Remplacement de la passerelle OVHgateway

Découvrez comment remplacer la passerelle OVHgateway par une autre machine virtuelle administrable

Dernière mise à jour le 05/12/2022

Objectif

Ce guide vous explique comment remplacer la passerelle Internet sortante (OVHgateway) par un autre système d'exploitation réseau qui vous donnera, en plus de l'accès Internet, la possibilité de configurer NAT et VPN (Ipsec ou SSL VPN).

OVHcloud vous met à disposition des services dont la configuration, la gestion et la responsabilité vous incombent. Il vous appartient donc de ce fait d’en assurer le bon fonctionnement.

Ce guide a pour but de vous accompagner au mieux sur des tâches courantes. Néanmoins, nous vous recommandons de faire appel à un prestataire spécialisé si vous éprouvez des difficultés ou des doutes concernant l’administration, l’utilisation ou la mise en place d’un service sur un serveur.

Prérequis

  • Disposer d'un cluster Nutanix fourni par OVHcloud.
  • Être connecté à votre espace client OVHcloud.
  • Être connecté sur votre cluster via Prism Central.

En pratique

La passerelle OVHGateway utilise par défaut deux cartes réseau :

  • Une sur le VLAN 0 (base), connectée à Internet avec une adresse IP supplémentaire OVHcloud.
  • Une sur le VLAN 1 (infra), connectée au réseau local d'administration avec dans cet exemple une plage d'adresses IP en 192.168.10.0/24.

Dans notre guide, nous allons remplacer cette passerelle par le système d'exploitation réseau pfSense Community edition sans support logiciel.

Il est tout fait possible de s'appuyer sur ce guide pour installer d'autres systèmes d'exploitations réseau compatibles avec AHV.

Téléchargement des sources pour l'installation de pfSense

Téléchargez l'image ISO de l'installation de pfSense à partir de ce lien : Téléchargement de pfSense.

A l'aide de cette documentation, ajoutez l'image ISO pfSense dans votre cluster Nutanix.

Création de la machine virtuelle GW-PFSENSE

Créez une machine virtuelle avec ces paramètres :

  • Nom : GW-PFSENSE
  • Stockage1 : 100 Go HDD
  • Stockage2 : Un lecteur DVD connecté à l'image ISO de pfSense
  • RAM : 4 Go
  • CPU : 2 vCPU
  • Réseau : 2 cartes réseaux, une sur le VLAN 0(base) et l'autre sur le VLAN 1(infra)

Vous pouvez vous aider de notre guide sur la gestion des machines virtuelles pour créer cette machine virtuelle.

Create VM 01

Arrêt de la machine virtuelle OVHGateway

Pour éviter des doublons d'adresses IP sur le réseau, il faut arrêter la machine virtuelle OVHgateway avant de démarrer la nouvelle machine virtuelle sous pfSense.

Via Prism Central, cliquez en haut à gauche sur le menu principal.

Arrêt OVHGateway 01

Cliquez sur VMs.

Arrêt OVHGateway 02

Cliquez sur la machine virtuelle OVHgateway.

Arrêt OVHGateway 03

Depuis le menu More en haut, cliquez sur Soft Shutdown.

Arrêt OVHGateway 04

Récupération de l'adresse publique sur l'espace client OVHcloud

Récupérez les informations concernant les paramètres réseau de la passerelle OVHcloud.

Connectez-vous à l'espace client OVHcloud, sélectionnez votre cluster Nutanix et relevez l'information se trouvant dans le champ IPFO.

Get IP Fail OVER

IPFO est une plage de 4 adresses. La première et la dernière sont réservées, la troisième se trouve sur un équipement OVHcloud et sert de passerelle Internet. La seule adresse IP utilisable est la seconde adresse de la plage.

