Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Patchez VMware ESXi, Workstation et Fusion pour vous protéger de 4 failles de sécurité critiques !

7 mars 2024 à 07:17

VMware by Broadcom a publié des mises à jour de sécurité pour ses hyperviseurs VMware ESXi, Workstation et Fusion. L'objectif : corriger plusieurs vulnérabilités pouvant permettre d'accéder à l'hôte physique à partir d'une VM. Faisons le point.

Un nouveau bulletin de sécurité a été publié sur le site de VMware. Il fait référence à quatre failles de sécurité : CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255, présentes dans VMware ESXi, VMware Workstation Pro / Player, VMware Fusion Pro / Fusion et VMware Cloud Foundation.

Les failles CVE-2024-22252 et CVE-2024-22253 permettent à un attaquant, avec des droits administrateurs sur une machine virtuelle, de pouvoir exécuter du code sur l'hôte physique, c'est-à-dire sur l'hyperviseur, en agissant au nom du processus VMX. Il s'agit de faiblesses de type "Use-after free" présentes dans les contrôleurs XHCI et UHCI USB.

Par ailleurs, la faille CVE-2024-22254 présente dans VMware ESXi permet à un attaquant ayant les privilèges du processus VMX d'écrire en dehors de la région mémoire prédéterminée (donc en dehors des limites). Résultat, il peut s'échapper de la sandbox. Enfin, la vulnérabilité CVE-2024-22255 permet à un attaquant de déclencher une fuite des données en mémoire du processus VMX.

Les versions affectées

Le tableau ci-dessous, issu du site de l'éditeur, montre que VMware ESXi 7.0 et 8.0 sont dans la liste des produits affectés par ces vulnérabilités. En regardant plus attentivement le bulletin de sécurité, nous pouvons constater que ces failles affectent aussi les versions plus anciennes de VMware ESXi. VMware a fait l'effort de proposer des correctifs pour toutes les versions car ces vulnérabilités sont critiques.

VMware - Bulletin de sécurité - Mars 2024

Comment se protéger ?

La meilleure solution de se protéger, c'est d'installer le nouveau patch de sécurité mis en ligne par VMware pour chaque produit que vous utilisez. Voici un récapitulatif des versions à installer pour VMware ESXi :

La suite VMware Cloud Foundation (VCF) bénéficie aussi de correctifs pour les versions 5.x, 4.x et 3.x, comme l'explique cette page et celle-ci.

Et pour les autres produits :

Si vous ne pouvez pas installer la mise à jour dans l'immédiat, sachez qu'il y a une solution d'atténuation qui consiste à retirer le contrôleur USB des VM. Attention, ceci peut avoir un impact et doit être fait en ayant conscience que ceci empêche l'utilisation des ports USB virtuels de la VM. Ainsi, il n'est plus possible de connecter une clé USB, par exemple.

Source

The post Patchez VMware ESXi, Workstation et Fusion pour vous protéger de 4 failles de sécurité critiques ! first appeared on IT-Connect.

Si vous utilisez ce plugin d’authentification VMware, vous devez le désinstaller dès maintenant !

21 février 2024 à 07:24

Si vous utilisez VMware vSphere et que VMware Enhanced Authentication Plug-in (EAP) est installé sur votre machine, vous devez le désinstaller dès que possible : il contient deux failles de sécurité qui ne seront pas corrigées par VMware, car c'est un composant en fin de vie. Faisons le point.

VMware a mis en ligne un nouveau bulletin de sécurité pour deux vulnérabilités présentes dans le plugin "VMware Enhanced Authentication". Il s'agit d'un logiciel qui s'installe sur Windows et qui permet de bénéficier d'une authentification transparente sur la console de gestion de vSphere, en s'appuyant sur l'authentification Windows et la fonctionnalité de carte à puce de Windows.

Il est encore utilisé aujourd'hui par des administrateurs systèmes, bien qu'il soit obsolète et en fin de vie depuis mars 2021, suite à la sortie de VMware vCenter Server 7.0 Update 2. "VMware prévoit d'interrompre la prise en charge de l'authentification de session Windows (SSPI) utilisée dans le cadre de l'Enhanced Authentication Plug-in, de la prise en charge des cartes à puce et de RSA SecurID pour vCenter Server.", précise le journal des modifications de cette version.

VMware Enhanced Authentication Plug-in : CVE-2024-22245 et CVE-2024-22250

Le nouveau bulletin de sécurité de VMware fait référence à ces deux vulnérabilités :

  • CVE-2024-22245 :

Il s'agit d'une vulnérabilité critique associée à un score CVSS de 9.6 sur 10. Elle peut être utilisée pour relayer des tickets de service Kerberos. VMware précise qu'un attaquant pourrait un utilisateur cible en "demandant et en relayant des tickets de service pour des Service Principal Names (SPN) arbitraires d'Active Directory".

  • CVE-2024-22250 :

Il s'agit d'une vulnérabilité importante associée à un score CVSS de 7.8 sur 10 et qui va permettre d'effectuer une élévation de privilèges. Elle peut être exploitée par un attaquant qui dispose déjà d'un accès local non privilégié sur une machine Windows. Grâce à cette vulnérabilité, il peut détourner une session EAP privilégiée lorsqu'elle est initiée par un utilisateur de domaine privilégié sur le même système.

Comment se protéger ?

Il n'y a pas et il n'y aura pas de correctif pour ces deux vulnérabilités. VMware invite les administrateurs systèmes à ne plus utiliser l'EAP, ce qui signifie qu'il faut désinstaller le plugin de votre navigateur et/ou l'application pour Windows associée à un service. Ceci fait référence à "VMware Enhanced Authentication Plug-in 6.7.0" et "VMware Plug-in Service".

Pour vous accompagner dans cette démarche, VMware a mis en ligne un nouvel article de support avec des instructions. En fait, vous pouvez utiliser l'interface graphique de Windows pour désinstaller les applications (méthode classique) ou utiliser les commandes PowerShell suivantes :

# VMware Enhanced Authentication Plug-in 6.7.0
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
# VMware Plug-in Service
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()

Si vous ne pouvez pas faire la désinstallation dans l'immédiat, VMware vous encourage à arrêter et désactiver le service. Voici les commandes fournies :

Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"

Pour finir, je tiens à préciser que le composant VMware Enhanced Authentication n'est pas installé par défaut, y compris sur le serveur VMware vCenter.

Si vous avez des interrogations, vous pouvez commenter cet article ou vous référer à la documentation de VMware.

Source

The post Si vous utilisez ce plugin d’authentification VMware, vous devez le désinstaller dès maintenant ! first appeared on IT-Connect.

Quelles sont les alternatives à VMware ESXi Free ?

19 février 2024 à 07:00

I. Présentation

Suite à son rachat par Broadcom, VMware a subi de nombreux changements qui sont impactants pour les clients, les utilisateurs et les distributeurs des solutions VMware. Dernière annonce en date : la fin de la version gratuite de VMware ESXi Free, pourtant très répandue. En effet, elle pouvait être utilisée pour évaluer la solution sans limite de temps, bénéficier d'un environnement de test, déployer un serveur dédié dans le Cloud ou encore en production par certaines petites et moyennes entreprises.

Désormais, si vous utilisez VMware ESXi Free, vous avez deux options : passer sur une version payante de VMware ESXi ou se tourner vers une alternative. Dans cet article, nous allons évoquer ces fameuses alternatives (y compris certaines payantes), sans faire la promotion d'une solution plus qu'une autre. Libre à vous de les évaluer, même si nous essaierons de publier du contenu sur ces solutions dans les semaines et mois à venir...

II. Les alternatives à VMware ESXi

A. Hyper-V

Hyper-V, c'est le nom de l'hyperviseur de Microsoft, disponible à la fois sur Windows Server et Windows (notamment sur Windows 10 et Windows 11), mais également en tant qu'Hyper-V Server, une version autonome, mais en fin de vie.

Le rôle Hyper-V est gratuit, cependant il a un impact sur le coût de la licence Windows Server. En effet, vous devez disposer d'une licence valide pour le système d'exploitation, mais en plus, votre licence Windows Server doit tenir compte du nombre de machines virtuelles que vous comptez déployer (une seule licence Windows Server Standard autorise 2 VM).

Hyper-V est une solution mature, avec de nombreuses fonctionnalités, et il est capable de faire tourner des machines sous Windows ou Linux. La gestion des machines virtuelles s'effectue avec la console Hyper-V, qui est une sorte de client lourd, mais aussi via Windows Admin Center et PowerShell. Lorsqu'un cluster Hyper-V est déployé, une seconde console dédiée est accessible à l'administrateur système.

B. Proxmox VE

Ces derniers temps, nous entendons beaucoup parler de Proxmox VE car cette solution pourrait profiter de la situation actuelle pour récupérer quelques utilisateurs de VMware. Lancée en 2008, Proxmox VE (Virtual Environment) est une plateforme de virtualisation open source adaptée pour la production et les entreprises. Elle prend en charge la création et la gestion de machines virtuelles, mais aussi de conteneurs.

Proxmox VE est basé sur un noyau Linux et cette solution intègre deux technologies : KVM (Kernel-based Virtual Machine - En soit, c'est aussi une alternative) pour les machines virtuelles et LXC (Linux Containers) pour les conteneurs. La gestion s'effectue en ligne de commande ou à partir d'une interface web. En plus de ses fonctionnalités de virtualisation, Proxmox VE intègre également des fonctionnalités avancées telles que le clustering et la réplication.

Proxmox VE est largement utilisé dans le monde entier et bénéficie d'une communauté importante et active qui contribue à son développement. Aujourd'hui, c'est une solution de virtualisation à considérer au moment de faire son choix !

Proxmox alternative à VMware ESXi
Source : Wikipédia

C. XCP-ng

Né en 2018, le projet XCP-ng est une plateforme de virtualisation open source basée sur XenServer. Au même titre que VMware ESXi, c'est un hyperviseur capable de gérer et de déployer des machines virtuelles. Cette solution a été créée en réponse aux limitations et aux restrictions de Citrix XenServer, notamment en ce qui concerne certaines fonctionnalités "premium". En tant que projet open source, XCP-ng bénéficie des contributions de développeurs du monde entier et d'une communauté grandissante.

L'administration de XCP-ng s'effectue au travers d'une application cliente (un client lourd), tout en étant compatible avec Xen Orchestra, une interface web intuitive pour administrer votre infrastructure de virtualisation. Au-delà d'être une alternative à VMware ESXi, XCP-ng est devenue une sérieuse alternative à une autre solution open source : Proxmox VE.

