IPCOP V2 et ESXI5

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. Une description est donnée sur le portail phénIXUS : http://www.ixus.net/ipcop/.

IPCOP V2 et ESXI5

Message par altair8080 » 03 Jan 2013 20:25

Contexte :

Machine physique : Serveur ESXI5 avec X VM avec 1 seule carte réseau physique
Connexion internet par Box/Routeur/Wifi
Postes connecté à la box : filaire, wifi

Besoin :

Installer IPCOPV2 Sur VM ESXI5 avec une seule carte réseau physique


Schéma :


-- Internet -- box -- Serveur ESXI (VM IPCOP avec 1 seule carte réseau, différentes VM : linux, windows)
-- tablette
-- smartphone
-- postes (winXP, Win7)

Modem/Routeur/Box :

Freebox V6

Firewall/Serveur-passerelle multifonctions :


Adressages :

192.168.0.x

Question :

Comment mettre en place IPCOP V2(avec 4 cartes) sur une VM sous ESXI 5 avec une seule carte réseau physique
Sachant que les zones vertes, oranges, bleu seront connectées à des postes physiques et virtuels

Pistes imaginées :

Peut-on avoir une seule carte physique et utiliser les 4 zones
peut être en jouant avec les vswitch.... mais comment

Recherches :


Logs et tests :
altair8080
 
Message(s) : 4
Inscription : 19 Déc 2012 15:31

Re: IPCOP V2 et ESXI5

Message par sibsib » 03 Jan 2013 20:54

Bonjour,

C'est éventuellement possible, mais forcément couteux, alors qu'une carte PCI-e giga compatible ESXi coûte 20 €, environ.

Pour faire ceci, il faut un switch qui supporte les VLANs, et une conf ad hoc des vswitches et du switch physique.
Il faut surtout savoir parfaitement ce qu'on fait, et, au vu de la formulation de la question, j'ai un doute.
Egalement à noter : cette configuration ne suppose pas l'utilisation de VLAN sur IPCOP, le VLAN servant uniquement à acheminer des réseaux différents entre le switch physique et chaque vswitch.

J'ai moi même une conf de ce type en place, mais : j'ai plus de dix ans de réseau professionnel derrière moi, et je n'utilise les VLANs qu'en interne. Pour mes deux connexions internet, j'utilise des cartes dédiées.

A noter qu'à l'époque, le switch giga avec VLAN que j'ai trouvé techniquement acceptable (pour un particulier) m'a tout de même couté 90 € pour un 8 ports.

Bonne chance quand même !

A+,
Pascal
sibsib
 
Message(s) : 188
Inscription : 20 Oct 2011 21:08

Re: IPCOP V2 et ESXI5

Message par altair8080 » 03 Jan 2013 21:05

Merci pascal, mais je pense que je me suis mal exprimé .
Je ne souhaite pas installer un switch.

Dans un premier temps mettre ipcop en place sans ajout de matériel . J ai cru voir sur des forums anglais que cela était possible avec une seule carte.
Mais je ne suis pas un spe reseau et esxi
altair8080
 
Message(s) : 4
Inscription : 19 Déc 2012 15:31

Re: IPCOP V2 et ESXI5

Message par jdh » 04 Jan 2013 11:10

Il faut surtout savoir parfaitement ce qu'on fait
Je valide entièrement !



C'est possible MAIS ....


Le problème d'utiliser la virtualisation pour tester un firewall, c'est qu'il faut bien connaitre la partie "network" du moteur de virtualisation !
Il est donc évident que la virtualisation peut perturber l'analyse des phénomènes que l'on rencontre !

A titre perso, j'utilise Proxmox mais j'ai mis 2 cartes réseaux dans l'hôte.
Avec VMware, il faut autant de vswitchs que de cartes réseaux associés à la VM et associer à chacun des vswitchs la même carte physique.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: IPCOP V2 et ESXI5

Message par Franck78 » 04 Jan 2013 16:24

Hello,

Si c'est une maquette pour tester/valider, on peut faire n'importe quoi. Des switches virtuels esxi, utilisant la même carte physique, ok. TCP/IP a ceci de bien, plusieurs IP sur une carte ne le gène pas. Donc tout sera un vrac sur le même LAN (attention cependant aux services/annonces broadcast a bien maitriser).

Si c'est pour de la prod, l'idée de relier les quatre zones IPCop ensemble est juste stupide !

Franck
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: IPCOP V2 et ESXI5

Message par ccnet » 04 Jan 2013 16:27

Comme mes camarades, je dis que c'est éventuellement possible. Comme Sibsib, j'ai le même doute. Et j’ajouterai qu'il est sans doute possible d'essayer d'escalader l'Everest à mains nues et en slip. On est alors très exposé. Ici c'est un peu pareil.

Pour commencer, sur ESX, la conception de base du produit suppose des cartes physiques différentes pour le switch virtuel des vm et d'autre part le management network. Vous êtes très nombreux à passer outre parce que "ca marche".
Pour le reste les aléas potentiels de cette configuration sont tels que je me contenterai du filtrage de la freebox et tout derrière sur le même réseau. Si on compare les deux configurations, sur le plan sécurité, on est a peut près au même niveau. Sauf que la complexité induite par l'esx (manifestement non maitrisé) va plutôt augmenter les facteurs de risques. Un principe de base en sécurité étant que l'on ne met pas en œuvre ce que l'on ne maitrise pas.

Bref comme indiqué : il faudra définir 4 switchs et les connecter tous à la même carte physique. On peut le faire ... Comme passer par la fenêtre depuis le dixième étage au lieu de prendre l’ascenseur.
ccnet
 
Message(s) : 113
Inscription : 02 Nov 2011 08:51
Localisation : Paris

Re: IPCOP V2 et ESXI5

Message par sibsib » 04 Jan 2013 20:19

Bonjour,

altair8080 a écrit :Merci pascal, mais je pense que je me suis mal exprimé .
Je ne souhaite pas installer un switch.

Dans un premier temps mettre ipcop en place sans ajout de matériel . J ai cru voir sur des forums anglais que cela était possible avec une seule carte.
Mais je ne suis pas un spe reseau et esxi


Tu as pu sentir comme une réticence :-)

Je ne capte pas tout à fait tes objectifs, et je me demande si tu les cernes bien. Effectivement, comme l'a dit Franck, tu peux avoir plusieurs IP différentes (et, partant de là plusieurs réseaux différents) sur une seule interface physique mais : avec une conf de ce type, en supposant que çà tombe en marche, qu'auras tu montré ? puisque tous les tests seront à refaire une fois les cartes réseaux en place ?

Bref, si tu ne peux pas te faire un schéma clair où tu vois bien toutes les implications de ton montage, j'ai peur que tu perdes ton temps. Et après, IXUS étant tout de même orienté sécurité (ce que ton montage n'apportera pas, tu t'en doutes !), si tu vas plus loin, je ne pense pas que tu trouveras de l'aide ici, j'espère que tu l'accepteras.

Bonnes expériences :-)
Pascal
sibsib
 
Message(s) : 188
Inscription : 20 Oct 2011 21:08

Re: IPCOP V2 et ESXI5

Message par DmilZ » 09 Jan 2013 19:59

Salut,

On ne connait pas les besoins exactes mais tu peux toujours imaginer connecter les machines en dehors de l'ESX par VPN, il me semble que IPCop v2 permet les roadwarriors et ne2net nativement.
DmilZ
 
Message(s) : 4
Inscription : 06 Nov 2011 00:39
Localisation : France


Retour vers ipcop

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron