Dernière mise à jour : 12/01/2022 à 22h24
Table des matières
Introduction
Dans cet article, je vais expliquer comment j'ai séparé certaines de mes machines virtuelles du reste de mon réseau. L'objectif de cette manipulation est d'avoir des machines virtuelles qui peuvent se connecter à internet mais qui ne peuvent pas joindre le reste de mon réseau. C'est une sécurité intéressante lorsqu'on réalise des tests sur des machines virtuelles et c'est également une mise en place intéressante pour améliorer ses connaissances en réseau.
PREVOIR UN SCHEMA
Mise en place des interfaces réseau sur proxmox
La première étape consiste à mettre en place les interfaces réseau sur proxmox. Dans proxmox, au niveau du nœud concerné, dans le menu Système > Réseau, on retrouve nos différentes interfaces. On a normalement de base :
- Une (ou plusieurs) interface(s) physique(s) (cartes réseau) : ce sont les cartes physiques présentes dans l''ordinateur/serveur/NUC (enfin ce que vous utilisez pour héberger proxmox)
- Une interface virtuelle (Linux Bridge) : c'est une interface virtuelle qui fera le lien entre les machines virtuelles et la carte physique
Dans cette configuration, nous avons la première partie du schéma et nos machines virtuelles peuvent communiquer directement sur le même réseau local que toutes les autres machines physiques ou virtuelles.
Nous allons donc créer une seconde interface virtuelle de type Linux Bridge.
Ici, j'ai donné une adresse IP d'un autre sous-réseau, c'est ce qui permettra que les machines virtuelles qui utiliseront cette interface ne puissent pas communiquer avec le reste.
J'ai donc 1 interfaces physique (enp2s0) >> ma carte réseau dans le PC et deux interfaces virtuelles (vmbr0 et vmbr1). On peut remarque que vmbr0 a comme port enp2s0, ce qui signifie qu'une machine virtuelle avec une carte réseau "bridgée" sur vmbr0 sera directement connectée au réseau local comme je l'expliquai précédemment.
En l'état actuel, une machine virtuelle avec une carte réseau "bridgée" sur vmbr1 ne pourrait communiquer avec personne puisque vmbr1 n'a pas de port. Il va donc nous falloir créer un routeur vituel...
Création d'un routeur virtuel
Création du conteneur
Il existe beaucoup de distribution qui peuvent servir de routeurs (OpenWRT, IPFire, PFSense,...) mais ici nous allons faire au plus simple car nous avons besoin de peu de choses. Nous allons donc utiliser un simple conteneur Debian qui servira à router et à fournir des adresses IP.
On installe donc un conteneur sous Debian, classiquement, je reviens juste sur la partie réseau. Lors de la création du conteneur vous pouvez laisser les options par défaut dans la partie réseau, dans mon cas, j'ai juste fixé l'adresse IP.
Cette première carte réseau sera celle connectée à votre box ou votre routeur physique, on précise donc la passerelle pour qu'elle fournisse une connexion internet.
On créé ensuite une seconde carte réseau, qui sera elle connectée côté VLAN c'est-à-dire du côté de notre réseau isolé. Vous remarquerez que le 3ème chiffre de l'adresse MAC est différent. Vue qu'on a un masque de sous-réseau 255.255.255.0 (/24), on est bien dans un autre sous-réseau.
On peut démarrer notre conteneur, nous allons maintenant faire les configs qui vont bien.
Configuration du serveur DHCP
Comme expliqué plus tôt, nous allons configurer un serveur DHCP sur notre routeur, cela permettra d'attribuer des adresses IP aux machines présentes dans le VLAN.
On installe d'abord le paquet nécessaire :
Code BASH :
apt install isc-dhcpd-serverOn va ensuite éditer le fichier de configuration :
Code BASH :
vim /etc/dhcp/dhcpd.conf
Les lignes importantes à mettre sont :
Code BASH :
default-lease-time 600; #durée du bail donné par le serveur en secondes max-lease-time 7200; #durée maximale du bail subnet 10.0.1.0 netmask 255.255.255.0 { range 10.0.1.10 10.0.1.250; option routers 10.0.1.254; }