XCP-ng alternative à VMware ESXi
Source : XCP-ng

D. Nutanix

Dans le catalogue de solutions de chez Nutanix, la véritable alternative à VMware ESXi s'appelle Nutanix AHV, un hyperviseur destiné aux entreprises. Bien que ce soit une réelle alternative à ce que propose VMware, c'est une solution payante, donc ce n'est pas forcément ce que vous allez rechercher dans le cas présent.

Nutanix propose bien une solution gratuite et communautaire nommée Nutanix Community Edition. Toutefois, il s'agit d'une solution d'hyperconvergence (HCI) proposée par Nutanix, le leader sur ce marché. Même si elle est très intéressante, elle ne sera pas adaptée à toutes les situations.

E. VergeIO

VergeIO se présente comme L'ALTERNATIVE à VMware, et c'est précisé dès que l'on arrive sur la page d'accueil du site officiel : "Quittez VMware dès maintenant : 50 % moins cher - Meilleures performances - Migration transparente".

VergeIO est une plateforme de virtualisation et d'infrastructure hyperconvergée qui vise à simplifier la gestion des centres de données et à réduire les coûts. Elle se présente sous la forme d'une solution tout-en-un qui combine les ressources de calcul, de stockage, de réseau et de virtualisation dans une seule plateforme. Il s'agit d'une solution propriétaire et payante, que vous pouvez essayer pendant 90 jours.

Source : Verge.io

F. oVirt

Terminons par oVirt, une solution open source basée sur l'hyperviseur KVM au même titre que Proxmox. En complément, oVirt s'appuie aussi sur plusieurs autres projets communautaires, notamment libvirt, Gluster, PatternFly et Ansible.

L'interface web d'administration d'oVirt permet de gérer les machines virtuelles, mais également le stockage et le réseau virtuel. Cet hyperviseur prend en charge nativement des fonctionnalités avancées intéressantes : la migration en live des machines virtuelles et des disques entre les hôtes et le stockage, ainsi que la haute disponibilité entre plusieurs hyperviseurs.

oVirt alternative VMware ESXi Free

III. Conclusion

Voilà, vous connaissez les noms des principales solutions qui peuvent prendre la place de VMware ESXi Free, même si vous pouvez aussi prendre la décision de rester sur VMware ESXi, en passant sur l'offre payante. Soyons honnête : c'est probablement le choix que feront certaines entreprises, mais sachez que des alternatives existent.

Si vous souhaitez donner votre avis sur une ou plusieurs de ces solutions, n'hésitez pas à commenter cet article. Si vous connaissez d'autres solutions viables pour remplacer VMware ESXi Free, c'est pareil, n'hésitez pas à partager l'information avec un commentaire.

The post Quelles sont les alternatives à VMware ESXi Free ? first appeared on IT-Connect.

Le ransomware RansomHouse s’appuie sur l’outil MrAgent pour automatiser les attaques sur VMware ESXi

15 février 2024 à 20:54

MrAgent, c'est le nom du nouvel outil mis au point par le gang de ransomware RansomHouse ! Son rôle ? Automatiser sa propagation d'un hyperviseur VMware ESXi à un autre pour chiffrer les machines virtuelles. Faisons le point sur cette menace.

Lancé en décembre 2021, RansomHouse est ce que l'on appelle un Ransomware-as-a-Service, et il a été utilisé pour cibler de grandes organisations tout au long de l'année 2023, d'après un rapport de Trellix. Il est capable de s'attaquer aux hyperviseurs VMware ESXi dans le but de chiffrer les machines virtuelles, et c'est loin d'être le seul ransomware à avoir cette capacité.

Et visiblement, les cybercriminels ont décidé de passer à la vitesse supérieure grâce à l'utilisation d'un outil baptisé MrAgent. Il a été découvert par les analystes de Trellix, suite à des investigations menées en réponse à des incidents de sécurité.

MrAgent agit en complément du ransomware et il reçoit des ordres de la part des pirates depuis un serveur C2 qui sert d'intermédiaire. Il a pour objectif d'identifier le système local, de désactiver le pare-feu, et de se propager sur d'autres hyperviseurs VMware ESXi dans le but de faire un maximum de dégâts. En effet, sur chaque hyperviseur où il parvient à se déployer, il va automatiquement chiffrer les machines virtuelles. Il va également surveiller l'activité de l'hyperviseur pour arrêter tous les processus qui pourraient interférer avec l'opération de chiffrement.

Les cybercriminels peuvent configurer MrAgent à distance pour planifier le chiffrement des machines virtuelles, pour ajuster les paramètres de chiffrement ou encore pour modifier le mot de passe de l'hyperviseur VMware.

Le rapport de Trellix précise : "Les efforts déployés pour automatiser (davantage) les étapes qui sont souvent exécutées manuellement montrent à la fois l'intérêt et la volonté de l'attaquant de cibler de grands réseaux." - Ceci correspond au fait que RansomHouse s'attaque en priorité aux grandes organisations.

Enfin, les analystes de Trellix ont également pu identifier une version de MrAgent compatible Windows. Ceci montre que le gang de ransomware RansomHouse a l'ambition d'automatiser ce processus aussi bien sur des machines Linux que des machines Windows.

Source

The post Le ransomware RansomHouse s’appuie sur l’outil MrAgent pour automatiser les attaques sur VMware ESXi first appeared on IT-Connect.

Broadcom a pris la décision d’arrêter la version gratuite de l’hyperviseur VMware ESXi !

13 février 2024 à 16:58

Une nouvelle information vient de tomber et nous n'allons pas nous en réjouir : Broadcom vient de mettre fin à la version gratuite de l'hyperviseur VMware ESXi ! Voici ce qu'il faut savoir.

Broadcom continue de faire du ménage et d'opérer des changements importants chez VMware, notamment pour restructurer l'offre commerciale de l'éditeur américain. Il y a quelques semaines, Broadcom a mis fin aux licences perpétuelles pour 56 produits VMware, afin de basculer sur un nouveau modèle avec des abonnements.

Cette fois-ci, c'est la version gratuite de VMware ESXi, l'hyperviseur bare-metal de VMware, qui est concerné. Broadcom a mis en ligne cette information en publiant une simple page de support intitulée : "Fin de la disponibilité générale de l'hyperviseur vSphere gratuit (ESXi 7.x et 8.x)". La version gratuite d'ESXi va disparaître et VMware ne propose pas d'alternative (mais il y en a chez les concurrents) : "Malheureusement, aucun produit de substitution n'est actuellement proposé."

Cette version gratuite, bien qu'associée à un ensemble de restrictions, notamment parce qu'elle ne pouvait fonctionner que sur un nombre limité de cœurs de CPU et de mémoire RAM, était tout de même appréciée et très populaire. En effet, elle permettait de faire des tests facilement ou d'avoir un environnement de développement basé sur l'hyperviseur VMware. Au-delà de ça, cette version gratuite avait également sa place dans les petites et moyennes entreprises... là où les besoins sont limités.

Bien que cette version gratuite ne soit plus disponible, vous avez toujours l'opportunité de télécharger une version d'essai de la solution VMware ESXi. Si vous utilisez "VMware ESXi Free" en production, vous allez devoir passer à la caisse ou envisager une migration vers une solution tierce. Broadcom espère surement que certaines entreprises vont basculer sur sa nouvelle offre VMware vSphere Foundation.

N'oublions pas que Broadcom a investi 61 milliards de dollars pour racheter VMware. Désormais, c'est évident qu'il y a une volonté de rentabiliser cet investissement le plus rapidement possible...

The post Broadcom a pris la décision d’arrêter la version gratuite de l’hyperviseur VMware ESXi ! first appeared on IT-Connect.

VMware vSphere Foundation, la nouvelle offre de VMware avec ESXi et vCenter.

Par : Luc BRETON
9 février 2024 à 08:15

Le 11 décembre 2023, à la suite de l’acquisition de VMware par Broadcom (pour 69 milliards US$), un communiqué annonce que la compagnie de Palo Alto va mettre fin au modèle des licences perpétuelles et cesser le support pour de nombreux produits. Les répercussions de cette nouvelle orientation plongent les clients de VMware dans l’incertitude et ces changements continuent de susciter beaucoup de réactions.

Ce que VMware (maintenant « VMware by Broadcom ») nomme une « simplification de son portefeuille de solutions » signifie le passage vers un modèle de consommation des services par abonnement ou à la demande comme la plupart des plateformes de cloud public.

Parmi les produits phares de VMware qui font l’objet d’un changement de mode de licence, on compte notamment vSphere (infrastructure de virtualisation), vSAN (solution de type Software-Defined Storage), NSX (solution de type Software-Defined Networking) et la suite VMware Aria qui comprend des modules d’automatisation, de monitoring et d’orchestration des opérations.

En plus de ces changements, 56 produits (ou éditions) sont abandonnés par VMware à la suite de l’acquisition par Broadcom et l’offre de services se concentre désormais autour de deux solutions principales :

  • VMware Cloud Foundation (VCF) : ce produit a été introduit en 2018 et il comprend l’infrastructure de virtualisation complète de VMware, c’est-à-dire vSphere, vSAN, NSX-T ainsi que des fonctionnalités de sécurité et la plateforme de gestion et d’automatisation Aria.
  • VMware vSphere Foundation (VVF) : il s'agit de la nouvelle solution pour les environnements « sur site » traditionnels de VMware avec vSphere. Elle inclut les composants de base tels que l’hyperviseur ESXi et vCenter Server qui permet de gérer et mettre en place un environnement de virtualisation des serveurs, du réseau et du stockage. Une nouvelle image de marque a été présentée le 17 janvier dernier :

Comme vSphere est la solution qui détient la plus grande part de marché dans le secteur de la virtualisation, le changement de licensing « VMware vSphere Foundation » est sans doute celui qui suscite beaucoup d’interrogations.

Que signifie la nouvelle orientation de VMware et à quoi doit-on s'attendre ?

  • Le portefeuille de solutions ne comprendra plus de produits à licences perpétuelles.
  • Des audits des clients sont à prévoir pour la transition vers le modèle par abonnement.
  • Le modèle par abonnement sera plus coûteux et moins avantageux à long terme.

De manière générale, l’idée de restreindre le catalogue de VMware est légitime dans la mesure où l’offre logicielle était devenue énorme depuis quelques années et il était souvent difficile de s’y retrouver. Avec la mise en place du nouveau mode de licences, il sera intéressant de voir comment la clientèle va réagir à ces changements qui pourraient favoriser les compétiteurs comme Nutanix ou des solutions hyperconvergées de cloud privé comme Azure Stack. Par ailleurs, Proxmox est également une alternative open source.

Il n’en demeure pas moins que VMware a une communauté fidèle comme VMUG (VMware User Groups) et des programmes tels que vExpert qui contribuent à faire rayonner les produits phares de la compagnie. Espérons que l’avenir soit favorable, notamment à vSphere qui demeure une solution mature, complète et sans égal sur le marché de la virtualisation.

The post VMware vSphere Foundation, la nouvelle offre de VMware avec ESXi et vCenter. first appeared on IT-Connect.

Comment configurer le réseau de VMware ESXi 8.0 avec l’interface DCUI ?

Par : Luc BRETON
6 février 2024 à 14:00

I. Présentation

Dans ce tutoriel nous allons voir comment personnaliser la configuration de VMware ESXi 8.0 à partir de l’interface DCUI (Direct Control User Interface). À titre de rappel, ESXi est un hyperviseur de type 1 ou bare-metal, c'est-à-dire qu'il s'installe directement sur le matériel. Depuis sa mise en marché par VMware en 2001, ESXi reste encore aujourd'hui l'hyperviseur le plus utilisé en entreprise pour les charges de travail on-prem (sur site). Son installation constitue la première étape pour mettre en place une infrastructure de virtualisation vSphere. VMware offre une version d'évaluation qui vous permet d'en faire l'essai pour une période de 60 jours.

En entreprise, ESXi s’installe sur un serveur physique et vient rarement seul : un cluster d'au moins deux hôtes est nécessaire pour disposer des fonctionnalités de haute disponibilité. Pour les besoins d'un lab VMware, nous avons vu dans un autre article que vous pouvez déployer ESXi en tant que machine virtuelle sous VMware Workstation 17 en mettant à profit la technique de virtualisation imbriquée. Si vous souhaitez aller de l'avant avec cette approche, consultez l'article suivant :

Les étapes présentées ici supposent que votre hôte ESXi est déjà installé et que vous pouvez y accéder en mode console, que ce soit à partir de Workstation, de vSphere ou en SSH.

Remarque : si besoin, vous pouvez accéder au site de VMware pour télécharger une image d'ISO d'évaluation de VMware ESXi.

II. Configurer l’adressage IP

L’interface DCUI (Direct Control User Interface) se reconnaît aisément par sa page d’accueil classique où des options figurent sur un arrière-plan gris et jaune. Lors de la première installation de ESXi, c’est à partir de la DCUI que vous pourrez personnaliser vos configurations réseau, DNS ou assigner un nom d’hôte à votre serveur. Cette console vous permet aussi de changer le mot de passe de root et de consulter les journaux du système.

Pour accéder aux options de configuration, connectez vous à votre hôte ESXi en mode console (sur Workstation ou vSphere) et appuyez sur F2 (« Customize System/View Logs »).

Vous devrez ensuite vous authentifier avec le compte root. Lorsque vos informations d’accès ont été saisies, appuyez sur « OK ».

Lors du déploiement de ESXi, une adresse IP est assignée automatiquement via DHCP, mais dans un environnement de production, il est préférable de configurer une adresse fixe. Pour faire cette modification, déplacez-vous sur « Configure Management Network » et appuyez sur la touche Entrée.

Notons au passage que le réseau de gestion (Management Network) est l’interface principale pour administrer ESXi. Elle peut être utilisée pour d’autres fonctionnalités comme le vMotion (déplacement de machines virtuelles à chaud entre deux hôtes dans vSphere), mais il est préférable de disposer d’une deuxième carte réseau dédiée pour faire ce type de configuration.

Dans les options de configuration de la carte de gestion, déplacez-vous sur « IPv4 Configuration » (ou IPv6, si vous l’utilisez…) et appuyez sur la touche Entrée.

Dans le menu « IPv4 Configuration », déplacez-vous sur « Set static IPv4 address and network configuration » et sélectionnez l’option en appuyant sur la barre d’espacement. Vous pouvez ensuite éditer les champs « IPv4 Address », « Subnet Mask » et « Default Gateway » selon l’adressage IP que vous avez choisi. Appuyez sur la touche d’entrée (« OK ») lorsque vous avez terminé. Dans l'exemple ci-dessous, l'adresse IPv4 "192.168.2.80/24" est attribuée à l'hyperviseur.

Vous disposez maintenant d'une adresse IP statique, voyons comment modifier les noms des serveurs DNS que vous aller utiliser ainsi que le nom d'hôte de votre serveur ESXi.

III. Faire les configurations DNS

De retour au menu « Configure Management Network », déplacez vous sur « DNS Configuration » et appuyez sur la touche Entrée.

Dans le menu « DNS Configuration », sélectionnez « Use the following DNS server addresses and hostname » et appuyez sur la barre d’espacement pour confirmer votre choix. Indiquez les adresses des serveurs DNS dans les champs appropriés et vous pouvez également donner un nom d’hôte à votre serveur sous « Hostname ». Lorsque vous aurez terminé, appuyez sur la touche d’entrée.

Si vous souhaitez accéder à votre machine à partir de son nom d’hôte, vous voudrez lui assigner un nom de domaine. Dans le menu « Configure Management Network », déplacez vous à l’option « Custom DNS Suffixes » et appuyez sur la touche d’entrée.

Vous verrez que localdomain est déjà présent comme suffixe par défaut. Vous pouvez le retirer et saisir le suffixe DNS de votre dans le champ « Suffixes » et appuyez sur la touche d’entrée. Dans cet exemple, le suffixe DNS "itconnect.fr" est utilisé, ce qui donnera le nom complet (FQDN) suivant pour l'hôte : ESXI8-01.itconnect.fr.

Si ce n'est pas déjà fait, créez un enregistrement A pour votre hôte ESXi sur un serveur DNS. N'hésitez pas à consulter les articles suivantes pour en savoir davantage sur le DNS sous Linux ou mieux comprendre ce service :

Lorsque vos personnalisations réseau et DNS sont terminées, appuyez sur la touche échap. afin de valider les configurations du réseau de gestion.

Appuyez sur « Y » pour confirmer que vous souhaitez redémarrer le service du réseau de gestion.

Vous reviendrez ensuite au menu principal (« System Customization »). Si vous voulez tester la configuration réseau et la résolution DNS, déplacez vous sur « Test Managment Network » et appuyez sur la touche d’entrée. Bien entendu, pour le DNS, votre enregistrement A devra avoir été créé préalablement.

Des commandes ping seront envoyées si vous appuyez sur la touche d’entrée pour tester l’adresse IP indiquée (d'abord sur l’interface principale et, ensuite, sur les autres si vous avez plusieurs cartes réseau) et une résolution de nom sera effectuée sur le nom d’hôte.

Au besoin, vous pouvez interrompre le test en appuyant sur la touche échap.

Il existe d’autres options que vous pourrez explorer au besoin comme la possibilité de préciser un numéro de VLAN sous « Configure Management Network » ou d’activer SSH sous « Troubleshooting Options ».

Lorsque vous aurez terminé vos configurations, vous pouvez sortir de l’interface DCUI avec la touche échap. Sur la page d'accueil, vous trouverez les adresses web (nom d'hôte ou adresse IP fixe) pour accéder à la console web ESXi Host Client.

IV. Se connecter à ESXi Host Client avec les nouvelles configurations

Notez l'adresse web indiquée dans la section jaune de la DCUI (https://<adresse IP ou nom d'hôte>) et inscrivez-la dans la barre de recherche de votre navigateur préféré pour accéder à l'interface ESXi Host Client. Vous pouvez maintenant vous connecter en tant que root.

Si vous ne parvenez pas à accéder à l’interface web de ESXi, revenez dans la DCUI et vérifiez votre configuration réseau. Dans le menu « System Customization », vous pouvez aussi redémarrer la « stack » TCP/IP en choisissant l’option « Restart Management Network ».

V. Conclusion

Dans ce tutoriel, nous avons vu comment personnaliser la configuration de l'adressage IP et des informations DNS d'un hôte ESXi en passant par la console DCUI (Direct Control User Interface). Par défaut, ESXi s'attribue une adresse IP via DHCP et un suffixe DNS qu'il convient de modifier, notamment lorsque nous installons des hôtes en production.

Une fois notre hôte ESXi configuré, nous sommes prêts à passer à la création et l'administration de machines virtuelles dans un environnement VMware. Ce sera le sujet de tutoriels à venir prochainement ! En attendant, n'hésitez pas à explorer ESXi et à expérimenter pour mieux comprendre le fonctionnement et la richesse des fonctionnalités de cet hyperviseur.

The post Comment configurer le réseau de VMware ESXi 8.0 avec l’interface DCUI ? first appeared on IT-Connect.

Comment installer l’hyperviseur VMware ESXi 8.0 sur une machine virtuelle dans Workstation 17 ?

Par : Luc BRETON
30 janvier 2024 à 17:45

I. Présentation

Dans ce tutoriel, nous allons voir comment déployer un hôte ESXi 8.0 sur une machine virtuelle dans VMware Workstation Pro. Cette approche se nomme "virtualisation imbriquée" et vous permettra de créer un lab VMware sur votre poste de travail.

Vous pouvez suivre ce tutoriel au format vidéo, en complément de cet article :

Workstation Pro offre la possibilité d’installer ESXi pour faire l’essai et, éventuellement, d’installer vSphere, le produit phare de VMware.

Pour compléter ce tutoriel, vous aurez besoin d’un compte VMware Customer Connect afin de télécharger une version d’évaluation de ESXi 8.0. Lorsque votre compte sera créé, vous pourrez naviguer dans la section vSphere et sélectionner l’ISO VMware vSphere Hypervisor (ESXi ISO) image à la version 8.0U2 au moment d’écrire ces lignes.

Télécharger VMware ESXi 8

Si vous n’avez pas Workstation d’installé sur votre PC, vous pouvez consultez le tutoriel suivant :

Prenez note que le type d’installation proposé dans ce tutoriel n’est pas supporté par VMware et ne devrait pas être utilisé pour un environnement de production.

II. La virtualisation imbriquée

L’environnement que vous vous apprêtez à mettre en place consiste à créer un hyperviseur de type 1 (ESXi) sur une machine virtuelle qui va être exécutée sur un hyperviseur de type 2 (Workstation). Pour comprendre cette imbrication, voici un bref rappel des types d’hyperviseur :

  • Un hyperviseur de type 1 (dit aussi bare metal) s'installe directement sur le matériel. Il s’agit en général d’un logiciel de niveau entreprise installé sur des serveurs physiques très performants configurés en cluster pour offrir une solution de haute disponibilité. Dans cette catégorie, on retrouve bien sûr ESXi de VMware, mais aussi Hyper-V Server de Microsoft ou AHV de Nutanix.
  • Un hyperviseur de type 2 s'exécute sur un système d'exploitation et il est couramment utilisé sur des postes de travail pour créer des machines virtuelles de test ou de développement. Les principaux exemples de ce type de logiciel sont Oracle VM VirtualBox, VMware Workstation ou VMware Fusion pour macOS et Parallels Desktop.

Pour en savoir davantage sur les différents types d'hyperviseurs, voir l'article suivant :

La figure suivante représente l’environnement de virtualisation imbriquée que nous allons créer dans ce tutoriel :

Virtualisation imbriquée VMware Workstation et ESXi

III. Créer une VM pour installer ESXi sous Workstation

Lorsque votre installation de Workstation 17 est complétée, ouvrez la console pour créer une nouvelle machine virtuelle.

Dans le menu principal, appuyez sur « File », puis sur « New Virtual Machine ».

L’assistant de création d’une nouvelle VM s’ouvre, cochez « Custom » et appuyez sur « Next ».

Sous « Hardware Compatibility », sélectionnez « ESXi 7.0 » qui fonctionne aussi pour ESXi 8.0 et appuyez sur « Next ». Ce choix vous permet de voir les produits compatibles et les limitations (largement suffisantes pour un lab VMware !).

Notons au passage que Hardware Compatibility (compatibilité matérielle) fait référence à la capacité de l’hyperviseur à prendre en charge et à utiliser les ressources matérielles de la machine hôte pour s’assurer d’avoir des performances optimales pour les machines virtuelles. Cette notion est spécifique aux produits VMware.

Sous « Installer disc image file (iso) », naviguez dans votre système de fichier pour sélectionner le média d’installation de ESXi 8.0 que vous avez téléchargé et appuyez sur « Next ».

Le nom du fichier devrait ressembler à ceci : VMware-VMvisor-Installer-8.0-20513097.x86_64.iso.

Nommez votre machine virtuelle et indiquez l’emplacement où vous souhaitez stocker les fichiers de celle-ci et appuyez sur « Next ».

Laissez le nombre de processeurs (2) par défaut et appuyez sur « Next ».

Si votre poste de travail vous le permet, n’hésitez pas à assigner 4 CPUs à votre machine virtuelle, surtout si vous souhaitez mettre en place un lab vSphere.

Par défaut, l’assistant recommande 4 Go de mémoire, mais, encore une fois, si vous pouvez vous rendre à 8 Go, ce sera mieux pour l’installation de l’hyperviseur et plus performant pour un lab VMware. Appuyez sur « Next ».

Le choix de la connexion réseau dépend de l’accès que vous souhaitez donner à votre machine virtuelle. Vous pouvez laisser l’option par défaut (Use network address translation, NAT) et vous pourrez la modifier plus tard. Appuyez sur « Next ».

Pour mieux comprendre les types de réseau, consultez le tutoriel suivant :

Laissez le type de « I/O Controller » à « Paravirtualized SCSI », tel que recommandé et appuyez sur « Next ».

Pour en savoir davantage sur ces options, vous pouvez vous rendre sur la page Selecting the I/O Controller Type for a Virtual Machine de la documentation officielle de VMware.

Laissez l’option « Disk Type » à « SCSI » et appuyez sur « Next ».

Laissez l’option « Create a new virtual disk » par défaut et appuyez sur « Next. »

À l’étape « Specify Disk Capacity », ne tenez pas compte de la taille de disque recommandée de 148 Go pour ESXi 8.0. En fait, VMware recommande un minimum de 32 Go pour son hyperviseur de type 1, mais vous pouvez très bien en allouer beaucoup moins.

En réalité, ESXi fait environ 150 Mo et peut être déployé sur une carte SD, mais cette installation ne serait pas supportée en production. Après avoir indiqué la taille du disque, sélectionnez la manière dont vous souhaitez stocker le disque virtuel et appuyez sur « Next ».

Indiquez l’emplacement désiré pour le nouveau disque (.vmdk) et appuyez sur « Next ».

Vous êtes maintenant prêt à créer votre nouvelle machine virtuelle. Validez les paramètres et appuyez sur « Finish ».

Contrairement à Workstation qui utilise seulement une portion d'un disque local pour chaque disque virtuel qui est créé, VMware ESXi a besoin d'un espace logique nommé datastore (ou banque de données) pour stocker les fichiers des machines virtuelles. Si vous voulez aller plus loin, vous pouvez donc ajouter un disque virtuel local à votre VM ESXi dans Workstation, ce qui vous permettra ensuite de créer un datastore dans la console ESXi Host Client.

Ce nouveau datastore pourra être utilisé pour créer des machines virtuelles sur votre hôte ESXi... qui est lui-même une machine virtuelle. C'est un niveau supplémentaire d'imbrication : une VM qui s'exécute sur la VM ESXi représentée plus haut dans le schéma. Mais rassurez-vous, un tutoriel à venir vous indiquera les étapes à suivre au besoin.

Passons à l'installation de l'hyperviseur.

IV. Installer un hôte ESXi 8.0

Après avoir terminé la création de votre machine virtuelle, elle sera mise sous tension dans Workstation 17. Le chargement de ESXi installer peut prendre quelques minutes, selon les ressources que vous avez allouées à la VM.

Lorsque vous verrez le message « Welcome to the VMware ESXi 8.0.0 Installation » s’afficher, appuyez sur « Enter ».

Acceptez les conditions de la licence en appuyant sur « F11 ».

Comme vous avez installé un seul disque, vous pouvez appuyer sur « Enter » pour continuer l’installation.

Sélectionnez la disposition du clavier et appuyez sur « Enter » pour continuer.

La capture d’écran indique un clavier QWERTY (ce que l’auteur utilise), mais vous pouvez sélectionner "French" (France) pour un clavier AZERTY FR. Il suffit de monter dans le menu avec la flèche en haut pour retrouver cette option.

Saisissez un mot de passe complexe pour l’utilisateur « root » et appuyez sur « Enter » pour continuer.

Appuyez sur « F11 » pour démarrer l’installation.

L’installation de ESXi 8.0 prend quelques minutes. Lorsque ce sera terminé, un message « Installation Complete » va s’afficher. Félicitations, vous avez installé un hyperviseur de type 1 dans une machine virtuelle sur un hyperviseur de type 2. Vous venez de créer un environnement de virtualisation imbriquée !

Appuyez sur « Enter » pour redémarrer votre serveur hôte ESXi.

Lorsque le redémarrage sera complété, vous verrez l’interface DCUI (Direct Console User Interface). Au besoin, vous pouvez personnaliser la configuration réseau en appuyant sur « F2 », mais vous voulez sûrement découvrir l’interface web de ESXi avant !

Dans la section jaune, notez l’adresse assignée automatiquement via le DHCP et entrez-la dans votre navigateur préféré.

Acceptez l’avertissement du navigateur (il n’y a pas de certificat) et vous aurez accès à ESXi Host Client.

Connectez-vous avec le compte root pour découvrir l’interface web de votre hyperviseur.

Félicitations, vous pouvez maintenant explorer ESXi ! À vous maintenant de découvrir comment créer une banque de données (datastore) et de déployer une machine virtuelle… sur une machine virtuelle.

Pour aller plus loin, vous pouvez aussi tenter d’installer une appliance vCenter pour faire l’essai de vSphere, mais vous aurez besoin d’environ 600 Go de stockage et 14 Go de RAM !

V. Conclusion

Dans ce tutoriel, nous avons passé en revue les étapes permettant de créer un hyperviseur VMware ESXi 8.0 sur une machine virtuelle dans Workstation 17. Nous avons commencé par le déploiement de la VM pour ensuite faire l’installation de l’hyperviseur.

Cette expérience nous a permis de mettre en œuvre la notion de virtualisation imbriquée et de voir son potentiel pour mettre en place un lab VMware.

Dans un prochain article, nous verrons comment personnaliser la configuration de ESXi 8.0. En attendant, n’hésitez pas à explorer la console ESXi Host Client et découvrir les fonctionnalités très riches de cet hyperviseur de type 1 de VMware.

Vous avez complété la première étape pour éventuellement découvrir vSphere 8.0 que vous pouvez installer sur votre machine virtuelle ESXi et ajouter une nouvelle couche de virtualisation à votre environnement imbriqué.

The post Comment installer l’hyperviseur VMware ESXi 8.0 sur une machine virtuelle dans Workstation 17 ? first appeared on IT-Connect.

Comment installer pfSense dans VMWare Workstation pour créer un lab virtuel ?

28 janvier 2024 à 17:00

I. Présentation

Dans ce tutoriel, nous allons apprendre à installer Pfsense au sein d'une VM VMWare Workstation dans le but de créer un lab. Cette VM assurera le rôle de routeur et pare-feu virtuel. Grâce à cette machine virtuelle Pfsense, vous allez pouvoir vous exercer sur différents sujets notamment : la gestion d'un pare-feu (autoriser ou refuser les flux du réseau local vers Internet, et inversement), faire du NAT, créer des règles de redirection de ports, monter un serveur DHCP, effectuer la mise en place d'un proxy, d'un reverse proxy, la création d'une DMZ, etc...

L'objectif va être de créer un réseau interne (192.168.100.0/24), qui pourra accéder à internet ,par l'intermédiaire du pare-feu pfSense et un réseau DMZ (192.168.200.0/24) qui hébergera un serveur web IIS qui sera accessible en dehors de notre réseau interne.

L'interface WAN, qui nous permettra de simuler l'évasion vers internet sera rattachée (en mode bridge) à une interface physique du PC sur lequel est déployé VMware Workstation. Cette interface WAN se verra attribuer une configuration IP (Adresse IP, masque de sous-réseau, passerelle et serveur DNS) par le service DHCP de notre box internet.

Pour en savoir plus sur ce qu'est une DMZ, je vous recommande à lire cet article :

* Informatique : c’est quoi une DMZ ?

Le schéma de notre lab virtuel est présenté ci-dessous :

Schéma du lab virtuel pfSense VMWare Workstation
Schéma du lab virtuel pfSense VMWare Workstation

II. Prérequis

Pour réaliser ce lab virtuel, vous aurez besoin :

  • Un hôte sur lequel VMWare Workstation Pro est installé (version d'essai disponible ici).
  • Le fichier d'installation de pfSense à télécharger depuis le site officiel.
  • Une machine virtuelle depuis laquelle tester notre configuration réseau, sous l'OS de votre choix.
  • Une machine virtuelle sous Windows Serveur 2022 pour y installer IIS.

Nous vous recommandons de lire les articles ci-dessous si vous débutez avec VMware Workstation :

III. Installer pfSense sur VMware Workstation

A. Télécharger le fichier d'installation de pfSense

Sur l'hôte où est installé VMWare Workstation Pro, ouvrez votre navigateur internet pour accéder à la page de téléchargement de pfSense.

Renseignez les paramètres de téléchargement suivants puis cliquer sur Download :

  • Architecture : AMD 64 (64-bit)
  • Installer : DVD Image (ISO) Installer
  • Mirror : Frankfurt, Germany

Le fichier téléchargé est une archive GZ contenant l'image ISO. Décompressez l'archive GZ (à l'aide de 7-zip, par exemple) et conservez l'espace de stockage de l'image ISO récupérée.

B. Créer une machine virtuelle pour pfSense

Dans VMWare Workstation Pro, ouvrez l'assistant de création d'une machine virtuelle depuis le menu "File > New Virtual Machine".

Une fois l'assistant lancé, nous allons sélectionnez le mode de création "Typical" et cliquez sur "Suivant".

A cette étape, nous allons sélectionner l'option d'installation depuis une image ISO et renseigner l'emplacement de l'image.

Remarque : VMWare Workstation Pro a automatiquement détecté le type de système d'exploitation à utiliser pour cette VM : "FreeBSD version 10 and earlier 64-bit."

Ensuite, nous allons nommer notre machine virtuelle et définir l'emplacement où stocker les données de la VM (fichier de configuration, disque dur virtuel, etc.).

Nous allons pouvoir configurer le disque dur virtuel de la VM. Dans notre cas, nous sommes dans un lab virtuel donc je vais conserver les paramètres par défaut proposés par l'assistant de création de VM, et cliquer sur "Suivant".

Enfin, nous allons finaliser la création de la VM en s'assurant qu'elle ne démarre pas automatiquement une fois créée. Nous allons modifier sa configuration, notamment les interfaces réseaux nécessaires. Voici l'option à décocher avant de cliquer sur "Finish" :

C. Configurer la machine virtuelle et ses interfaces réseaux

Les paramètres à modifier sur notre machine virtuelle sont les suivants :

  • Passer la RAM à 2 Go (2048 Mo), minimum
  • Passer le nombre de cœur de CPU à 2, minimum

Nous allons créer 2 "LAN Segment" qui vont permettre d'avoir plusieurs réseaux virtuels au sein de VMWare Workstation distincts les uns des autres. Pour ce faire, lorsque vous êtes sur les paramètres d'une interface réseau, cliquez sur "LAN Segment". Ensuite, cliquer sur "Add" et nommez-le.

Dans notre cas, nous allons créer 2 LAN Segment : LAN et DMZ.

Ensuite, il faut modifier le type de connexion au réseau de la première interface afin de s'assurer qu'elle soit sur "Bridge". Ensuite, cliquez sur "Add" pour ajouter 2 interfaces réseau supplémentaires.

L'interface réseau n°2 sera rattaché au LAN Segment "LAN" et l'interface réseau n°3 a LAN Segment "DMZ".

Pour terminer, enregistrez l'ensemble des modifications.

D. Installer pfSense sur la VM VMware Workstation

Maintenant que notre VM est configurée selon notre besoin, nous allons pouvoir la démarrer. Cliquer sur "Power on this virtual machine". La VM va automatiquement démarré sur le fichier d'installation ISO de pfSense.

L'installeur de pfSense va d'abord analyser la configuration matérielle de la VM et charger l'assistant d'installation.

Une fois le chargement terminé, veuillez accepter le contrat d'utilisation de pfSense (Tapez sur Entrée).

Pour poursuive l'installation, sélectionnez "Install pfSense" et appuyez sur Entrée.

A l'étape de partitionnement du disque, nous allons utiliser le mode "Auto (ZFS)" présélectionné et appuyer sur Entrée.

A cette étape, un récapitulatif du partitionnement automatique ZFS est présenté, appuyez sur Entrée pour valider.

Au travers du système de fichier ZFS, pfSense peut-être installé sur de multiple disques pour assurer une disponibilité accrue du pare-feu. Pour en savoir plus sur le RAID, je vous invite à consulter cet article Wikipédia - un article sur IT-Connect arrive bientôt 🙂 !

Dans notre cas, nous allons faire une installation sans redondance (mode stripe). Appuyez sur Entrée.

Pour sélectionner le disque dur virtuel, appuyez sur Espace puis sur Entrée et sélectionner "Yes" (flèche gauche et Entrée).

L'installation est relativement rapide. Une fois achevé, validez le redémarrage de la VM.

E. Premier démarrage de pfSense

Au premier démarrage, pfSense détecte automatiquement les interfaces réseau. La plupart du temps, vous verrez l'interface WAN rattachée à l'interface em0 correspondant à la première interface ajoutée. L'interface LAN quant à elle sera rattachée à l'interface em1, correspondant à la deuxième interface ajoutée à la VM.

Comme on peut le voir, la configuration IP de l'interface WAN a été attribuée par le serveur DHCP de mon réseau. Nous allons configurer l'interface LAN avec sa configuration IP adéquate.

Pour modifier la configuration IP de notre interface LAN, nous allons procéder comme suit :

Choisissez l'option 2.

Ensuite, nous allons sélectionner l'interface LAN en entrant l'option 2 et indiquer que nous n'allons pas configurer l'interface via DHCP.

Enfin, nous allons définir la configuration IP de notre interface manuellement :

  • Adresse IP de l'interface LAN : 192.168.100.1
  • Masque de sous-réseau (en notation CIDR) : 24 = 255.255.255.0
  • Pas de passerelle
  • Pas de configuration IPv6
  • Pas de serveur DHCP IPv4 - il pourra être configuré par la suite depuis l'interface Web

Une fois terminé, l'URL pour accéder à l'interface Web d'administration de pfSense s'affiche et faire "Entrée" pour terminer.

IV. Première connexion à l'interface d'administration de pfSense

A. Se connecter à l'interface web de PfSense

Depuis le poste client (c'est-à-dire depuis notre réseau LAN virtuel), nous allons nous connecter à l'interface Web d'administration de pfSense à l'adresse IP "https://192.168.100.1/".

Au préalable, il est nécessaire de configurer l'interface réseau de la machine virtuelle cliente comme suit :

  • Adresse IPv4 : 192.168.100.2
  • Masque : 255.255.255.0 ou /24
  • Passerelle : 192.168.100.1
  • Serveur DNS : 1.1.1.1 ou celui de votre choix

Le certificat de sécurité SSL utilisé pour la connexion HTTPS est auto-signé, il est donc normal d'avoir un avertissement de sécurité. Il est possible, selon vos besoins de définir un certificat provenant d'une autorité de certification d'entreprise ou publique.

Pour vous connecter à l'interface Web d'administration, il est nécessaire de saisir l'identifiant et le mot de passe prédéfini à l'installation. Voici les identifiants par défaut :

  • Identifiant : admin
  • Mot de passe : pfsense (à modifier par la suite)

B. L'assistant de configuration Web

Une fois connecté, l'assistant de configuration Web s'ouvrira. Cliquez sur "Next".

Cliquez à nouveau sur "Next" pour valider les modalités de support fourni par l'éditeur.

Ici, nous allons préciser les serveurs DNS de notre firewall pfSense, à savoir "1.1.1.1" et "8.8.8.8", et cliquer sur "Next". Adaptez ces valeurs si vous le souhaitez.

A cette étape, nous allons configurer le serveur de temps qui est important pour bénéficier de logs à jour. Sélectionnez le fuseau horaire correspondant à votre emplacement puis cliquez sur "Next".

A l'étape 4, conservez les paramètres prédéfinis par pfSense pour la configuration de l'interface WAN en veillant à décocher les 2 options suivantes : "Block private networks form entering via WAN" et "Block non-internet routed networks from entering via WAN". Ces deux paramètres, lorsque pfSense est installé dans un réseau local existant (lab virtuel), permet de ne pas bloquer le trafic reposant sur des adresses IP privée. Ici, entre notre box internet et pfSense.

A l'étape 5 de l'assistant, conservez la configuration de l'interface LAN que nous avons fait en amont.

A l'étape 6 de l'assistant, définissez un nouveau mot de passe et cliquer sur "Next".

A l'étape 7, cliquez sur "Reload" afin de recharger la configuration de pfSense avec les informations que nous venons de définir.

Après quelques secondes, nous arrivons à la fin de l'assistant de configuration. Nous pouvons cliquer sur "Finish" pour accéder au tableau de bord.

C. PfSense : ajouter une interface DMZ

Pour ajouter l'interface DMZ à PfSense, accédez au menu "Interfaces" puis "Assignments".

On constate que l'interface "em2" peut être ajoutée : cliquez sur "Add" puis "Save".

En cliquant sur le nom de l'interface sur la page précédente, nous pouvons accéder à sa configuration. Ici, nous allons activer l'interface et la nommer DMZ au lieu de OPT1 afin de l'identifier facilement. Nous allons également définir la configuration IPv4 statique.

Pour terminer, cliquer sur "Save" et "Apply Changes".

Désormais, PfSense est initialisé et les trois interfaces réseau sont prêtes. A partir des réseaux "LAN" et "DMZ" nous pouvons accéder à Internet grâce aux règles de NAT dynamiques créées par défaut par PfSense.

V. Installer un serveur Web

Comme indiqué en introduction de cet article, nous allons installer un serveur Web dans la zone DMZ.

L'installation des rôles et services de serveur Web sous Windows Serveur est présentée dans la vidéo associée à ce tutoriel, et vous pouvez également vous référer à cet article :

La suite de cet article est à adapter à votre besoin. En effet, vous pouvez aussi utiliser une distribution Linux sur laquelle vous installez Apache pour publier votre site internet.

Dans le cadre de notre lab virtuel, la configuration IP du serveur Web (pouvant être adaptée) est la suivante :

  • Adresse IPv4 : 192.168.200.2
  • Masque : 255.255.255.0 ou /24
  • Passerelle : 192.168.200.1
  • Serveur DNS : 1.1.1.1 ou celui de votre choix

VI. Les règles de pare-feu avec pfSense

Une fois votre serveur Web prêt à être utilisé, nous allons définir les règles de pare-feu permettant d'accéder à serveur Web sur pfSense. L'objectif étant de limiter les flux au strict nécessaire, notamment pour que depuis le LAN, nous puissions accéder à la DMZ uniquement pour contacter le serveur Web en HTTP.

Nous allons créer les règles de flux suivantes :

InterfaceActionSourceDestinationProtocole(s) & Port(s)
LANBloquerLAN netDMZ netTous
LANAutoriserLAN netServeur Web (192.168.200.2)TCP - IPv4 - 80 (HTTP)
DMZBloquerDMZ netLAN netTous
DMZAutoriserDMZ netTousTCP - IPv4 - 80 (HTTP)
DMZAutoriserDMZ netTousTCP - IPv4 - 443 (HTTPS)
DMZAutoriserDMZ netTousTCP/UDP - IPv4 - 53 (DNS)

La création d'une nouvelle règle se fait depuis l'interface Web d'administration pfSense, dans le menu suivant : Firewall > Rules.

Ensuite, sélectionnez l'interface sur laquelle créer la règle puis cliquez sur "Add".

A. LAN - Bloquer les flux vers la DMZ

D'abord, sélectionnez l'interface LAN puis cliquez sur "Add", puis renseignez les paramètres de règle suivants :

  • Action : Block
  • Interface : LAN
  • Address Family : IPv4+IPv6
  • Protocol : Any
  • Source : LAN net
  • Destination : DMZ net
  • Description : Bloquer les flux LAN vers la DMZ

Ce qui donne :

B. LAN - Autoriser l'accès au serveur Web sur la DMZ

Sélectionnez l'interface LAN puis cliquez sur "Add", puis renseignez les paramètres de règle suivants :

  • Action : Pass
  • Interface : LAN
  • Address Family : IPv4
  • Protocol : TCP
  • Source : LAN net
  • Destination : Single host or alias - 192.168.200.2
  • Description : Accès serveur Web en DMZ depuis le LAN

Ce qui donne :

C. DMZ - Bloquer les flux vers le LAN

Cette fois-ci, sélectionnez l'interface DMZ puis cliquez sur "Add", puis renseignez les paramètres de règle suivants :

  • Action : Block
  • Interface : DMZ
  • Address Family : IPv4+IPv6
  • Protocol : any
  • Source : DMZ net
  • Destination : LAN net
  • Description : Bloquer les flux de la DMZ vers le LAN

Ce qui donne :

D. DMZ - Autoriser l'accès à internet (HTTP)

Sélectionnez l'interface DMZ puis cliquez sur Add, puis renseignez les paramètres de règle suivants :

  • Action : Pass
  • Interface : DMZ
  • Address Family : IPv4
  • Protocol : TCP
  • Source : DMZ net
  • Destination : any - HTTP (80)
  • Description : Autoriser l'accès à internet depuis la DMZ

Ce qui donne :

E. DMZ - Autoriser l'accès à internet (HTTPS)

Sélectionnez l'interface DMZ puis cliquez sur Add, puis renseignez les paramètres de règle suivants :

  • Action : Pass
  • Interface : DMZ
  • Address Family : IPv4
  • Protocol : TCP
  • Source : DMZ net
  • Destination : any - HTTPS (443)
  • Description : Autoriser l'accès à internet depuis la DMZ (HTTPS)

Ce qui donne :

F. DMZ - Autoriser la résolution DNS

Pour que notre serveur web puisse accéder à Internet, il doit pouvoir effectuer de la résolution de noms vers Internet (si l'on utilise un résolveur DNS externe). Sélectionnez l'interface DMZ puis cliquez sur "Add", puis renseignez les paramètres de règle suivants :

  • Action : Pass
  • Interface : DMZ
  • Address Family : IPv4
  • Protocol : TCP/UDP
  • Source : DMZ net
  • Destination : any - DNS (53)
  • Description : Autoriser la résolution DNS depuis la DMZ

L'ensemble de ces règles vont nous permettre de gérer les flux de façon stricte entre nos trois réseaux, conformément au tableau présenté ci-dessus.

VII. La règle de NAT pour le serveur Web

Dans cette dernière partie, nous allons mettre en place une règle de NAT pour permettre l'accès au serveur Web hébergé sur notre DMZ depuis l'extérieur du réseau local de notre lab virtuel, au travers de l'interface WAN. Cette règle doit être adaptée en fonction de l'adresse IP du serveur web et du port utilisé (HTTP / HTTPS / ou numéro de port exotique).

Si vous avez besoin d'approfondir la notion de NAT, lisez cet article :

Pour ce faire, naviguez dans le menu "Firewall > NAT" puis cliquez sur "Add".

Voici la configuration de notre règle de NAT :

  • Type de règle : Port Forward
  • Interface : WAN
  • Adress Family : IPv4
  • Protocol : TCP
  • Destination : WAN address
  • Destination port range : HTTP (80)
  • Redirect target IP : Adress or Alias - 192.168.200.2
  • Redirect target port : HTTP

Ce qui donne :

Suite à la mise en place de cette règle de NAT, une machine située à l'extérieur du réseau de notre Lab (côté WAN, donc votre machine physique, par exemple) doit pouvoir accéder au serveur Web ! Dans le navigateur, il faut indiquer l'adresse IP de l'interface WAN du Pfsense et grâce à la règle de NAT, le flux sera redirigé vers le serveur Web.

Ci-dessous, nous pouvons voir que j'ai bien accès à la page par défaut du serveur web IIS.

VIII. Conclusion

Nous arrivons à la fin de ce tutoriel dans lequel nous avons vu comment mettre en place un firewall virtuel avec VMWare Workstation Pro sur un environnement de Lab. Ensuite, nous avons configuré pfSense, les règles de firewall et de NAT afin de rendre disponible le serveur Web en DMZ depuis l'extérieur.

N'hésitez pas à partager vos remarques et questions en commentaire, et vous pouvez regarder la vidéo YouTube sur le même sujet réalisée par Florian 🙂 !

The post Comment installer pfSense dans VMWare Workstation pour créer un lab virtuel ? first appeared on IT-Connect.

Veeam s’intéresse de près à la sauvegarde des hyperviseurs Proxmox !

23 janvier 2024 à 15:46

Les mouvements opérés chez VMware dernièrement semblent inquiéter les utilisateurs, mais également le géant de la sauvegarde Veeam ! En effet, du côté de Veeam des tests sont en cours afin de travailler sur un outil de sauvegarde pour Proxmox, une alternative à VMware ESXi.

Rappel du contexte : chez VMware, la fin d'année 2023 a été mouvementée puisque l'entreprise américaine a été rachetée par Broadcom, ce qui a eu immédiatement plusieurs conséquences : une réorganisation interne et du catalogue produit, une vague de licenciements, et un changement sur le fonctionnement du licensing avec la fin des licences perpétuelles pour une grande partie des produits VMware. Ceci n'est pas rassurant pour les clients de VMware, mais également pour les partenaires de l'entreprise américaine.

Sur le marché, il y a plusieurs solutions alternatives aux produits VMware, notamment à l'hyperviseur VMware ESXi. Nous pouvons citer la solution Hyper-V de chez Microsoft, la solution open source Proxmox, XCP-ng, ainsi que d'autres alternatives comme chez Nutanix.

Source : proxmox.com

Veeam travaille sur une solution de sauvegarde pour Proxmox

Proxmox semble intéresser Veeam qui aimerait bien proposer une solution de sauvegarde professionnelle aux utilisateurs de cet hyperviseur, à en croire un message posté par Anton Gostev, chef produit de Veeam, sur le forum officiel.

"Nous menons des recherches et réalisons des prototypes autour de Proxmox pour voir ce qu'il est possible de faire en matière de sauvegarde.", peut-on lire. Anton Gostev en profite même pour poser quelques questions pour en savoir plus sur les attentes des utilisateurs et sur le fonctionnement des sauvegardes avec Proxmox.

Même s'il existe déjà la solution Proxmox Backup Server, l'éditeur Veeam pourrait proposer une solution de sauvegarde pour Proxmox dans les mois à venir. Ceci pourrait être une façon d'accompagner, et de conserver, les clients de Veeam actuellement sur du VMware et qui pourraient migrer vers Proxmox.

Veeam en a profité pour annoncer également une prise en charge d'Oracle Linux KVM (suite de Red Hat Virtualization) dans la prochaine version de sa solution de sauvegarde "Veeam Backup for Red Hat Virtualization" qui sera renommée à cette occasion.

Récemment, Veeam a également publié Veeam Backup & Replication 12.1, une version avec de nouvelles fonctionnalités pour lutter contre les cyberattaques.

Qu'en pensez-vous ?

Source

The post Veeam s’intéresse de près à la sauvegarde des hyperviseurs Proxmox ! first appeared on IT-Connect.

Cyberattaques VMware vCenter : la faille de sécurité critique « CVE-2023-34048 » est exploitée !

20 janvier 2024 à 09:00

VMware a mis à jour un bulletin de sécurité publié en octobre 2023 pour alerter ses utilisateurs au sujet de la vulnérabilité CVE-2023-34048 : elle est exploitée dans le cadre de cyberattaques ! Faisons le point sur cette menace.

En octobre 2023, VMware avait publié un bulletin de sécurité pour deux failles de sécurité CVE-2023-34048 et CVE-2023-34056, mais c'est bien la première qui est critique et désormais exploitée par les cybercriminels au sein d'attaques. Dans le bulletin de sécurité de VMware, nous pouvons lire : "VMware a confirmé que l'exploitation de CVE-2023-34048 a eu lieu dans la nature."

Cette vulnérabilité critique (score CVSS de 9.8 sur 10 !) se situe dans l'implémentation du protocole DCE/RPC dans VMware vCenter Server. L'éditeur précise qu'"un attaquant disposant d'un accès réseau à vCenter Server peut déclencher une écriture hors limites conduisant potentiellement à l'exécution de code à distance."

