Configuration de pfsense – zabbix-agent

on peut collecter des données depuis pfsense avec zabbix.

Il faut installer un package zabbix-agent.

Dans package manager, rechercher zabbix dans les packages disponibles et installer le.

La configuration se fera via l’ecran Services > zabbix-agent

Une fois que c’est fait, on peut commencer à collecter les données:

Partage de repertoire entre conteneur

Par réflexe, j’ai commencé par partagé des répertoires via le protocole samba entre plusieurs conteneurs. Mais cela impose de d’installer les paquets samba sur proxmox.

Du coup, proxmox commence à faire plus de choses que ce pour quoi je l’ai installé (système de virtualisation).

J’ai donc chercher une autre solution.

Dans proxmox, on peut ajouter un point de montage sur un disk.

Mais le résultat n’est pas intéressant, on se retrouve avec un répertoire vm-108-disk-2 dans le local-lvm. On se retrouve donc avec des répertoires dédiés très loin du résultat recherché.

En consultant les forums, j’ai trouvé ceci.

En éditant, le fichier /etc/pve/lxc/.conf

et changer la ligne

en

On va monter le répertoire /tank/test dans le container sous le chemin /opt/test

Si on fait cela pour tous les containers, on a un moyen de partager un filesystem sans samba.

Configuration de pfsense – redirection de port

pfsense faisant office de firewall, il n’est pas possible de communiquer avec les serveurs du reseau local depuis le reseau WAN. On peut ajouter des règles pour autoriser certaines port à passer.

Par defaut, on ne peut pas utiliser de nom dns avec cette configuration. Comme tout est basé en DHCP sur ce réseau, il est compliqué d’utiliser les ips directement.

Heureusement on peut utiliser des alias qui feront ce lien.

Commencons donc par créer un alias

Et voila, mon alias est créé

Je peux maintenant ajouter une regle de redirection. Exemple, dans ce cas, je redirige le traffic du port 443 vers le serveur monserveur sur le port 443 en utilisant l’alias jefaisuntest.

et le résumé de la règle:

Il faudra éventuellement faire de meme sur le routeur ADSL pour que le traffic arrive sur le port pfsense.

 

Configuration de pfsense – dhcp

La première chose que j’ai activé sur pfsense est le service dchp.

Ce service va permettre de distribuer les adresses ips sur le reseau local et d’enregistrer la correspondance ip <-> nom dans un DNS local.

Il est important de cocher cette case pour que la resolution fonctionne.

Après sauvegarde et application des paramètres, on devrait avoir un reseau avec dhcp fonctionnel.

On peut vérifier le bon fonctionnement dans la partie Status > DHCP leases

Installation de pfsense

Pour isoler le réseau local, j’ai installé pfSense pour jouer le role de firewall (plus d’info ici).

Avant de commencer l’installation, il faut créer 2 interfaces réseau. Une sera considéré comme WAN (accès exterieur), l’autre LAN (accès local).

Sur proxmox, j’ai crée 2 bridges Linux.

vmbr1 sera le WAN et vmbr0 sera le lan.

Installation

Créer une VM dans proxmox et uploader l’iso de pfsense dans local.

Démarrer la VM, il reste à suivre les indications de la procédure d’installation.

En choisissant les options par défaut lors l’installation, j’arrive à ca:

On peut voir que les interfaces réseau ne sont pas  configurées (em0 et em1). Je vais les configurer avant de pouvoir lancer l’interface WEB.

Il faut définir les adresses IP manuellement avec l’option 2 et se laisser guider.

Si tout va bien, cela va donner quelques choses comme ca:

une fois que c’est fait, on peut accéder à l’interface d’administration de pfsense via l’url http://192.168.59.5 (adresse IP de l’interface LAN)

Il ne reste plus qu’a se connecter avec les comptes par défaut.

Nous arrivons alors sur une assistant de configuration.

