pfSenseを使ったProxmoxのVLANセグメント分割
概要
おうちサーバのProxmox上に立てる仮想マシンのセグメントを分けて管理したい。
具体的には、192.168.0.0/24 配下のProxmoxサーバ上でVLANを使うことで、192.168.10.0/24 と 192.168.20.0/24 の2つ(以上)にネットワークを区切る。
そうしたい理由としては、仮想マシン側から 192.168.0.0/24 のネットワークにアクセスしてほしくなかったり、192.168.0.10/24 と 192.168.0.20/24 間で通信してほしくないから。
上記を実現するため、pfSenseのVMを立てていろいろ設定していきます。
手順
大きく分けると次のような感じ。
- Proxmox側のネットワーク設定
- pfSenseのインストール
- pfSenseの設定
- 仮想マシン側の設定
1. Proxmox側のネットワーク設定
- サイドバーから Datacenter -> pve をクリック
- pveのサイドバーから System -> Networkをクリック
デフォで設定されてるvmbr0というのがあると思うので、下記のように設定する。VLAN-awareがキモ。
IPアドレスとかNetwork Deviceは適当に読み替えること。
2. pfSenseのインストール
公式サイトからISOが落とせるので、Proxmoxにダウンロードして仮想マシンを立てる。スペックは適当。
起動すると色々聞かれるけど、基本的にはいはい言ってればよい。
3. pfSenseの設定
インストール後、rebootが終わると初期ネットワーク設定を聞かれる。
今回は次の3セグメントを設定した。
WAN: 192.168.0.0/24
LAN1: 192.168.0.10/24
LAN2: 192.168.0.20/24
ネットワーク設定が終わったら次のコマンドで一旦pfSenseのFW設定を無効化する。
$ pfctl -d
そうするとWebUIにアクセスできるので、よしなにFW設定をする。
とりあえず最低限セグメント間のアクセスをBlockにしておけばOK。
LAN1:
Source: LAN1 net -> Destination: WAN net
Source: LAN1 net -> Destination: LAN2 net
LAN2:
Source: LAN2 net -> Destination: WAN net
Source: LAN2 net -> Destination: LAN1 net
設定が終わったらApply Configurationみたいなボタンを押すと設定が反映される。
必要に応じてWebUIへのアクセスを許可しておくこと。
4. VMの追加
ここまでの設定が終われば、あとは各セグメントにVMを追加していけばよい。
ネットワークアダプタの設定時に VLAN Tag を設定してあげれば自動でそのセグメントに設定ができる。
上記の画像は192.168.20.0/24配下に追加したときの例。
おわりに
仮想SW的な機能でなんか楽にできないかな~と思ったけど全然そんなことなかった。
何年か前にESXi+vyosでやったときも同じようなことした記憶があるので、ちゃんとネットワーク勉強しないといけなさそう。
おしまい
Discussion