Proxmox avec une seule ip, forwarding de port

Mais c’est quoi ce post pourris ? Si tu utilise Proxmox c’est pour faire des serveur virtuel donc avec plusieurs IP.

Hey m’agresse pas ! Dans certains cas ça peut être utile :), récemment j’ai vu une infra basé sur VMware ESXi pour sauvegarder les VMs de la manière la plus propre sur ESXi le moyen le plus facile est d’export une archive OVA depuis le client, hors le client ne fonctionne que sous Windows, il y a bien la possibilité de se connecter en SSH à l’ESXi et de récupérer les VM comme ça mais c’est moins « user friendly » et si le choix d’ESXi a était fait sur l’hôte c’est pour sa simplicité.

Du coup sur le serveur de backup principal j’utilise Proxmox avec une VM Windows qui permet donc de se connecter à l’hôte ESXi mais ce serveur est un Kimsufi donc il n’a pas d’ip fail over il va falloir forward le port du Remote Desktop vers le port de la machine Windows, il y a bien un mode NAT dans Proxmox mais celui-ci ne permet visiblement pas de forward des port vers une machine derrière ce NAT.

La technique a donc été testé et approuvé sur de la virtualisation de type KVM, je n’ai pas testé sur de l’openVZ

La technique est de crée un swtich dans Proxmox, et les machines virtuelle que vous voudrez forward seront connecté a ce « switch ».

Bah … oué mais du coup elle n’auront pas accès a internet tes vm sur ce « switch ».

Proxmox n’est « qu’une » Debian qui utilise OpenVZ et KVM avec une petite interface graphique de gestion donc on a iptables et iptables permet de faire passerelle donc problème réglé !

Pour commencer dans la « node » selectionnez network et create -> create bridge.

create_bridge

Crée un « Linux bridge » avec proxmox

Puis utlisez ces paramètres :

bridge_config

Configuration du bridge

Une fois que cela est fait redémarré votre machine.

Dans la config de votre VM mettez la en mode bridge sur l’interface vmbr2 (je ne fais pas de capture c’est dans les paramètres de la vm, c’est EASY, ici je dis vmbr2 car c’est l’interface que j’ai crée au dessus, sur votre config cela peut être différent :p)

Une fois redémarre il va falloir dire a iptables de forward les requetes du réseau local vmbr2 (ou vmbr1 dépend de votre config) vers le net pour ça rien de plus simple :

Ici par exemple je renvoie le port 3389 vers le port 3389 de la vm Windows.

La seule chose qu’il reste a faire est de config votre vm (il n’y a pas de dhcp sur votre réseau).

  • Adresse : 192.168.1.xx (ce que vous voulez a la place de xx sauf 1 qui est l’ip de l’hote)
  • Masque sous réseau : 255.255.255.0
  • Passerelle : 192.168.1.1

Pour ce qui concerne les DNS vous pouvez mettre ceux de votre hébergeur, sinon si vous ne les conaissez pas utilisez ceux d’OpenNIC ou bien ceux de google par exemple (8.8.8.8 et 8.8.4.4, dur a retenir n’est ce pas ? :D).

Tout devrai fonctionner et vous pouvez donc forward n’importe quel port n’importe quel VM.

 

 

Vous avez aimé cet article ? Partagez-le :)

Facebook Google Plus Twitter Linkedin email

8 réflexions au sujet de « Proxmox avec une seule ip, forwarding de port »

  1. Bonjour

    très bon tuto juste si attention au vmbr »X » que tu cite elle sont toutes différentes

    Peux tu faire une petite correction s’il te plait

    Merci =)

  2. Bonjour,

    Je sais que l’article n’est plus tout récent mais il m’a été très utile.

    Je galère cependant depuis 1 semaine pour installer un serveur de mail sur une VM.

    J’ai essayé Zimbra, Citadel, iredmail et j’ai toujours le même problème, j’en déduit donc que j’ai loupé un truc quelque part.

    Côté config : une vm avec serveur web + bind, une autre avec le serveur de mail, et une autre qui me sert de tests (j’ai essayé une seedbox, ça fonctionne)

    bind est configuré exactement de la même façon que lorsque je ne passais pas par une vm.

    J’arrive à envoyer des mails mais impossible d’en recevoir. j’ai pourtant bien transféré les ports nécessaires. Je ne reçois pas de message en retour sur l’adresse expéditrice (genre mail undeliverable).

    Je précise que j’apprends seul à la maison donc certaines bases peuvent me manquer
    une idée de ce qui peut clocher ?

    Je paye mon fondant au chocolat si vous avez une piste !

    • Alors,

      Je pense que le soucis ne viens pas du forwarding de ports en fait dans ce que vous citez comme solution ce sont « des bundles » de plusieurs projets, avez vous regarder coter GreyListing ?

      Ca m’a posé soucis a l’époque avec iRedMail, le grey listing était trop violent.

      Bonne chance

  3. Ca c’est de la réponse rapide !

    Pas de greylisting sur Citadel actuellement installé. Je voulais éviter de me taper à la main tous les fichiers de conf d’une installation classique de serveur mail mais je crois que je ne vais pas y échapper, au moins je serais sûr de ce qui sera installé.

    Je penchais aussi sur un problème de bind (qui reste ma bête noire à configurer) j’y ai mis :
    mail IN A mon.ip.publique
    domaine.com. IN A mon.ip.publique
    domaine.com. IN MX 10 mail.domaine.com.

    Test fait sur https://mxtoolbox.com/ il n’arrive pas à joindre le serveur smtp
    Je continue à chercher ! Merci en tout cas pour la réactivité.

    • Si vous le souhaiter vous pouvez me contacter par mail a contact at silentkernel.fr ou silent at silen…. si vous voulez que je regarde votre config DNS

      Bonne soirée

  4. Merci pour la proposition. Je suis en train de tout reprendre à la base pour être certain de partir sur un environnement propre. Je ne manquerais pas de revenir ici pour donner la solution si je la trouve ou de refaire un appel à l’aide :p

  5. Hum, de l’eau a coulée sous les ponts depuis ma dernière réponse :p.

    Mon problème venait en fait de bind. Au final je l’ai viré et j’ai laissé à ovh la gestion des dns ce qui reste la solution la plus simple.

    Depuis j’ai installé foultitude de VM, j’ai consigné tout ça sur des « tutos » (qui sont plus des blocs notes à usage perso que des tutos). Ces tutos étant en ligne, je me suis permis de vous mettre parmi la liste des sources qui m’ont permis de les rédiger.

    Prochaine étape, le certificat de sécurité :p

    Merci en tout cas pour votre aide précieuse.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *