Featured How-To Wirtualny router w QNAP? – pfSense na straży maszyn wirtualnych!

Dyskusja w 'Wirtualizacja serwerów i klastrów' rozpoczęta przez użytkownika Silas Mariusz, 9 Listopad 2017.

Ładowanie...
  1. Silas Mariusz
    Offline

    Silas Mariusz SysOp Administrator

    Dołączył:
    5 Kwiecień 2008
    Wiadomości:
    6 700
    Miejscowość:
    Nowy Sącz
    Local Time:
    06:32
    Oceny:
    +1 485 / 30 / -6
    Followers:
    25
    QNAP:
    TVS-x71
    Ethernet:
    1 GbE
    TVS-x71 1 GbE
    pfsense_qnap_virtualized.



    Virtual_Switch---Internet. Wielu z Was pewnie nieraz w życiu przeszła przez myśl koncepcja uruchomienia funkcjonalności routera na serwerze QNAP. Ustalmy sobie fakty – serwer QNAP pełniący funkcje routera dla sieci lokalnej to absurdalny pomysł. Każda jego większa aktualizacja oprogramowania czy konserwacja skutkowałaby odcięciem użytkowników od dostępu „do świata”. Jednak uruchomienie funkcjonalności routera na serwerze QNAP, to nie zawsze zły pomysł…






    p2v. Resident Evil
    Korporacja Umbrella korzysta z tuzina fizycznych serwerów z oprogramowaniem na różnorodnych platformach. Na każdym z nich uruchomionych jest po kilka usług. Pierwsze dwa lepsze z brzegu serwery "stoją na" Linux-ie i Windows-ie. Na pierwszym serwerze pracuje Apache i PHP, który serwuje na potrzeby firmy CMS’a. Na drugiej maszynie działa system ERP i wymagany przez niego MSSQL. Po trzech latach od instalacji, część z serwerów ulega regularnym fizycznym awariom sprzętu. Korporacja Umbrella przez tygodnie odnosi paraliż w różnych sektorach swojej działalności. Zarząd Umbrella ponosi ogromne koszty w związku z awariami, które coraz częściej zaczynają się ujawniać w związku z eksploatacją starego już sprzętu IT a ich naprawa generuje dodatkowe koszty i trwa po kilkadziesiąt godzin. Korporacja powołuje zespół IT Rescue Service. W między czasie zarząd korporacji wspólnie z doradcami IT spotyka się przypadkowo z certyfikowanym partnerem QNAP w Polsce. Firma OCP – certyfikowany partner QNAP wyszkolony przez jednego z dystrybutorów firmy QNAP w Polsce, proponuje wymianę tuzina pojedynczych i przestarzałych już maszyn fizycznych na dwa serwery QNAP. Doradcy IT w korporacji Umbrella przypominają, że odseparowane maszyny fizyczne zwiększały bezpieczeństwo uruchomionych na nich usług. OCP podtrzymuje swoją propozycję wymiany 12 maszyn fizycznych na zaledwie dwa serwery QNAP – jeden dla wirtualizacji wszystkich obecnie działających serwerów, a drugi jako magazyn kopii zapasowych maszyn wirtualnych. QNAP taki scenariusz nazywa… skalowalnością, elastycznością i bezpieczeństwem!


    traditional_vs_qnap_virtualization.

    W scenariuszu jak ten powyżej nie trzeba dużo myśleć, że infrastruktura rzekomej firmy Umbrella, to skandaliczne trwonienie budżetu firmy, a także dużo trudniejsza konserwacja sprzętu. Oczywiste jest, to, że w dobie wirtualizacji wszystkie, nawet już te działające fizyczne komputery można w łatwy sposób skonwertować do obrazów maszyn wirtualnych za pomocą darmowego narzędzia VMware Converter. Zatem fizyczne komputery można przenieść na jedną wspólną maszynie i uruchomić oddzielnie.



    pic_virtualization00.


    Jakie są korzyści takiego rozwiązania?
    W Polsce wirtualizacja dla wielu to nadal wczasy na wyspach egzotycznych
    Niby każdy wie do czego ona służy, ale w dalszym ciągu większość z nas z niej niechętnie korzysta. Wirtualizacja wymaga dwóch rzeczy. Dużo RAM’u i minimum chęci, a korzyści same już wypłyną, tj. oszczędność prądu, łatwe kopie zapasowe, powielanie szablonów maszyn wirtualnych, przenoszenie obrazów pomiędzy hostami, a także wiele innych …jak np. migawki. Migawki maszyn wirtualnych, to jak portal umożliwiający powrót maszyny wirtualnej do przeszłości – np. do momentu przed awarią systemu wynikającej z niepowodzonej aktualizacji oprogramowania. Tak więc, wirtualizacja to nie tylko oszczędność, czy łatwe archiwizowanie, ale przede wszystkim komfort w zarządzaniu.

