Bonjour à tous,
Dernièrement j'ai fais l'acquisition d'un serveur Hetzner pour me lancer dans la virtualisation.
Je suis en train de réfléchir à l'architecture pour sécuriser mes environnements au mieux et requiert votre aide. Je suis étudiant et je travaille sur un projet d'ordre personnel (On est fin juillet et je m'ennuie un peu, je cherche à monter en compétences ).
L'objectif de mon projet consiste à avoir un serveur dédié avec une multitudes de "nœuds" / "VPS". La contrainte c'est que chaque nœuds doit avoir sa propre adresse IPV4 publique.
Je suis au courant des pénuries qui tournent autour des adresses IPV4 (d'ailleurs qu'est ce qu'on attends pour aller vers l'ipv6 et comment faisons-nous pour qu'il n'y ait pas encore de collisions ?).
En fouillant sur le web j'ai vu que pour mon projet il est possible d'utiliser les IP-Failover. Mais les IP Failover fournis par Hetzner ne possèdent pas d'adresse MAC (contrairement à OVH).
J'ai donc réfléchit à l'architecture :
On aurait donc le serveur hôte Hetzner (machine dédiée) équipée de Proxmox pour l'hyperviseur.
Ce serveur contiens 2 interfaces réseaux :
Une première pour eth0 pour se connecter à internet (WAN).
Une deuxième VMBR0 qui est un bridge, ce bridge ajoute une à une les IP-Failover commandés chez Hetzner.
Un extrait vaut 10 000 mots (extrait de /etc/network/interfaces) du serveur dédié :
J'ai ensuite réussit à installer & configurer proxmox. J'en ai profité pour créer une VM que j'ai configuré pour faire mapper son ip failover au serveur dédié
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7 auto vmbr0 iface vmbr0 inet static address "adresse_serveur_hôte" [...] up ip route add "notre IP Failover n°1" dev vmbr0) up ip route add "notre IP Failover n°2" dev vmbr0) up ip route add "notre IP Failover n°3.." dev vmbr0)
c'est à dire que depuis proxmox j'ai rattaché vmbr0 à la VM. J'ai été dans /etc/network/interface et je lui ai mis son IP failover
ça fonctionne super bien et j'ai internet sur ma vm !
voici l'interface de ma machine invité :
jusqu'ici tout va bien donc !
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6 auto ens18 iface ens18 inet static address "ip_failover_n°1" netmask 255.255.255.255 pointopoint "ip_serveur_dedie_hetzner" gateway "ip_serveur_dedie_hetzner"
Maintenant ça se complique un peu.. disons que je cherche à sécuriser mon projet. Les attaques étant facile sur ce type d'architecture. Je souhaiterais rajouter un pare-feu de type PFSENSE pour ajouter une sécurité supplémentaire à mes VM.
J'ai donc pensé à créer une VM supplémentaire sur PROXMOX, ajouté l'image PFSENSE, configuré l'ensemble.
Crée un nouveau bridge qui reprends les IP-Failover et les re-routent vers vmbr1
ex du network/interface de ma vm pfsense :
J'ai pensé qu'on aurait plus qu'à mettre VMBR1 sur les VM et hop le tour est joué !
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6 auto vmbr1 iface vmbr1 inet static address "adresse sous réseaux VM_pfsense" netmask 255.255.255.255 ... up ip route add "notre IP Failover n°1.." dev vmbr1)
Sauf que ça ne fonctionne pas.. PFSENSE n'a pas accès à internet
Pire, elle détecte même pas mon serveur dédié via un simple ping ?
Avez-vous des suggestions ? des idées ? ou même sur l'architecture elle-même (je suis la pour apprendre donc tout est bon à prendre ! ).
J'ai pensé à faire un réseaux LAN protégé du WAN avec des adresses sous-réseaux. Mais si je comprends bien on aurait qu'une seule IP-Failover ? les Machines virtuelles n'auraient donc pas une adresse IPV4 publique différentes ?
Merci de vos lumières,
J'ai tenté de faire un schéma dans ce post mais je ne sais pas si l'image à pus être uploadé.
Partager