0.はじめに
ProxmoxのSDNを構築しているにあたって、pfSenseのVPNでもSDN作ってみようということで、とりあえず試してみました。
とりあえず接続はできたっぽい(?)ので、備忘録をかねて書いてみました。
全体的に動作が不安定な気がします、あくまでも参考までに。
1.やってみたこと(概要)
以下の図のようにProxmoxの各ノードにpfSenseを配置して各ノードのvmbrを同じネットワークとして扱ってVM間の通信をしたい。
2.具体的な設定方法
基本的な方針。
- サーバを1台設定して、クライアントとして他のノードを追加する
- OpenVPNのtapモードを使用する
サーバ側の設定
-
証明書を作成
- System/Certificate/AuthoritiesのAddより、好きな名前を設定して、Methodを"Create an internal Certificate Authority"で作成(他はお好みで)
- System/Certificate/CertificateのAddより、Methodを"Create an internal Certificate"で、好きな名前を設定、Certificate authorityが先ほど作った証明書になっているかを確認して作成(他は適宜お好みで)
- System/Certificates/Revocationはお好みで
-
VPN設定
- VPN/OpenVPN/ServersのAddより、以下のように設定
- Cryptographic Settingsは先ほど作成したもの選択してお好みで
(自分はCertificate Depthの設定をミスっていたのでご参考までに - Tunnel SettingsはBridge DHCPにチェック☑️して、Bridge InterfaceやDHCPなどを環境に合わせて設定(LANとか)
- Client SettingsはDynamic IPにチェック☑️
-
インターフェースの設定
- Interfaces/Interface Assignmentsで今作ったVPNのインターフェースを追加して、きちんとEnable interfaceにチェック☑️ & 保存
- Interfaces/BridgesのAddより、今有効にしたインターフェースとLANとかをMember Interfacesで選択して設定(shiftキーを押しながら複数選択ができます。)
- Interfaces/Interface Assignmentsで保存
-
ファイアウォールの設定
- WANでIPv4+IPv6のTCP/UDPのOpenVPN (1194)の通信をPassする
クライアント側の設定
まず、ネットを見ていると、OpenVPN Client Export Utilityっていうのがあるらしいが、自分は発見できなかった。ということで、地道に設定していく。
-
証明書の設定
- System/Certificate/AuthoritiesのAddより、好きな名前を設定して、Methodを"Import an existing Certificate Authority"にして、サーバで設定した証明書をExportCAでダウンロードしてコピペする
- System/Certificate/CertificateのAddより、Methodを"Import an existing Certificate"で、それぞれサーバで設定した証明書をダウンロードしてコピペする
-
VPN設定
- サーバで設定したのと同じ内容を入れて、証明書は今入れたものを使う
-
インターフェースの設定(サーバとほぼ同じ)
-
ファイアウォールの設定(サーバと同じ)
3.検証
pfSenseクライアント側からは接続できたらしい。
VM間については、Pingは一応通ったが、全体的に動作が不安定です。
今後、何か進展があれば追記します。
インターネットの様々なサイト様によってばらつきがあった李、古かったりしたので、少しでも参考になったら嬉しいです。