    qnap-microsoft-virtual-machine.

    virtualization_Device-Management.
    Komfort a bezpieczeństwo…
    Wydaje się, że scenariusz uruchomienia wszystkiego na jednym sprzęcie to zły pomysł. W przypadku awarii sprzętu cała firma zostałaby sparaliżowana. Rzeczywiście taki wariant trzeba brać pod uwagę. Dlatego oszczędność kosztów przez wirtualizacje maszyn fizycznych należy rozumieć jako korzyść wynikającą z inwestycji w – nie tylko jeden serwer – a nową infrastrukturę. Nowa infrastruktura powinna przewidywać scenariusz ochronny zapewniających ciągłą prace uruchomionych na niej usług produkcyjnych. Dlatego w interesie inwestora oprócz oszczędności kosztów idącą za wymianą dwunastu serwerów fizycznych na jeden serwer QNAP, musi znajdować się budżet na dodatkową jednostkę – najlepiej taką samą, zapewniającą bezpieczeństwo i magazyn dla kopii zapasowych usług z jednostki produkcyjnej. Stąd propozycja dwóch serwerów, a nie tylko jednego, zamiast łącznie dwunastu serwerów fizycznych. W tej konfiguracji pomocniczy drugi serwer QNAP po za magazynem kopii zapasowych, umożliwi ewentualne uruchomienie zarchiwizowanych z kopii zapasowych usług uległych awarii, a nawet pozwoli w kilka minut przenieść dyski z całej macierzy produkcyjnej i w pełni przywrócić do działania wszystkie jej usługi. Jednak do podstaw zrozumienia idei wirtualizacji infrastruktury sieciowej wystarczy nam w przykładzie tylko jeden – jeden serwer – QNAP.





    test.
    Elastyczność od macierzy po
    skrętkę
    Możliwości jakie idą z systemów wirtualnych praktycznie są nieograniczone. Systemy wirtualne mogą służyć jako pojedyncze uruchomione usługi, jako archiwizacja przestarzałych komputerów, jako maszyny z nietypowymi systemami operacyjnymi odgrywające rolę narzędzi dla programistów lub testerów oprogramowania, ale np. także jako kontrolery sieciowe – np. routery czy firewall'e. W naszym wypadku zastosowanie takiego programowego routera jest idealnym pomysłem umożliwiającym kontrole ruchu i przekierowanie poszczególnych portów/usług na maszyny wirtualne i odpowiednie bezpieczne ich udostępnienie w publicznym Internecie.


    Mikrotik_logo.
    QNAP Router!
    = Mikrotik RouterOS lub pfSense, ...

    Mikrotik RouterOS to jeden z najbardziej popularnych softów routerowych, który miał okazje zagościć w świecie konsumenckich urządzeń sieciowych IT. Przede wszystkim jest szybki i umożliwia niemal wszystko. Ale wymaga odpowiedniej wiedzy, która nie jest opisana żadnymi innymi podobnymi językami programowania i chociaż jest klikalny, to używanie Mikrotika przez interfejs Web'owy to jak chodzenie w turbanie na plaży pośród palm o wschodzie słońca w Los Angeles. Jeśli używasz DD-WRT na Linksys'ie, to możesz sprawdzić swoje siły z Mikrotikiem. Jeśli zachwycasz Cię Tomato na TP-Link-u lub wydałeś kilka stów na router ASUS'a, to własnie tracisz czas interesując się tym tematem - Mikrotik nie jest dla Ciebie. Po za tym Mikrotik RouterOS nie jest darmowy. Licencja zaczyna się od kwoty $29USD co de facto nie jest absolutnie wygórowaną ceną – baaa! to jak za darmo za możliwości jakie oferuje. (Obecnie jako QNAP prowadzimy rozmowy z firmą Mikrotik o przygotowanie specjalnej darmowej wersji oprogramowania Mikrotik dla serwerów QNAP).

    Ale czy warto wydawać pieniądze na Mikrotika wyłącznie dla potrzeb wirtualizacji? Niekoniecznie. pfSense chociaż jest inny od Mikrotika, to równie sprawnie daje rade!





    pfsense-logo-634x179.
    Czym jest pfSense?
    Istnieje naprawdę wiele dobrych rozwiązań pod firewall i router. Ale pfSense jest niewątpliwie jednym z najlepszych firewalli i routerów open source wymagającym architektury i386/x64. pfSense to znakomita odmiana dystrybucji systemu operacyjnego FreeBSD, który jest uważany za bardzo bezpieczny i stabilny system. pfSense może pełnić funkcje firewalla, DNS'a, serwera DHCP, bramki VPN i wiele innych. Zapora sieciowa firewall w pfSense określa zasady komunikacji w sieci, a tym samym może wnieść znaczący wkład w bezpieczeństwo usług uruchomiony za nią. Idealnie nadaje się dla zastosowań wirtualnych. Łatwa instalacja, wysoka wydajność, elastyczność i wysoka przepustowość danych to tylko kilka z wielu zalet pfSense. A ponieważ jest to oprogramowanie open source, nie ponosisz żadnych kosztów związanych z licencjonowaniem. Czy może być coś lepszego?