Lors de l'installation, nous allons réutiliser ces informations pour les affecter à la nouvelle machine virtuelle GW-PFSENSE

XX.XX.XX.N      Adresse de réseau réservée qui apparaît sur le site client OVHcloud
XX.XX.XX.N+1    Adresse IP qui doit être affectée à l'interface WAN de la machine virtuelle GW-PFSENSE
XX.XX.XX.N+2    Adresse à utiliser en tant que passerelle sur l'interface WAN de la machine virtuelle GW-PFSENSE
XX.XX.XX.N+3    Adresse IP de broadcast réservée

Par exemple, si l'adresse IPFO affichée sur le site client est 198.51.100.0/30, il faut utiliser :

  • 198.51.100.1 pour l'adresse de l'interface WAN ;
  • 198.51.100.2 pour la passerelle sur l'interface WAN.

Démarrage de la machine virtuelle GW-PFSENSE

Revenez dans la gestion des machines virtuelles sur Prism Central et cliquez sur GW-PFSENSE.

Start GATEWAY pfsense

Via le menu More, cliquez sur Power On.

Start GATEWAY pfsense

Cliquez sur Launch console.

Start GATEWAY pfsense

Installation de pfSense

Prenez connaissance des informations liées à la licence pfSense et appuyez sur la touche Entrée pour les accepter.

pfsense Installation 01

Choisissez Install, positionnez-vous sur OK avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 02

Sélectionnez Continue with default keymap, allez sur Select avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 03

Sélectionnez Auto (ZFS), allez sur OK avec la touche Tabulation et tapez sur la touche Entrée.

pfsense Installation 04

Positionnez-vous sur Select avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 05

Sélectionnez Stripe, positionnez-vous sur OK avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 06

Sélectionnez NUTANIX VDISK avec la barre Espace. Allez ensuite sur OK avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 07

Allez sur YES avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 08

Choisissez NO avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 09

Sélectionnez Reboot et appuyez sur la touche Entrée.

pfsense Installation 10

Ejection du CDROM pfSense de la machine virtuelle GW-PFSENSE

Depuis Prism central, revenez sur la gestion de la machine virtuelle GW-PFSENSE et effectuez les opérations suivantes pour éjecter le CDROM.

Cliquez sur Soft Shutdown via le menu More de la machine virtuelle GW-PFSENSE pour arrêter cette machine virtuelle.

Remove CDROM 01

Cliquez sur Update.

Remove CDROM 02

Cliquez sur Next.

Remove CDROM 03

Cliquez sur l'icone Eject au niveau du CDROM.

Remove CDROM 04

Cliquez sur Next.

Remove CDROM 05

CLiquez sur Next.

Remove CDROM 06

CLiquez sur Save.

Remove CDROM 07

Cliquez sur Power On dans le menu More.

Remove CDROM 08

Cliquez sur Launch Console pour continuer l'installation après le démarrage.

Remove CDROM 09

Configuration des adresses IP de pfSense via la console

Nous allons configurer les adresses IP de passerelle pfSense comme ceci :

  • Interface WAN : utilisez cette partie du guide « Récupération de l'adresse publique sur l'espace client OVHcloud » pour affecter l'adresse IP et la passerelle sur cette interface.
  • Interface LAN: 192.168.10.254/24 qui correspond à l'adresse de passerelle du réseau privé du cluster Nutanix, suivi du masque de sous-réseau.

Acceptez la licence en appuyant sur la touche Entrée.

Configure pfsense 01

Lorsque l'on vous demande s'il faut des VLAN, saisissez n et appuyez sur la touche Entrée.

Configure pfsense 02

Saisissez vtnet0 comme nom d'interface pour le WAN et appuyez sur la touche Entrée.

Configure pfsense 03

Saisissez vtnet1 comme nom d'interface pour le LAN et appuyez sur la touche Entrée.

Configure pfsense 04

Validez les changements en saisissant y et appuyez sur la touche Entrée.

Configure pfsense 05

Saisissez 2 pour choisir Set interface(s) IP address et appuyez sur la touche Entrée.

