Configuração de rede ESXi para VMs que se conectam à Internet por meio do PfSense [fechado]

AVISO sobre sua configuração

Aconselho você a ter cuidado ao usar este sistema nesta configuração, se tiver apenas um adaptador físico e apenas um uplink para o universo a partir do sistema. Eu sugeriria comprar um adaptador extra para o sistema e adicioná-lo ao seu sistema - dessa forma, você ainda pode ter uma conexão física de backup.

A outra dor de cabeça que você enfrentará com apenas um uplink é que terá que mover seu VMKernel para a rede pfSense e, então, não poderá ter esse VMKernel acessível na web. Em seguida, você precisará configurar a VPN no pfSense para poder fazer uma VPN na rede para acessar a rede de gerenciamento ESXi por meio do pfSense.

Algumas notas bastante importantes sobre minha resposta, das quais você deve tomar nota

• Não vou explicar como configurar o pfSense. Esta pergunta aqui é sobre a configuração da rede ESXi, então estou abordando essa parte da resposta. Se precisar de ajuda para configurar o pfSense, faça uma pergunta separada ou consulte um dos bilhões de tutoriais na Internet.
• O servidor ESXi que estou usando para minhas capturas de tela possui nove (9) portas ethernet físicas. Desses, apenas dois não estão em uso, portanto, estão nessas imagens como vmnic5e vmnic6. Embora os itens retratados em meus diagramas para isso não estejam ativamente em uso, essa abordagem ainda 'funciona'. Eu testei a prova de conceito com o VMware Workstation (em uma abordagem diferente, mas semelhante) e no meu ESXi.
• Meu sistema ESXi é o ESXi 6.0U2, com a IU da Web incorporada ativada. Posso estar alternando entre o WebUI e o vSphere Client; nas minhas capturas de tela, mas o básico permanece o mesmo para configurar as coisas.
• Minhas capturas de tela NÃO terão o VMKernel nelas . O VmKernel no meu ESXi está em um vSwitch separado, com um uplink separado, em uma sub-rede separada. Meus diagramas , porém, mostrarão o item VMKernel.

Com meus avisos obrigatórios fora do caminho, isso realmente não é tão difícil quanto parece.

Com equipamento físico e um dispositivo pfSense físico, você terá uma porta WAN e uma porta LAN. Sua porta WAN será conectada ao uplink para o mundo. A porta LAN será conectada a algum tipo de switch e o restante de sua infraestrutura LAN na rede interna. O pfSense WAN será configurado para o endereço IP da WAN (estático ou dinâmico), e o pfSense LAN será configurado para o endereço IP da LAN com configurações estáticas, e você ativará o DHCP para a LAN ou terá cada IP estático do sistema. d com o gateway padrão apontando para essa LAN.

Com tudo no ESXi, temos que emular isso, mas ainda é o mesmo conceito.

ESXi e vSphere

Dado que você já possui VMs, provavelmente já possui um vSwitch0, que por sua vez está vinculado a uplinks físicos do sistema, como este, mas com VMs no grupo "VM Network" e com um vmnicque realmente está conectado a algo:

É importante ressaltar que, a partir deste ponto, qualquer coisa no vSwitch0 será considerada no "Uplink", pois ele contém NICs físicos . Podemos mudar isso mais tarde. O NIC virtual pfSense WAN estará neste switch.

Crie o vSwitch1, para a LAN pfSense

Aqui é onde vamos criar a LAN. Se você já criou vSwitches antes, pode passar facilmente por esta parte, mas efetivamente estamos adicionando um vSwitch para VMs, não o VMKernel. A chave aqui, porém, é não conectar um adaptador físico a esta rede, pois estamos executando-o através do pfSense, que será um NIC virtual conectado a este vSwitch. Eu nomeei o novo agrupamento de portas aqui "pfSense LAN".