Sur cet écran, on peut choisir le nom de son domaine (test.lan dans mon cas). On peut aussi définir le nom du serveur DNS primaire qui servira à résoudre les noms. J’ai mis le DNS de google à titre d’exemple mais on peut aussi mettre celui de son FAI.

Utilisation d’un serveur ntp. J’ai laissé les valeurs par défaut.

configuration de l’interface WAN. J’ai laissé sur DHCP, mais on pourrait très bien définir une IP statique.

Réglage de l’interface LAN. Ici pas de choix possible, c’est forcément, une IP statique.

Pour plus de sécurité, on peut changer le mot de passe de l’interface.

Et voila, pfSense est installé.

Il ne reste plus qu’a configurer quelques services pour ce soit pleinement fonctionnel.

Promox: déplacement d’un conteneur LXC

il n’y a pas de bouton pour déplacer un conteneur LXC. Heureusement, il est possible de la faire via une opération de backup / restore.

Commençons par faire un backup du conteneur:

Une fois le backup réalisé. On peut cliquer dessus et choisir le bouton restore:

Une fenêtre s’ouvre, et on peut choisir l’emplacement de destination du conteneur:

Et voila. En quelques clics, il est possible de changer de disque un conteneur.

Création d’un serveur d’envoi de mail

Comme je reçois beaucoup de spam sur certaines adresses. J’ai regardé ce qu’il était possible de faire pour améliorer la réception des mails.

Je me suis tourné vers une solution à base de spam assassin.

J’ai trouvé un tuto plutôt bien fait ici.

Comme ça n’a pas du marché du premier coup, voici les ajustements que j’ai fait.

  • J’ai rencontré le message suivant :
    warning: SASL authentication failure: cannot connect to saslauthd server: Permission denied

  • warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory

créer /etc/procmailrc

créer (ou editer) /etc/login.defs

Ajouter dans /etc/profile

  • Ajout de let’s encrypt pour gérer le certificat

Attention, en mode standalone let’s encrypt va démarrer un server sur le port 443 pour vérifier que vous êtes bien le propriétaire du domaine. Il faudra peut être ouvrir le port sur le firewall pour que cela fonctionne.

editer /etc/postfix/main.cf


Enfin

Ajout d’une contrab pour le renouvellement du certificat:

Le post hook permet de recharger postfix seulement si il y a eu tentative de renouvellement de certificat.

Créer un template de container avec proxmox

Pour pouvoir utiliser plusieurs conteneurs avec proxmox basé sur le même modèle, il peut être intéressant de créer un template. Par exemple, pour avoir un agent zabbix installer par défaut et configurer pour envoyer les données sur le serveur zabbix central.

Dans la version actuelle, je n’ai pas trouvé d’option permettant de faire cela via l’interface. Mais en se basant sur différents forums, il est possible de réaliser cette opération facilement.

Voici les différentes étapes:

  1. télécharger un container de base (debian ou autre)
  2. créer un container qui va servir de template et le démarrer
  3. entrer dans le conteneur crée avec la commande
  4. faire les opérations nécessaires (création de user / installation d’applications)
  5. faire du ménage dans le conteneur si besoin (apt-get clean, resolv.conf)
  6. supprimer les interfaces réseaux avec la commande
  7. supprimer le hostname de la machine
  8. arrêter le conteneur
  9. faire un backup de la vm depuis l’interface (format gzip)
  10. déplacer le fichier depuis l’emplacement de backup vers ../templates/cache/name-version.tar.gz

Il est maintenant possible de se servir du template name-version pour créer des conteneurs.

Installation de promox

Actuellement la version courante est la 5.1.3.

Pour lancer l’installation, il faut mettre l’iso sur une clé USB et démarrer le serveur.

Il faut définir la partie réseau qui permettra d’accèder à l’interace WEB par la suite.

Une fois l’installation terminée, il ne reste qu’a rebooter le serveur.

Ce qui nous amène sur ce prompt:

Comme indiqué, nous pouvons passé par un navigateur pour continuer la configuration.