Il est fort probable que cette vulnérabilité soit exploitée par des gangs de ransomware puisqu'ils apprécient particulièrement les infrastructures de virtualisation, et plus particulièrement les hyperviseurs VMware ESXi. Le fait de compromettre un serveur VMware vCenter peut permettre de prendre le contrôle de l'infrastructure virtualisée sous-jacente.

Comment se protéger ?

Vous devez installer le correctif de sécurité mis à disposition par VMware pour vous protéger, car il n'existe pas de mesure d'atténuation ! Mais, vous l'avez peut être déjà fait puisque cette vulnérabilité est connue et patchée depuis plusieurs mois. Il est important de noter que VMware a également fait l'effort de publier des correctifs pour plusieurs versions en fin de vie et dont le support est déjà terminé.

"Bien que VMware ne mentionne pas les produits en fin de vie dans ses avis de sécurité, en raison de la gravité de cette vulnérabilité et de l'absence de solution de workaround, VMware a mis à disposition un correctif pour vCenter Server 6.7U3, 6.5U3 et VCF 3.x. Pour les mêmes raisons, VMware a mis à disposition des correctifs supplémentaires pour vCenter Server 8.0U1.", peut-on lire sur le site de VMware.

Voici les versions patchées :

  • VMware vCenter Server 8.0U2 (au minimum)
  • VMware vCenter Server 8.0U1d (au minimum)
  • VMware vCenter Server 7.0U3o (au minimum)

Il y a du "boulot" car d'après les données fournies par TheShadowServer, il y a plus de 500 serveurs vCenter exposés sur Internet et vulnérables ! Un filtre sur la France permet de se rendre qu'il y a 30 serveurs vulnérables associés à des adresses IP françaises.

Source

The post Cyberattaques VMware vCenter : la faille de sécurité critique « CVE-2023-34048 » est exploitée ! first appeared on IT-Connect.

Fin des licences perpétuelles chez VMware : voici la liste complète des produits concernés !

19 janvier 2024 à 14:55

Il y a un peu plus d'un mois, Broadcom a annoncé sa décision de mettre fin aux licences perpétuelles pour les licences VMware, afin de passer sur des formules avec abonnements. Désormais, nous avons une idée précise des produits VMware concernés par cette décision.

Chez VMware, la fin d'année 2023 a été mouvementée puisque l'entreprise américaine a été rachetée par Broadcom, ce qui a eu immédiatement plusieurs conséquences : une réorganisation interne et du catalogue produit, une vague de licenciements, et un changement sur le fonctionnement du licensing. C'est précisément ce dernier point qui nous intéresse aujourd'hui.

VMware a mis en ligne une nouvelle page de support qui référence l'ensemble des produits et solutions qui ne seront plus proposés sous la forme d'une licence perpétuelle. Il y en a beaucoup, peut-être même trop. En effet, il y a 56 produits référencés sur cette page, dont des produits très populaires comme VMware vSphere (Enterprise Plus, Desktop, Essentials Kits, etc.), ainsi que VMware vCenter (Standard, Foundation), ou encore VMware NSX, VMware Aria et VMware vSAN. Vous l'avez compris, les solutions phares pour la virtualisation basée sur VMware sont concernées par cette décision, même s'il y a deux exceptions associées à des offres d'abonnement spécifiques d'après la documentation : VMware vSphere Standard et VMware vSphere Essentials Plus Kit.

Voici un aperçu du tableau, que vous pouvez retrouver en intégralité sur le site de VMware :

Sur cette page, VMware précise que les licences perpétuelles ne sont plus disponibles à la vente : "Ces produits ne sont plus disponibles à l'achat. À l'avenir, au moment du renouvellement, les clients se verront proposer les produits d'abonnement les mieux adaptés à leurs besoins."

Il est tout de même important de préciser que pour les clients existants, qui ont acheté une licence perpétuelle et qui ont toujours un support en cours, n'ont rien à faire pour le moment. L'entreprise américaine affirme également ce qui suit : "VMware continuera à vous offrir un support actif pendant toute la durée de votre contrat de support."

The post Fin des licences perpétuelles chez VMware : voici la liste complète des produits concernés ! first appeared on IT-Connect.

How to Install Proxmox on your Asustor NAS

Par : Rob Andrews
8 janvier 2024 à 18:00

How to Install Proxmox on an Asustor NAS Drive – Step By Step Guide

There is no denying that when it comes to ‘turn-key’ NAS solutions, that Asustor NAS are still easily the best bang for buck out there! Arriving with a hardware price point that is often 20% or more lower than comparable solutions from Synology or QNAP, they allow users who don’t want to build or don’t know/want to build their own server to have a ready-built solution that also includes the ADM NAS software platform. However, when it comes to virtualization and VM tools, they do not supply their own premium software (but do support others from within ADM) and for those looking to run a handful of VMs or Containers in their homelab setup, that can be a little bit of a barrier. If you have been looking into server-based virtualization or high-efficiency container deployment, then there is every chance that you are well aware of Promox, the open-source alternative to enterprise/premium VM platforms such as VMware, Citrix or Redhat hypervisors. A hypervisor is a layer of software that lives on top of bare metal server hardware and/or lives as an executional package from within an operating system. Although Asustor NAS systems already arrive with a very good virtual machine hypervisor, VirtualBox, many users would still like the option to run a VM Hypervisor software directly from the bare metal (eg, remove a multipurpose OS and have the system immediately boot into the Hypervisor software). VirtualBox has a huge range of software options (including downloading ready-made VM images from marketplaces, huge customization supported, integration with the backup/sync services in QuTS/ADM and in a new update High-Availability support). Still, some users might have an Asustor NAS that is outside of hardware warranty or is relatively modest that will possibly run VMs better without the host OS in place, hence why some users think about installing Proxmox in its place on their Asustor NAS. Proxmox provides pretty much all the abilities and services of those bigger premium VM hypervisors, however in those premium platforms (VMware, Citrix, HyperV, etc) there are additional charges and tiers to their use – whereas Proxmox includes them all in a free, open-source package. So, there are plenty of reasons why you might want to repurpose your old NAS with this bare metal hypervisor software, and today I want to guide you through the process of installing Proxmox on your Asustor NAS.

IMPORTANT – It’s important to note that Proxmox is NOWHERE NEAR as user-friendly as Asustor ADM with VirtualBox and before making any switch to a new NAS OS, it is important that you understand the process, risks and differences in the platforms. This guide is designed to help you use your Asustor NAS to run Proxmox as it’s primary OS. If you go ahead with this and use the same HDD/SSDs in the system that you are currently using in the Asustor ADM Setup, it will likely format them, so IF you want to reverse your Asustor NAS back to its ADM set up with all your data/drives the same, you will need to remove them before using the Proxmox setup, put them to one side safely and use new HDD/SSDs for your Proxmox installation. Lastly, although this whole process is reversible, you are technically using the Asustor in a means that the brand does not state as ‘intended use’ and this MIGHT lead to support/warranty problems down the line if a fault appears in the Asustor or the software installation that was the result of the Proxmox installation (the bios records everything!). This is HIGHLY UNLIKELY but not impossible that you could make the system inoperable (e.g. you work a Proxmox server so hard and/or push the CPU to breaking point running particularly aggressive Proxmox VMs/Containers and/or amend the BIOS to a state where you cannot access it) – this would not be covered by your Asustor NAS support, as they did not certify that the system can handle this or be used in this way under the warranty.

Proxmox Software on Asustor NAS Hardware – What You Need?

It is worth highlighting that having just an Asustor NAS is not quite enough and in order to get Proxmox up and running on an Asustor NAS requires a few extra checks and use of a few items you might have already in the home/office, or a quick $10-20 shop online at most. In order to upgrade your system to Proxmox, you will need to consider/have the following:

  • an Asustor NAS Drive with (minimum) an Intel 64bit x86 CPU and a minimum 4GB of Memory (recommended 8GB+)
  • Download the latest stable release of Proxmox here as a system image (you will be converting this to USB later on) – DOWNLOAD
  • Any Data that is currently on the Asustor NAS RAID that is mission critical to be backed up or moved (as it will be completely formatted)
  • A USB drive to use as the Proxmox installation drive ( I recommend THIS ONE here from Sandisk, as it is low price and incredibly small, even at 32GB)

 

  • I recommend not using a USB larger than 32GB, due to the constraints of 1st party software to format larger than this in FAT32 (though you can use the Rufus software to format larger than 32GB drives to FAT32). Don’t be tempted to spend like $2 more for a 64GB, as the Proxmox installation will occupy the full USB space (as you will create a system-image-USB) and space is utterly irrelevant when the Proxmox installation is so small
  • A Disk Image to USB conversion too. I recommend ‘Rufus’, currently in ver 3.19 and can be run in a portable .exe form that doesn’t require installation – DOWNLOAD
  • A basic USB Keyboard (example HERE but really, any will do) and an HDMI Monitor (or simply any device that has an HDMI input – NOT output) such as a TV or Capture card
  • Hard Drive and/or SSD media (you should already have these, but just in case) for your storage Pool / RAID

  • Optional M.2 NVMe SSD of at least 120GB, but highly recommended – Installing Proxmox is not unlike installing a Windows OS on a new PC, as you are connecting a USB to run the installer, but you need to target a drive in the Asustor NAS to install Proxmox onto. Whichever drive you use, it will make that drive largely inaccessible for anything but the Proxmox operating system. Therefore IF you are running an Asustor NAS that has internal m.2 NVMe SSD bays OR one with dedicated 2.5″ SSD bays, I highly recommend getting a low-capacity drive of between 60-120GB (these will be very cheap compared with larger HDDs that start in the Terabyte scales) and then use this for the Proxmox software. This means that ALL of the main SATA storage bays of the Asustor are then used for your storage pool(s) (aka the RAID). Do NOT install Proxmox on another USB drive during installation, as this is less stable.
  • OptionalDownload Advanced IP Scanner HERE, as it is a really useful tool for analyzing your network and finding your new Proxmox NAS for remote access

That is about it. Most of these are devices are that you will almost certainly already have to hand.

Can I Reverse the Proxmox Installation and go back to Asustor ADM?