Adiado para mais tarde: Mova as VMs para a LAN do pfSense

Como esse pode ser um sistema em que você não pode ter tempo de inatividade, farei com que as VMs sejam movidas para a LAN pfSense como uma etapa posterior.

pfSense VM

Agora, para pfSense. Ao criar a VM pfSense, você precisa fornecer duas NICs virtuais - uma para o pfSense "WAN", que é o 'externo' em que o uplink existe e uma para o pfSense "LAN", que é a rede interna qual o firewall pfSense protege e faz NAT e roteamento para o uplink para as máquinas na LAN.

Ao configurar o pfSense, você precisa certificar-se de fornecer à VM dois adaptadores de rede virtual ( vNICs, deste ponto em diante nesta resposta). Cada um deles precisa estar nos grupos de rede individuais que temos, um em vSwitch0("VM Network" como anteriormente) e um em vSwitch1("pfSense LAN"). Eu uso E1000adaptadores de tipo - eles parecem funcionar bem com o sistema pfSense baseado em FreeBSD.

Isso é opcional, mas eu recomendo isso. Certifique-se de ter uma VM na rede "pfSense LAN" onde você pode acessar a GUI para poder acessar o pfSense depois de configurá-lo. Você precisará disso para configurar o firewall pfSense, a menos que saiba o que está fazendo na CLI do pfSense (não adicionarei as etapas de configuração do pfSense aqui, pois basicamente é uma questão diferente).

APENAS vá para esta seção DEPOIS de configurar o pfSense para as configurações de LAN e WAN e configurar as regras de firewall para que você possa começar com uma configuração "Tudo pode sair para o mundo a partir da LAN" e, em seguida, comece a adicionar itens da lista de permissões e regras de firewall antes de bloquear.

Depois de configurar seu pfSense, voltamos à parte em que você pode ter um tempo de inatividade se precisar acessar de fora para dentro as VMs.

Mova as VMs para a LAN pfSense

Basicamente, edite as configurações do adaptador de rede para cada uma das suas VMs que estão na "Rede VM" padrão e defina-as para o segmento de rede "pfSense LAN". Se tudo estiver com IP estático, você deve estar pronto, apenas certifique-se de que as VMs definam o "gateway" para ser o IP estático definido no adaptador de LAN pfSense. (Dessa forma, as VMs podem rotear pelo pfSense).

Quando terminar e suas VMs puderem se conectar a qualquer coisa externa por meio do pfSense (configurando o gateway corretamente em cada máquina), basta configurar o pfSense para permitir conexões externas às máquinas, quando necessário.

E agora você terminou . O pfSense deve ser capaz de acessar a rede, assim como as VMs. Se você realmente se importa com a presença de "VM Network", adicione um grupovSwitch0chamado "pfSense WAN" e, em seguida, edite as configurações de rede pfSense para ter o vNIC "VM Network" conectado ao novo grupo "pfSense WAN".

A única coisa que não ajustamos aqui é onde fica o VMKernel. Embora eu não vá fazer isso aqui, porque isso prejudicará muito meu sistema, você teoricamente pode adicionar um VMKernel às vSwitch1propriedades de e fornecer um IP estático na "LAN do pfSense" se desejar que o gerenciamento seja acessível apenas formam a seção "pfSense LAN" da rede. Depois de confirmar que pode acessar, você pode remover o VMKernel em vSwitch0. Porém, se tudo começar a quebrar, você terá que ter acesso físico à máquina para reconfigurar a rede de gerenciamento por meio da própria máquina.

Observe que, se você já estiver em uma LAN ou onde a rede de gerenciamento resida, deixe a rede de gerenciamento sozinha. A menos que seu ESXi precise acessar a Internet, você não precisa que ele passe por um gateway.

Diagrama de topologia de rede pfSense/ESXi pós-configuração

Efetivamente, no que diz respeito ao ESXi e à topologia em relação às suas VMs, pfSense e ao uplink, você terminará com algo assim, focando apenas na parte do ESXi.