本文是关于在 vSphere / ESXi 上构建 pfSense® 虚拟机的。文章介绍了如何在 VMware vSphere 版本 5.x 和 6.x 上安装任何主要的 pfSense 软件版本。本文不介绍如何安装 vSphere 或如何配置 pfSense 软件来完成许多令人惊奇的事情。在本文档结束时,将存在一个运行 pfSense 软件的基本、可工作的虚拟机。
笔记
如果 pfSense 软件实例将作为组织的外围防火墙运行,并且“攻击面”应该最小化,许多人会说最好在独立硬件上运行非虚拟化。然而,这是用户和/或组织做出的决定。现在回到主题。*
本指南从使用 vSphere 客户端连接的普通 ESXi 安装开始。如果其他 VM 已经在 ESXi 上运行,则可能没有必要过于密切地遵循网络步骤。但是,在构建 pfSense 软件虚拟机之前,请浏览它以查看建议。
假设
vSphere 主机已启动并运行,用户可以通过其管理网络适配器登录到 Web 界面。
读者对网络寻址有所了解。
vSphere 主机有一个工作数据存储。
pfSense 软件安装
.iso映像存在于数据存储中。
以下步骤包括使虚拟机运行 pfSense 软件所需的必要 vSphere Web 客户端配置。
基本 vSphere Web 客户端网络设置
在 vSphere Web Client 中创建新 VM 之前,请创建两个虚拟交换机和两个端口组。首先,为 WAN 和 LAN 创建虚拟交换机,然后为 WAN 和 LAN 创建两个端口组。如果环境中已有可用于此 VM 的虚拟交换机,请跳过此步骤。
打开 vSphere Web 界面
单击网络,虚拟交换机选项卡
单击添加标准虚拟交换机
如下配置 vSwitch:
vSwitch 名称
WAN上行1
vmnic1
点击添加
重复该过程并添加另一个以vmnic2
LAN命名的vSwitch
创建端口组
创建虚拟交换机后,现在创建端口组。如果环境中存在可用于此 VM 的现有端口组,请跳过此步骤。
单击网络,端口组选项卡
单击添加端口组
配置端口组如下:
姓名
WAN虚拟交换机
广域网
点击添加
重复该过程并添加另一个以LAN vSwitch命名
LAN的端口组。
创建虚拟机
配置所需的网络后,下一步是创建虚拟机。
单击左侧导航器窗格中的虚拟机
单击创建/注册 VM
在第一个向导中选择创建新虚拟机
单击下一步
配置向导的Select a name and guest OS屏幕,如下所示:
姓名
pfSense或其他有意义的名称,例如firewall.兼容性
可用的最新版本(例如ESXi 7.0 U2 虚拟机)
来宾操作系统系列
其他
来宾操作系统版本
FreeBSD 12(64 位)或与所选 pfSense 软件版本使用的 FreeBSD 版本最匹配的版本。有关列表,请参阅 pfSense 软件和 FreeBSD的版本。
单击下一步
选择 VM 磁盘所在的数据存储
这是 ESX 将分配存储来保存虚拟机的配置和操作文件的地方。可能有多个数据存储可用于 ESX、本地甚至远程 NFS 卷。
本地磁盘更快、更可靠,但 pfSense 软件在大多数用例中不需要快速磁盘,因此在这些环境中,它可以在必要时使用 NFS 磁盘运行。
单击下一步
单击添加网络适配器以创建第二个 NIC
如下配置自定义设置屏幕上的项目:
其余选项可以保持默认值,也可以根据环境需要进行更改。
中央处理器
使用单个 CPU 插槽。
如果虚拟机管理程序主机有足够的可用内核,请单击以展开 CPU 选项并设置更高的每插槽内核数。
记忆
根据将在 pfSense 软件上安装的软件包的数量和类型,一个基本的防火墙 VM 应该可以在 1024MB 的 RAM 中舒适地运行。对于需要更多或更大包的部署,请根据需要增加 RAM。
硬盘 1
为 VM 提供至少
16GB 的空间,对于较大的包则更多。SCSI 控制器 0
默认的LSI Logic SAS是兼容的,请保持原样。
网络适配器 1
选择WAN端口组。
为获得最佳性能,请使用 VMXNET 3 类型的适配器,这是 vSphere 7.x 中的当前默认设置。单击以展开接口选项并确保将其设置为 VMXNET 3。
新网络适配器
选择LAN端口组。
单击以展开接口选项并确保将其设置为 VMXNET 3。
CD/DVD 驱动器 1
选择Datastore ISO 文件*,然后浏览并选择 pfSense 软件安装程序 ISO。
单击下一步
查看 VM 的设置
如果有任何不正确的地方,请返回之前的屏幕并进行更正。
点击完成
pfSense 软件安装
vSphere Web 界面现在将包含新 VM 的条目。
单击左侧导航器面板中的虚拟机
单击列表中的 VM 名称将其打开
点击开机启动虚拟机
在控制台窗口内单击以打开控制台视图以继续安装。
当 VM 启动时,它将自动启动到安装程序。从那里,照常按照安装步骤进行操作,完成后重新启动。
也可以看看
有关安装过程的详细演练,请参阅安装演练。
虚拟机重新启动后,控制台将在接口分配提示处停止。
键入
n并按下Enter以跳过 VLAN 配置输入
vmx0广域网进入
vmx1局域网Enter如果提示输入其他接口,请按键入
y并按下Enter以完成界面分配
分配接口后,VM 将完成引导过程。它现在可以像运行 pfSense 软件的任何其他防火墙一样进行配置。
安装 Open-VM-Tools
pfSense 软件安装完成后,在首次启动时安装 Open-VM-Tools。
导航到System > Packages,Available Packages选项卡
在列表中找到Open-VM-Tools或搜索它
点击
安装确认安装
确保 Open-VM-Tools 服务正在Status > Services下运行。
恭喜,在 ESXi 上安装 pfSense 软件完成!
附加信息和提示
专用管理网络
最佳做法是将 ESXi 管理网络与其他网络分开。这个秘籍中的例子使用了一个专门的管理网络,这在精心设计的网络中很常见。可以使用 VLAN 或 ESXi 主机上仅用于 ESXi 管理的附加 NIC 来实现分离。vSphere 客户端 PC 可能需要额外的路由或网络连接才能访问专用管理网络。
识别接口
如果 ESXi 主机中有多个物理接口可用,那么要确定哪个物理接口被标识为 会有点困难vmnic1, vmnic2依此类推。如果记下每个 NIC 的 MAC 地址以及它在机器中安装时占用的插槽,请查看“配置”选项卡下的“网络适配器”屏幕以匹配 MAC 地址。然而,拥有这种远见是很少见的,因此缺乏这种信息,将物理 NIC 与vmnic条目匹配的最简单方法是插入 PC 或切换到它们,一次一个。网络或网络适配器屏幕上的速度和双工应该随着接口的出现而改变。单击刷新以更新列表。