Remplacement de la passerelle OVHgateway
Découvrez comment remplacer la passerelle OVHgateway par une autre machine virtuelle administrable
Dernière mise à jour le 05/12/2022
Objectif
Ce guide vous explique comment remplacer la passerelle Internet sortante (OVHgateway) par un autre système d'exploitation réseau qui vous donnera, en plus de l'accès Internet, la possibilité de configurer NAT et VPN (Ipsec ou SSL VPN).
OVHcloud vous met à disposition des services dont la configuration, la gestion et la responsabilité vous incombent. Il vous appartient donc de ce fait d’en assurer le bon fonctionnement.
Ce guide a pour but de vous accompagner au mieux sur des tâches courantes. Néanmoins, nous vous recommandons de faire appel à un prestataire spécialisé si vous éprouvez des difficultés ou des doutes concernant l’administration, l’utilisation ou la mise en place d’un service sur un serveur.
Prérequis
- Disposer d'un cluster Nutanix fourni par OVHcloud.
- Être connecté à votre espace client OVHcloud.
- Être connecté sur votre cluster via Prism Central.
En pratique
La passerelle OVHGateway utilise par défaut deux cartes réseau :
- Une sur le VLAN 0 (base), connectée à Internet avec une adresse IP supplémentaire OVHcloud.
- Une sur le VLAN 1 (infra), connectée au réseau local d'administration avec dans cet exemple une plage d'adresses IP en 192.168.10.0/24.
Dans notre guide, nous allons remplacer cette passerelle par le système d'exploitation réseau pfSense Community edition sans support logiciel.
Il est tout fait possible de s'appuyer sur ce guide pour installer d'autres systèmes d'exploitations réseau compatibles avec AHV.
Téléchargement des sources pour l'installation de pfSense
Téléchargez l'image ISO de l'installation de pfSense à partir de ce lien : Téléchargement de pfSense.
A l'aide de cette documentation, ajoutez l'image ISO pfSense dans votre cluster Nutanix.
Création de la machine virtuelle GW-PFSENSE
Créez une machine virtuelle avec ces paramètres :
- Nom :
GW-PFSENSE - Stockage1 :
100 Go HDD - Stockage2 :
Un lecteur DVD connecté à l'image ISO de pfSense - RAM :
4 Go - CPU :
2 vCPU - Réseau :
2 cartes réseaux, une sur le VLAN 0(base) et l'autre sur le VLAN 1(infra)
Vous pouvez vous aider de notre guide sur la gestion des machines virtuelles pour créer cette machine virtuelle.
Arrêt de la machine virtuelle OVHGateway
Pour éviter des doublons d'adresses IP sur le réseau, il faut arrêter la machine virtuelle OVHgateway avant de démarrer la nouvelle machine virtuelle sous pfSense.
Via Prism Central, cliquez en haut à gauche sur le menu principal.
Cliquez sur VMs.
Cliquez sur la machine virtuelle OVHgateway.
Depuis le menu More en haut, cliquez sur Soft Shutdown.
Récupération de l'adresse publique sur l'espace client OVHcloud
Récupérez les informations concernant les paramètres réseau de la passerelle OVHcloud.
Connectez-vous à l'espace client OVHcloud, sélectionnez votre cluster Nutanix et relevez l'information se trouvant dans le champ IPFO.
IPFO est une plage de 4 adresses. La première et la dernière sont réservées, la troisième se trouve sur un équipement OVHcloud et sert de passerelle Internet. La seule adresse IP utilisable est la seconde adresse de la plage.
Lors de l'installation, nous allons réutiliser ces informations pour les affecter à la nouvelle machine virtuelle GW-PFSENSE
XX.XX.XX.N Adresse de réseau réservée qui apparaît sur le site client OVHcloud
XX.XX.XX.N+1 Adresse IP qui doit être affectée à l'interface WAN de la machine virtuelle GW-PFSENSE
XX.XX.XX.N+2 Adresse à utiliser en tant que passerelle sur l'interface WAN de la machine virtuelle GW-PFSENSE
XX.XX.XX.N+3 Adresse IP de broadcast réservée
Par exemple, si l'adresse IPFO affichée sur le site client est 198.51.100.0/30, il faut utiliser :
- 198.51.100.1 pour l'adresse de l'interface WAN ;
- 198.51.100.2 pour la passerelle sur l'interface WAN.
Démarrage de la machine virtuelle GW-PFSENSE
Revenez dans la gestion des machines virtuelles sur Prism Central et cliquez sur GW-PFSENSE.
Via le menu More, cliquez sur Power On.
Cliquez sur Launch console.
Installation de pfSense
Prenez connaissance des informations liées à la licence pfSense et appuyez sur la touche Entrée pour les accepter.
Choisissez Install, positionnez-vous sur OK avec la touche Tabulation et appuyez sur la touche Entrée.
Sélectionnez Continue with default keymap, allez sur Select avec la touche Tabulation et appuyez sur la touche Entrée.
Sélectionnez Auto (ZFS), allez sur OK avec la touche Tabulation et tapez sur la touche Entrée.
Positionnez-vous sur Select avec la touche Tabulation et appuyez sur la touche Entrée.
Sélectionnez Stripe, positionnez-vous sur OK avec la touche Tabulation et appuyez sur la touche Entrée.
Sélectionnez NUTANIX VDISK avec la barre Espace. Allez ensuite sur OK avec la touche Tabulation et appuyez sur la touche Entrée.
Allez sur YES avec la touche Tabulation et appuyez sur la touche Entrée.
Choisissez NO avec la touche Tabulation et appuyez sur la touche Entrée.
Sélectionnez Reboot et appuyez sur la touche Entrée.
Ejection du CDROM pfSense de la machine virtuelle GW-PFSENSE
Depuis Prism central, revenez sur la gestion de la machine virtuelle GW-PFSENSE et effectuez les opérations suivantes pour éjecter le CDROM.
Cliquez sur Soft Shutdown via le menu More de la machine virtuelle GW-PFSENSE pour arrêter cette machine virtuelle.
Cliquez sur Update.
Cliquez sur Next.
Cliquez sur l'icone Eject au niveau du CDROM.
Cliquez sur Next.
CLiquez sur Next.
CLiquez sur Save.
Cliquez sur Power On dans le menu More.
Cliquez sur Launch Console pour continuer l'installation après le démarrage.
Configuration des adresses IP de pfSense via la console
Nous allons configurer les adresses IP de passerelle pfSense comme ceci :
- Interface WAN : utilisez cette partie du guide « Récupération de l'adresse publique sur l'espace client OVHcloud » pour affecter l'adresse IP et la passerelle sur cette interface.
- Interface LAN: 192.168.10.254/24 qui correspond à l'adresse de passerelle du réseau privé du cluster Nutanix, suivi du masque de sous-réseau.
Acceptez la licence en appuyant sur la touche Entrée.
Lorsque l'on vous demande s'il faut des VLAN, saisissez n et appuyez sur la touche Entrée.
Saisissez vtnet0 comme nom d'interface pour le WAN et appuyez sur la touche Entrée.
Saisissez vtnet1 comme nom d'interface pour le LAN et appuyez sur la touche Entrée.
Validez les changements en saisissant y et appuyez sur la touche Entrée.
Saisissez 2 pour choisir Set interface(s) IP address et appuyez sur la touche Entrée.
Sélectionnez l'interface WAN en saisissant 1 et appuyez sur la touche Entrée.
À la demande de la configuration de l'adresse par DHCP, saisissez n et appuyez sur la touche Entrée.
Saisissez l'adresse IP publique avec le masque et appuyez sur la touche Entrée. Par exemple 198.51.100.1.
Saisissez ensuite l'adresse IP de la passerelle publique et appuyez sur la touche Entrée. Par exemple 198.51.100.2.
Lorsque l'assistant vous propose la configuration de l'IPv6 address WAN interface via DHCP6, répondez n et appuyez sur la touche Entrée.
A la demande revert to HTTP as the webConfigurator protocol, saisissez n et appuyez sur la touche Entrée.
Appuyez sur Entrée pour valider l'enregistrement de l'adresse IP du WAN.
Saisissez 2 et appuyez sur la touche Entrée pour configurer les adresses IP.
Prenez l'option 2 et appuyez sur la touche Entrée pour modifier l'adresse IP du LAN.
Saisissez l'adresse IP privée suivie du masque 192.168.10.254/24 et appuyez sur la touche Entrée.
Appuyez sur la touche Entrée pour ne pas mettre de passerelle sur l'interface LAN
Appuyez sur la touche Entrée afin de désactiver l'usage d'IPv6.
Saisissez n et appuyez sur la touche Entrée à la demande d'activation du serveur DHCP.
Répondez n et appuyez sur la touche Entrée à la demande revert to HTTP as the webConfigurator protocol.
