,然後您將無法讓該 VMKernel 可通過 Web 訪問。然後,您需要在 pfSense 上設置 VPN,以便您可以通過 VPN 進入網路以通過 pfSense 訪問 ESXi 管理網路。
關於我的回答的一些相當重要的說明,您應該注意
- 我不打算介紹如何配置 pfSense。這裡的這個問題詢問了 ESXi 網路設置,所以我正在解決這部分答案。如果您在設置 pfSense 時需要幫助,請提出單獨的問題,或參考 Internet 上的十億教程之一。
- 我用於截屏的 ESXi 伺服器上有九(9) 個物理乙太網埠。其中,只有兩個未使用,因此它們在這些圖像中為
vmnic5和vmnic6。雖然我的圖表上的圖片項目沒有被積極使用,但這種方法仍然“有效”。我已經在 VMware Workstation(以不同但相似的方法)和我的 ESXi 上對此進行了概念驗證。- 我的 ESXi 系統是 ESXi 6.0U2,嵌入式 Web UI 已打開。我可能在 WebUI 和 vSphere Client 之間切換;在我的螢幕截圖中,但配置內容的基礎知識保持不變。
- 我的螢幕截圖上不會有 VMKernel。我的 ESXi 上的 VmKernel 位於單獨的 vSwitch 上,具有單獨的上行鏈路,位於單獨的子網上。我的圖表將顯示 VMKernel 項。
有了我的強制性警告,這真的不像看起來那麼困難。
使用物理設備和物理 pfSense 設備,您將擁有一個 WAN 埠和一個 LAN 埠。您的 WAN 埠將連接到世界的上行鏈路。LAN 埠將連接到某種類型的交換機和內部網路上的 LAN 基礎設施的其餘部分。pfSense WAN 將配置為 WAN IP 地址(靜態或動態),pfSense LAN 將配置為具有靜態設置的 LAN IP 地址,您可以為 LAN 啟用 DHCP 或擁有每個系統靜態 IP’ d 使用指向該 LAN 的預設網關。
對於 ESXi 上的所有內容,我們必須模擬這一點,但它仍然是相同的概念。
ESXi 和 vSphere
鑑於您已經擁有虛擬機,您可能已經擁有 a
vSwitch0,它又連結到物理系統上行鏈路,就像這樣,但虛擬機位於“VM 網路”組中,並且 avmnic實際上連接到某些東西:
重要的是,從現在開始,vSwitch0 上的任何內容現在都將在“上行鏈路”上考慮,因為它上面有物理 NIC。我們可以稍後更改。pfSense WAN 虛擬網卡將在此交換機上。
為 pfSense LAN 創建 vSwitch1
這是我們將創建 LAN 的地方。如果您以前創建過 vSwitch,則可以輕鬆完成這一部分,但實際上,我們正在為 VM 添加一個 vSwitch,而不是 VMKernel。不過這裡的關鍵是不要將物理適配器連接到這個網路,因為我們是通過 pfSense 執行它,這將是一個連接到這個 vSwitch 的虛擬 NIC。我將此處的新埠分組命名為“pfSense LAN”。
推遲到以後:將虛擬機移入 pfSense LAN
因為這可能是一個您無法停機的系統,所以我將讓虛擬機移動到 pfSense LAN 作為後續步驟。
pfSense 虛擬機
現在,對於 pfSense。創建 pfSense VM 時,您需要為其提供兩個虛擬 NIC - 一個用於 pfSense“WAN”,即上行鏈路所在的“外部”,另一個用於 pfSense“LAN”,即內部網路pfSense 防火牆保護它並為 LAN 上的機器執行 NAT 和路由到上行鏈路。
設置 pfSense 時,您需要確保為 VM 提供兩個虛擬網路適配器(
vNICs,從這一點開始,在此答案中)。它們每個都需要在我們擁有的各個網路組上,一個在vSwitch0(“VM 網路”如前),一個在vSwitch1(“pfSense LAN”)。我使用E1000類型適配器——它們似乎與基於 FreeBSD 的 pfSense 系統配合得很好。
**這是可選的,但我強烈推薦這個。**確保您在“pfSense LAN”網路上有一個 VM,您可以在其中訪問 GUI,以便在設置後訪問 pfSense。你需要這個來配置 pfSense 防火牆,除非你知道你在 CLI 上為 pfSense 做什麼(我不會在這裡添加 pfSense 設置步驟,因為這是一個不同的問題,基本上。)
僅在您為 LAN 和 WAN 設置配置 pfSense 並設置防火牆規則後才移動到此部分,以便您可以從“一切都可以從 LAN 到世界”設置開始,然後開始添加白名單項目和鎖定前的防火牆規則。
配置 pfSense 後,如果您必須從外部訪問虛擬機,我們會回到您可能會停機的部分。
將 VM 移動到 pfSense LAN
基本上,編輯預設“VM 網路”上的每個 VM 的網路適配器設置,並將它們設置為“pfSense LAN”網段。如果一切都是靜態 IP,那麼您應該全部設置好,只需確保在 VM 上將“網關”設置為您在 pfSense LAN 適配器上設置的靜態 IP。(這樣,VM 可以通過 pfSense 進行路由)。
完成後,您的虛擬機可以通過 pfSense 連接到外部的任何設備(通過在每台機器上正確設置網關),然後您只需配置 pfSense 以允許在必要時從外部連接到機器。
現在你完成了。pfSense 應該能夠訪問“網路”,VM 也應該如此。如果您真的關心“VM Network”是否存在,請添加一個
vSwitch0名為“pfSense WAN”的組,然後編輯 pfSense 網路設置以使“VM Network”vNIC 連接到新的“pfSense WAN”組。我們在這裡唯一沒有調整的是 VMKernel 所在的位置。雖然我不打算在這裡執行此操作,因為它會嚴重破壞我的系統,但理論上您可以將 VMKernel 添加到
vSwitch1的屬性,並在“pfSense LAN”中為其提供靜態 IP,如果您希望管理只能訪問形成網路的“pfSense LAN”部分。一旦您確認您可以通過那裡進入,您就可以刪除 上的 VMKernelvSwitch0。但是,如果一切都開始崩潰,那麼您將必須對機器進行物理訪問,才能通過機器本身重新配置管理網路。請注意,如果您已經在 LAN 或管理網路所在的地方,請不要理會管理網路。除非您的 ESXi 需要訪問 Internet,否則您不需要它通過網關。
配置後 pfSense / ESXi 網路拓撲圖
實際上,對於 ESXi 以及與您的虛擬機、pfSense 和上行鏈路有關的拓撲,您最終會得到類似的結果,只關注 ESXi 部分。