    pfSense w zastosowaniu produkcyjnym
    - jako firewall i router maszyn wirtualnych

    W odpowiednio zaprojektowanej infrastrukturze sieciowej, serwer QNAP został podłączony osobnymi interfejsami do WAN1 i LAN, a także wydzielonym interfejsem LAN4 eth3 dla WAN2 80.55.234.15 dedykowanym dla środowiska wirtualnego. W obrębie maszyn wirtualnych ruch jest odizolowany od sieci lokalnej serwera i trasowany na WAN2 za pomocą programowego routera pfSense, będącego jedną z nich.


    diagram_pfsense_network.


    Wymagania sieciowe - fakty
    1. Router wymaga min. dwóch interfejsów: WAN2 i odizolowany LAN
    2. WAN2 musi być przyłączony bezpośrednio do publicznego Internetu
    3. Odizolowany LAN ma za zadanie agregować wszystkie uruchomione usługi



    1. Wirtualny interfejs dla WAN routera
    Do stworzenia pierwszego interfejsu WAN dla programowego routera w serwerze QNAP w ustawieniach sieci i przełączniku wirtualnym należy zacząć od utworzenia dedykowanego wirtualnego switcha przyłączonego do interfejsu WAN2. W chwili tworzenia wirtualny switch nie jest przypisany do żadnej maszyny wirtualnej oraz bez adresu IP, DHCP i NAT. Wirtualny switch będzie potrzebny w celu przyłączenia pierwszej karty sieciowej routera programowego do WAN2.

    pfsense_step_001. pfsense_step_002. pfsense_step_003. pfsense_step_004.

    2. Wirtualny interfejs dla LAN routera
    Aby utworzyć sieć lokalną dla maszyn wirtualnych, należy utworzyć dedykowany wirtualny przełącznik sieciowy, który w przeciwieństwie do poprzedniego switcha jest absolutnie wirtualny i nie przyłączony do żadnego fizycznego interfejsu, ale z ustawieniem klienta DHCP, który pozwoli dostać się maszynom wirtualnym do zasobów hosta.

    pfsense_step_005. pfsense_step_006. pfsense_step_007.

    Podsumowanie wirtualnych interfejsów
    pfsense_step_008. W ten sposób utworzone zostały dwa wirtualne przełączniki. Virtual Switch 4 dedykowany jest dla interfejsu WAN2 oraz Virtual Switch dla odizolowanego LAN'u dla maszyn wirtualnych.


    3. Maszyna wirtualna - instalacja routera pfSense
    Do przygotowania poprawnie działającego odizolowanego środowiska wirtualnego warto zacząć od utworzenia jego serca – routera i firewall'a. Zatem w stacji wirtualizacji w serwerze QNAP należy przygotować nową maszynę na potrzeby pfSense. Należy pamiętać, że pfSense nie wywodzi się z gałęzi Linux-a, a z gałęzi BSD należącej do grupy systemów UNIX.
    pfsense_step_009. Zatem w ustawieniach maszyny wirtualnej konieczny jest wybór typu systemu UNIX, a dystrybucji – FreeBSD 9.1 z 512MB RAM i HDD 3GB oraz wskazanie obrazu ISO do nośnika instalacyjnego CD z oprogramowaniem pfSense – Download AMD64. W ustawieniach maszyny, należy przypisać kartę sieciową do utworzonego w punkcie 1 wirtualnego przełącznika sieciowego (w przykładzie Virtual Switch 4) łączącego z WAN2.

    To jeszcze nie koniec! Przed uruchomieniem tej maszyny w ustawieniach urządzeń należy dodać kolejną kartę sieciową, ale tym razem przyłączyć ją do wirtualnego przełącznika sieciowego (w przykładzie Virtual Switch 5) utworzonego w punkcie 2 łączącego późniejsze wszystkie maszyny wirtualne. Należy pamiętać, aby model obydwu kart sieciowych był VirtIO.

    pfsense_step_010. pfsense_step_011. pfsense_step_012. pfsense_step_013.

    4. Instalacja pfSense
    Instalacja pfSense zajmuje zaledwie kilka minut, a w każdym kroku nie są wymagane żadne dodatkowe ustawienia wystarczy akceptować proponowane domyślnie zapytania.
    pfsense_step_014. pfsense_step_015. pfsense_step_016. pfsense_step_017.
    pfsense_step_018. pfsense_step_019.