Il est maintenant possible d'administrer la passerelle en HTTPS sur le réseau privé du cluster Nutanix.
Appuyez sur la touche Entrée pour terminer la configuration en ligne de commande.
Configuration de certaines options au travers de l'interface Web
Connectez-vous sur la console Web de pfSense avec cette URL https://192.168.10.254, à partir d'une machine virtuelle du cluster se trouvant sur le réseau local AHV : infra.
Saisissez ces informations :
- Compte utilisateur : admin
- Default password : pfsense
Cliquez ensuite sur SIGN IN.
Changement du mot de passe par défaut de pfSense
Dans le menu System, choisissez User Manager.
Cliquez sur l'icône en forme de Stylo.
Saisissez et confirmez le mot de passe à droite de Password.
Validez les changements en cliquant sur Save en bas du menu.
.
Ajout d'une règle pour autoriser l'administration à distance à partir d'une adresse publique
Allez dans le menu Firewall et choisissez Rules.
Vérifiez que vous êtes sur l'onglet WAN puis cliquez sur le bouton Add (en bas avec la flèche pointant vers le haut) pour créer une règle de pare-feu.
Définissez ces options dans la partie Edit Firewall Rule :
- Action :
Pass - Interface :
WAN - Address Family :
IPv4 - Protocol :
TCP
Sélectionnez Single host or alias dans le mendu déroulant Source et saisissez l'adresse publique autorisée à se connecter au pare-feu pfSense.
Définissez ensuite ces options dans la partie Destination :
- Destination :
WAN address - Destination Port Range From :
HTTPS - Destination Port Range To :
HTTPS
Cliquez sur Save.
Cliquez sur Apply Changes pour activer la règle.
L'interface d'administration de pfSense est alors accessible depuis Internet, uniquement à partir du réseau autorisé en HTTPS, ici https://198.51.100.1.
Configuration d'un accès Internet sur un nouveau VLAN
Modification de la machine virtuelle pfSense
Connectez-vous à Prism Central pour effectuer ces modifications :
Aidez-vous du guide « Isoler les machines de gestion de la production » pour créer un nouveau VLAN sur votre cluster Nutanix avec ces paramètres :
- Nom du VLAN :
Production - Numéro du VLAN :
2
Votre nouveau réseau doit apparaître dans Subnets.
Maintenant que le nouveau sous-réseau est créé, nous allons rajouter une carte dans la configuration de votre machine virtuelle GW-PFSENSE.
Via@ la gestion des machines virtuelles, sélectionnez votre machine virtuelle GW-PFSENSE, rendez-vous dans le menu Actions et choisissez Update.
Cliquez sur Next.
Cliquez sur Attach to Subnet.
Choisissez le sous-réseau Production et cliquez sur Save.
Cliquez sur Next.
Cliquez sur Next.
Cliquez sur Save.
Activation et configuration de la nouvelle carte réseau sur pfSense
Connectez-vous en https sur l'interface d'administration pfSense avec l'adresse publique, par exemple https://198.51.100.1 et suivez les instructions ci-dessous.
Allez dans le menu Interfaces et cliquez sur Assignments.
Cliquez sur + Add à droite de Available network ports:.
Cliquez sur Save.
Dans le menu Interfaces, cliquez sur OPT1
Cochez la case Enable Interfaces et modifiez ces paramètres :
- Enable Interfaces :
cochez la case - Description :
VLAN2 - IPv4 Address :
192.168.2.254/24
Cliquez ensuite sur Save.
Cliquez sur Apply Changes.
Rendez-vous dans le menu Firewall et cliquez sur Rules.
Allez dans l'onglet VLAN2 et cliquez sur le bouton Add le plus à gauche.
Changez ces valeurs :
- Protocol :
Any - Source :
VLAN2 net - Destination :
any
Cliquez sur Save.
Cliquez sur Apply Changes.
Votre VLAN2 est maintenant connecté à Internet.
Aller plus loin
Échangez avec notre communauté d'utilisateurs sur https://community.ovh.com/.
Cette documentation vous a-t-elle été utile ?
N’hésitez pas à nous proposer des suggestions d’amélioration afin de faire évoluer cette documentation.
Images, contenu, structure… N’hésitez pas à nous dire pourquoi afin de la faire évoluer ensemble !
Vos demandes d’assistance ne seront pas traitées par ce formulaire. Pour cela, utilisez le formulaire "Créer un ticket" .
Merci beaucoup pour votre aide ! Vos retours seront étudiés au plus vite par nos équipes..