Configure pfsense 06

Sélectionnez l'interface WAN en saisissant 1 et appuyez sur la touche Entrée.

Configure pfsense 07

À la demande de la configuration de l'adresse par DHCP, saisissez n et appuyez sur la touche Entrée.

Configure pfsense 08

Saisissez l'adresse IP publique avec le masque et appuyez sur la touche Entrée. Par exemple 198.51.100.1.

Saisissez ensuite l'adresse IP de la passerelle publique et appuyez sur la touche Entrée. Par exemple 198.51.100.2.

Configure pfsense 09

Lorsque l'assistant vous propose la configuration de l'IPv6 address WAN interface via DHCP6, répondez n et appuyez sur la touche Entrée.

Configure pfsense 10

A la demande revert to HTTP as the webConfigurator protocol, saisissez n et appuyez sur la touche Entrée.

Configure pfsense 11

Appuyez sur Entrée pour valider l'enregistrement de l'adresse IP du WAN.

Configure pfsense 12

Saisissez 2 et appuyez sur la touche Entrée pour configurer les adresses IP.

Configure pfsense 13

Prenez l'option 2 et appuyez sur la touche Entrée pour modifier l'adresse IP du LAN.

Configure pfsense 14

Saisissez l'adresse IP privée suivie du masque 192.168.10.254/24 et appuyez sur la touche Entrée.

Configure pfsense 15

Appuyez sur la touche Entrée pour ne pas mettre de passerelle sur l'interface LAN

Configure pfsense 16

Appuyez sur la touche Entrée afin de désactiver l'usage d'IPv6.

Configure pfsense 17

Saisissez n et appuyez sur la touche Entrée à la demande d'activation du serveur DHCP.

Configure pfsense 18

Répondez n et appuyez sur la touche Entrée à la demande revert to HTTP as the webConfigurator protocol.

Configure pfsense 19

Il est maintenant possible d'administrer la passerelle en HTTPS sur le réseau privé du cluster Nutanix.

Appuyez sur la touche Entrée pour terminer la configuration en ligne de commande.

Configure pfsense 20

Configuration de certaines options au travers de l'interface Web

Connectez-vous sur la console Web de pfSense avec cette URL https://192.168.10.254, à partir d'une machine virtuelle du cluster se trouvant sur le réseau local AHV : infra.

Saisissez ces informations :

  • Compte utilisateur : admin
  • Default password : pfsense

Cliquez ensuite sur SIGN IN.

WEB Configure pfsense 01

Changement du mot de passe par défaut de pfSense

Dans le menu System, choisissez User Manager.

Change Password 01

Cliquez sur l'icône en forme de Stylo.

Change Password 02

Saisissez et confirmez le mot de passe à droite de Password.

Change Password 03

Validez les changements en cliquant sur Save en bas du menu.

Change Password 03.

Ajout d'une règle pour autoriser l'administration à distance à partir d'une adresse publique

Allez dans le menu Firewall et choisissez Rules.

Authorisation admin from public ADDRESS

Vérifiez que vous êtes sur l'onglet WAN puis cliquez sur le bouton Add (en bas avec la flèche pointant vers le haut) pour créer une règle de pare-feu.

Authorisation admin from public ADDRESS

Définissez ces options dans la partie Edit Firewall Rule :

  • Action : Pass
  • Interface : WAN
  • Address Family : IPv4
  • Protocol : TCP

Sélectionnez Single host or alias dans le mendu déroulant Source et saisissez l'adresse publique autorisée à se connecter au pare-feu pfSense.

Authorisation admin from public ADDRESS 03

Définissez ensuite ces options dans la partie Destination :

  • Destination : WAN address
  • Destination Port Range From : HTTPS
  • Destination Port Range To : HTTPS

Cliquez sur Save.

Authorisation admin from public ADDRESS 04

Cliquez sur Apply Changes pour activer la règle.