    5. Konfiguracja interfejsów w pfSense
    Zainstalowany pfSense zostanie uruchomiony po raz pierwszy. Podczas pierwszego uruchomienia pfSense zadaje szereg pytań w konsoli wymaganych do podstawowej pracy funkcjonalności routera. Pierwsze z pytań będzie odnosić się do VLAN'ów, które nie dotyczą opisywanego tematu. Następnym dość ważnym pytaniem będzie wskazanie urządzeń sieciowych dla interfejsów WAN i LAN. W tym zapytaniu konfigurator wyświetla listę dostępnych interfejsów. Dla kart sieciowych VirtIO będą to kolejno vtnet0 (WAN2) i vtnet1 (LAN).

    pfsense_step_020. pfsense_step_021.

    6. Konfiguracja adresów IP dla interfejsów sieciowych w pfSense
    pfsense_step_022. Po poprawnym skonfigurowaniu interfejsów sieciowych, pfSense zastosuje ustawienia i finalnie zostanie uruchomiony. W tym etapie zostanie wyświetlone menu w konsoli, w którym będzie trzeba skonfigurować podstawowe rzeczy tj. adresy IP.

    WAN adres IP
    Konfiguracja adresu IP dla interfejsu WAN może być w trybie automatycznym z DHCP (niezalecane) lub statyczny – w przykładzie:
    Adres IP: 80.55.234.15
    Maska podsieci: (255.255.255.0)/24
    Brama wychodząca: 80.55.234.1
    Podobne zapytanie będzie dotyczyło konfiguracji IPv6, które można zignorować i pozostawić w trybie DHCP. Wszystkie pozostałe zapytania należy potwierdzić i zakończyć konfiguracje adresów IP dla WAN.
    pfsense_step_023. pfsense_step_024.

    LAN adresacja IP
    W tym kroku pozostaje tylko zadeklarować adresację IP dla maszyn wirtualnych. W przykładzie wybrano:
    Adres IP: 10.0.50.1
    Maska podsieci: (255.255.255.0)/24
    Brama wychodząca: Brak - Gateway WAN
    Ale jak to w routerach bywa, przydatne jest też DHCP. Dlatego w kolejnym kroku system zaproponuje uruchomienie serwera DHCP i określenie puli adresów IP. W przykładzie użyto zakres od 10.0.50.100 do 10.0.50.199.
    pfsense_step_025. pfsense_step_026.

    7. To już prawie wszystko...
    Pozostało już teraz tylko zalogować się na interfejs pfSens. Jednak jak to w przypadku prawidłowych i bezpiecznych konfiguracjach routerów, panel zarządzania nie powinien być dostępny ze strony interfejsu WAN. A jak wiadomo ze strony interfejsu LAN nie możemy się na niego zalogować, ponieważ sieć jest odizolowana. I są tutaj dwa sposoby. Pierwszym z nim to odblokowanie interfejsu do pracy po stronie interfejsu WAN lub uruchomienie np. Ubuntu Live CD i zalogowanie się do panelu ustawień routera.

    pfsense_step_027. Aby odblokować Webowy panel zarządzania po WAN-ie, w konsoli pfSense należy przejść do powłoki shell, a następnie wyłączyć reguły firewall-a poleceniem:
    Kod (Bash):
    1. pfctl -d
    (Należy pamiętać, że ustawienie nie jest trwałe i po zakończonej pracy należy je przywrócić poleceniem pfctl -e

    Aby dostać się do panelu zarządzania można też dodać regułę zezwól wszystkim(/allow all) na interfejsie WAN.
    Kod (Bash):
    1. pfSsh.php playback enableallowallwan
    pfsense_step_028. UWAGA! Dodanie tej reguły otworzy dostęp dla Wszystkich po stronie WAN do interfejsu zarządzania oprogramowaniem pfSense. Dlatego zalecane jest dodanie własnych reguł określających dostęp i wycofanie wcześniej dodanej reguły dostępu dla wszystkich.

    Domyślne poświadczenia logowania dla pfSense, to użytkownik: admin, a hasło pfsense.



    Skoro serce sieci zostało uruchomione, to nie pozostało nic innego jak instalacja maszyn wirtualnych. W efekcie każda z nich będzie "wychodziła" na świat dedykowanym interfejsem WAN2 i będą chronione bramą firewall. W przykładzie na zdjęciach poniżej efekt działania pfSense, którego serwer DHCP z automatu przydzielił adres IP dla uruchomionego systemu operacyjnego Ubuntu i zezwolił na dostęp do Internetu.
    pfsense_step_029. pfsense_step_030.


    voilà
    Więcej na temat konfiguracji i ustawieniach pfSense można przeczytać w oficjalnej dokumentacji.

    pfsense.
     
    • Piwo Piwo x 4
    • Wygrany! Wygrany! x 1

Użytkownicy znaleźli te stronę szukając słów:

  1. qnap virtualny switch