pfSense 是一款开源网络防火墙,用途较为广泛,可以当作一款性能、功能均衡的软路由或交换机使用。
使用场景
一个比较经典的使用场景就是做到多内网互联互通,比如常见的虚拟机软件都支持 NAT 网络模式,会为虚拟机分配一个内网地址,外网的流量会经过 NAT 方式转发到外网来实现外网互联。而 Vmware 家的 ESXi 产品默认就不支持 NAT 网络模式,网络会直接由上级路由器进行地址分配和转发,相当于一个高性能版本的“桥接网络”。内网互联则使用 vSwitch 来进行转发,同样性能很优异。
那么如何在 ESXi 上使用“NAT 模式”呢?答案显而易见,就可以使用 pfSense 来实现,同类的防护墙虚拟交换机类软件都可以实现。
配置 vSphere (ESXi)
默认情况下只有一个虚拟交换机 vSwitch0,手动创建一个新的虚拟交换机 nSwitch0,用于 NAT 网络环境,注意:需要删除关联的物理接口,点击后面的 X 删掉 Uplink1。因为没有关联物理网卡,所以为纯内网环境。
创建完成后如图
然后创建对应的端口组 NM Network,注意选择刚才创建的虚拟交换机
稍等片刻刷新控制页面,创建虚拟机 pfsense,注意需要将网卡添加两款,一块为外网网卡 VM Network ,另一块为内网网卡 NM Network。
这个虚拟机就是虚拟网桥,将内网网卡的流量转发至外网网卡,实现内网互通和外网访问。
创建 pfSense
从官网下载 pfSense CE (社区版)镜像绑定至刚才创建的虚拟机上,镜像下载地址:Latest Stable Version (Community Edition),架构选择 AMD64,类型选择 DVD Image(ISO)。
小贴士:虚拟机类型可以随便选,后期可以重新配置,注意在引导中选择 BIOS,不要使用 UEFI。
虚拟机开机稍等片刻,即可看到安装界面,接受用户协议
选择 Install 回车
选择 Auto (ZFS) 回车
选择 Install 回车
选择 Stripe 回车
空格选择虚拟磁盘,回车
确认修改,选择 YES
等待安装完成
安装完成后选择 Reboot
重启完成后进入终端模式,在虚拟机控制台中可以看到两块网卡的 MAC 地址,开机后稍等片刻即可出现安装配置提示,将外网网卡配置为 WAN 内网网卡配置为 LAN。
继续配置 DHCP 服务,为了方便使用可以开启,在本示例中,因为要配置外部 DHCP 服务,因此全部选择禁用。
安装完成后即可出现主控制台界面,选择 2) Set interface(s) IP address 配置网卡地址。
配置 WAN 网络地址、网关、子网掩码等,可以参考图中的示例进行配置。
配置 LAN 网络地址、网关、子网掩码等,可以参考图中的示例进行配置(以网络 192.168.15.0/24 为例)。
配置完成后会自动重启服务,然后创建一个使用同内网环境的 Ubuntu 桌面环境,或者可以使用其他带图形界面的即可。
配置 pfSense
配置内网 Ubuntu 地址为同网段的地址,随便选一个,比如 192.168.15.111,网关配置为 192.168.15.1,其他的非必填项。
然后打开浏览器访问 pfSense 控制台 http://192.168.15.1/,默认用户名和密码 admin/pfsense:
开始配置 pfSense 软件
点击 Next 下一步
配置 DNS 地址
配置一个管理员用户密码
点击 Reload 重新加载服务
稍等服务将自动重启
移动最下面点击完成即可
然后进入首页,点击左上角 System -> General Setup,把 DNS 解析器改为图中的选项
然后返回主页即可
然后选择 Status -> Gateway,检查网关状态,显示 Online 即工作正常
然后使用命令进行测试
尝试进行 DNS 解析
然后可以创建一个虚拟机连接上去查看是否可以使用
补充
可以看到 ESXi 中提示没有安装 open-vm-tools,会显示警告信息
在控制面板中选择 System -> Package Manager 进入包管理器
安装完成后刷新页面即可正常显示
附录
参考链接
本文由 柒 创作,采用 知识共享署名4.0
国际许可协议进行许可。
转载本站文章前请注明出处,文章作者保留所有权限。
最后编辑时间: 2023-10-13 13:55 PM