Authorisation admin from public ADDRESS 05

L'interface d'administration de pfSense est alors accessible depuis Internet, uniquement à partir du réseau autorisé en HTTPS, ici https://198.51.100.1.

Configuration d'un accès Internet sur un nouveau VLAN

Modification de la machine virtuelle pfSense

Connectez-vous à Prism Central pour effectuer ces modifications :

Aidez-vous du guide « Isoler les machines de gestion de la production » pour créer un nouveau VLAN sur votre cluster Nutanix avec ces paramètres :

  • Nom du VLAN : Production
  • Numéro du VLAN : 2

Votre nouveau réseau doit apparaître dans Subnets.

08 add vlan production 01

Maintenant que le nouveau sous-réseau est créé, nous allons rajouter une carte dans la configuration de votre machine virtuelle GW-PFSENSE.

Via@ la gestion des machines virtuelles, sélectionnez votre machine virtuelle GW-PFSENSE, rendez-vous dans le menu Actions et choisissez Update.

09 update-vm-pfsense 01

Cliquez sur Next.

09 update-vm-pfsense 02

Cliquez sur Attach to Subnet.

09 update-vm-pfsense 03

Choisissez le sous-réseau Production et cliquez sur Save.

09 update-vm-pfsense 04

Cliquez sur Next.

09 update-vm-pfsense 05

Cliquez sur Next.

09 update-vm-pfsense 06

Cliquez sur Save.

09 update-vm-pfsense 07

Activation et configuration de la nouvelle carte réseau sur pfSense

Connectez-vous en https sur l'interface d'administration pfSense avec l'adresse publique, par exemple https://198.51.100.1 et suivez les instructions ci-dessous.

Allez dans le menu Interfaces et cliquez sur Assignments.

10 addinterface-in-pfsense 01

Cliquez sur + Add à droite de Available network ports:.

10 addinterface-in-pfsense 02

Cliquez sur Save.

10 addinterface-in-pfsense 03

Dans le menu Interfaces, cliquez sur OPT1

11 assign ip to new interface 01

Cochez la case Enable Interfaces et modifiez ces paramètres :

  • Enable Interfaces : cochez la case
  • Description : VLAN2
  • IPv4 Address : 192.168.2.254/24

Cliquez ensuite sur Save.

11 assign ip to new interface 02

Cliquez sur Apply Changes.

11 assign ip to new interface 03

Rendez-vous dans le menu Firewall et cliquez sur Rules.

12 add rule for new card 01

Allez dans l'onglet VLAN2 et cliquez sur le bouton Add le plus à gauche.

12 add rule for new card 02

Changez ces valeurs :

  • Protocol : Any
  • Source : VLAN2 net
  • Destination : any

Cliquez sur Save.

12 add rule for new card 03

Cliquez sur Apply Changes.

12 add rule for new card 04

Votre VLAN2 est maintenant connecté à Internet.

Aller plus loin

Échangez avec notre communauté d'utilisateurs sur https://community.ovh.com/.


Cette documentation vous a-t-elle été utile ?

N’hésitez pas à nous proposer des suggestions d’amélioration afin de faire évoluer cette documentation.

Images, contenu, structure… N’hésitez pas à nous dire pourquoi afin de la faire évoluer ensemble !

Vos demandes d’assistance ne seront pas traitées par ce formulaire. Pour cela, utilisez le formulaire "Créer un ticket" .

Merci beaucoup pour votre aide ! Vos retours seront étudiés au plus vite par nos équipes..


Ces guides pourraient également vous intéresser...

OVHcloud Community

Accedez à votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.

Echanger sur OVHcloud Community

Conformément à la Directive 2006/112/CE modifiée, à partir du 01/01/2015, les prix TTC sont susceptibles de varier selon le pays de résidence du client
(par défaut les prix TTC affichés incluent la TVA française en vigueur).