Almost certainly YES! I say ‘almost certainly’, as there is one small caveat. When you make the change from Asustor ADM to Proxmox on the NAS hardware, the drives (HDD and/or SSD) inside used in Proxmox pools used in the new system software architecture. This works both ways if you want to revert back to ADM on the NAS too. You CANNOT use the Storage Pool, Volume structure, Folders etc of drives from an Asustor NAS in a Proxmox setup (you will need to format these in Proxmox). So, although the act of reinitializing the NAS to its original software is very easy (you just need to go into the BIOS of the Asustor using the same method in the guide below, then change the boot drive order BACK to the Asustor OS internal SSD), it will mean that any data that resides on the disks inside will be formatted. So, if you are choosing to make a change from one NAS OS to another, make sure you have your data appropriately backed up elsewhere OR move the drives that were in your Asustor (with their ADM Storage structure) to one side safely and install new 3.5″ storage media for the Proxmox pools etc. So, let’s begin the installation of Proxmox on the Asustor NAS.

Proxmox on an Asustor NAS – Step 1, Download Proxmox

Head to the Proxmox website HERE and download the latest stable release of the software to your local PC, Linux or Mac system. Make sure to remember where you downloaded it to.

Proxmox on an Asustor NAS – Step 2, Download Rufus USB Image Tool

Head to the Rufus website and download the latest version of that tool – I recommend downloading the standalone executable file here, as then it will immediately run when you double-click the file, without installation etc. It may redirect you to Github, but it will be the same executable file. Once again, remember where you downloaded it.

Proxmox on an Asustor NAS – Step 3, Preparing the USB

Connect the small form factor USB Drive to your system (again, this is the one I used from Sandisk) and after a few seconds, it should appear as an available USB Drive. The drive MAY need formatting (you will be prompted to do so), if that is the case, then you can format it via the system prompts and by default, it will format it to FAT32 (as long as your USB is less than 32GB). If you are not presented with a system prompt to format your USB, then you can head into My PC, or My Computer via a windows computer and right-click the drive, select ‘format’ and format it that way.

If you have used the USB for other things previously, there is a chance that the drive has existing partitions in place. For that, the quickest way to completely remove any partitions is to open up the bottom-left windows system menu as normal, and then just type diskpart and open the command-line GUI tool. From there, use the command list disk to show the available drives that are connected, you will see your USB (normally disk 1 or 2, but can differ depending on your system layout and can be spotted by the storage amount). From there, type select disk # (where # is the drive number that your USB is shown as) and then type clean, which will then remove any index structure for the drive (i.e the partitions and existing format) and then you can go back to the My Computer/My PC page and format the drive to FAT 32 as normal.

Proxmox on an Asustor NAS – Step 4, Creating a USB Installer Image of Proxmox

Open the Rufus application and from there you will see the USB Drive (listed as NO NAME, or ‘UNTITLED’, ETC) at the top. From there, look to the select image/find image option (depending on the ver. of Rufus or your USB Image Creator tool of choice) and find the Proxmox disk image you downloaded earlier). If the drive is not listed, it may have downloaded as a compressed/archive file. If that is the case, head to the location of where you downloaded Proxmox (in your file explorer, not in Rufus) and right-click the file you downloaded. If the option to ‘extract‘ is visible, then you can extract it (i.e unpack it to the original form) in that same download directory. From there, head back into RUFUS and then the Proxmox system image should be visible. Select it, then run the Rufus System image creator tool and create your USB bootable Proxmox disk image.

REMEMBER! This will completely format your USB drive and any files that are on that USB will be destroyed. The system image creator tool will turn the USB into a pure boot image tool – the USB will not be usable for traditional storage again unless you completely format it again.

Proxmox on an Asustor NAS – Step 5, REMOVE THE USB FROM YOUR PC!!!!!!!!!

Really, really important and sometimes overlooked. Once the USB creation is completed, you need to remove the USB (using the eject hardware safely option at the bottom right of your windows machine taskbar as normal). DO NOT accidentally leave the USB in your USB Ports for any longer than necessary. If you leave it in and your system reboots at any point (eg in a normal ‘end of day shut down, go home, reboot tomorrow’ scenario), then the system might boot directly into the Proxmox installation and although it is easy to exit from, it can change your system default boot preferences, maybe even remove your primary boot drive as the OS drive – requiring a little messing with a windows installation disk to change it back. The odds of this are very small, but not zero, so make sure to safely remove your USB drive when the Proxmox system image creator tool is completed.

Proxmox on an Asustor NAS – Step 6, (OPTIONAL) – Install an NVMe SSD

This is an optional step, but one I would certainly recommend for newer-generation Asustor NAS devices. Proxmox is a lot like a traditional computer operating system (eg Windows or macOS) in it’s architecture and will run at its best when the necessary boot files are located on a seperate, smaller and faster area of SSD/flash storage away from the general bulk storage. So, if possible/available in your Asustor NAS, I would recommend installing a smaller m.2 NVMe SSD drive and then using that as the target/location for your Proxmox installation. This is not compulsory and you can also use a single HDD or SSD in one of the main storage bays of your Asustor, however, it means that this drive will unusable for general storage (i.e in any RAID configuration or storage pool). This CAN be negated with some creative partiton creation, but I wouldn’t recommend it. Additionally, do NOT try to install Proxmox on another USB drive that is connected to the system – this isn’t particularly stable and tends to result in a poorer Proxmox experience. M.2 NVMe bays and their location in the Asustor NAS changes depending on the system. Some allow you to access these bays via the main HDD 3.5″ bays, whilst others (the majority) require you to remove the external chassis casing to access these bays (eg the TS-453E, TVS-872X, TS-873A, etc).

Reminder – Proxmox is NOT a big program and you can use an SSD as small as 32GB and still have a tonne of provision for future storage space. However, M.2 NVMe SSDs are not available in smaller sizes than 120GB. Lower size than this and you will generally only find 2240 SSDs and/or SATA M.2 SSDs. These are still perfectly fine to use, but the performance difference between SATA and NVMe (PCIe) is HUGE! You can find many SSD options here on amazon for as little as $30  – Find Low Capacitiy and Low Price M.2 NVMe SSDs HERE on Amazon (already filtered the results)

NOTE – If you plan on upgrading the memory of your NAS to 4GB-8GB-16GB or higher (in order to use ALL of the features of Proxmox to their fullest extent), I would recommend doing so at this point before rebuilding the physical chassis again, as many Asustor NAS have the 2nd SODIMM memory slot in really tight locations.

Proxmox on an Asustor NAS – Step 7, Connecting the USB, Keyboard and HDMI Monitor

Next, we need to connect the external means to install Proxmox on the Asustor NAS. Unlike when you set up your Asustor NAS for the first time, Proxmox cannot typically be installed via the network like ADM. Proxmox requires you to use a KVM (keyboard, Video Mouse – though you won’t need a mouse!) and go through the installation using a low-res graphical user interface. Now you will ONLY need this setup/items for the installation and initialization of your Proxmox server and after that, you will be able to use the server over the network/internet as normal. You are going to need a basic USB Keyboard (not a Bluetooth or wireless one, as these may need drivers to run and you cannot install drivers at this point) and an HDMI Monitor/TV. You CAN use a mouse, but it is not hugely necessary and 99% of the choices in the setup of Proxmox can/will be via keyboard input. Also, I would also recommend connecting the NAS to the network during setup as this will allow the system to assume certain network values during setup that will save a tonne of time later. Once that is all connected, do NOT turn the NAS on yet – there is one small and slightly time-sensitive thing to do.

Proxmox on an Asustor NAS – Step 8, Accessing the BIOS Menu of your Asustor NAS

Now that your Asustor NAS is all connected and you are ready at your keyboard/Monitor, turn the NAS on and wait till you hear a beep (should take between 5-15secs depending on the Asustor NAS). As soon as your hear that noise (and likely see a flashing character or underscore on the monitor screen), you need to continuously hit the ESC / F12 / F2 and/or DEL keys (not at the same time, just back and forth). One of these will result in the system displaying the blue BIOS menu (it changes between motherboards and Asustor uses a mixture of mobos in their Intel and AMD-powered systems). You need to be quick, as you only have about 3 seconds to do this before the Asustor will automatically boot from the small internal 4GB/5GB flash OS module that boots into Asustor.

Proxmox on an Asustor NAS – Step 9, Booting from the New Proxmox Installer USB

Next, you need to tap ‘RIGHT‘ on the keyboard and head to the ‘Save & Exit’ option. At the bottom, you should see, under the ‘boot override‘ option, your USB Drive. Tap ‘DOWN‘ until you are highlighting the USB and then tap ‘Enter‘ or ‘Return‘ on your keyboard, as this will push the Asustor to boot from that USB and begin the Proxmox installation. For now, we just need it to read from this USB this one time. If you already know the internal drive you plan on installing Proxmox onto (eg an M.2 NVMe SSD or a SATA SSD) that is already inside the system, make sure to change the boot priority of option #2 to THAT drive. As then, later on after the USB is removed, the system will automatically switch to the proxmox installed drive for the future.

Proxmox on an Asustor NAS – Step 10, Rebooting and Starting the Proxmox Installer

This next step is a bit of a quick one. Around 5-15 seconds after you selected the USB Drive in BIOS, the screen will display the Proxmox Installer option page and all you need to do is navigate the config choices to set up your Proxmox NAS the first time. Select ‘Install Proxmox VE‘.

Next, the Terms and Conditions will be displayed. Scroll through as appropriate, and either use the mouse or ‘tab’ key to make your way to ‘Agree’ and click enter.

Next enter your location, timezone and keyboard layout, then click ‘Next’.

Enter the password you wish to use for the ‘root’ account. This is the super-user (i.e All Access admin), which you can amend later on if you choose to. Additionally, add your email address for use in notifications, system alerts and abnormal behaviour reports. Then click ‘Next’.

Next, you need to configure your network connectivity. If your Asustor NAS has multiple ethernet ports, select which one you want to use as the Management Interface, for system software access. In the Hostname area, if you plan on only using this system on the local area network (you can change this later), just put ‘pve.lan’. The system will preselect an IP dynamically and arrange the DNS/Gateway, but again you can change all this later. You should DEFINITELY amend this si you are going to start giving Proxmox/VMs external access points. When you are satisfied with your setup, click next.

The system setuP will display a summary of the choices and configs you hav made and invite you to confirm and install the Proxmox software. Make sure to uncheck the box that suggests a reboot after the installation is complete. This is optional step and I only suggest it because it will allow you to remove the USB between the installation and first-time boot, ensuring the system doesn’t boot back into the USB installer afterwards, but recent versions of Proxmox actually take this into account and will go straight into the Proxmox boot disk – still, I would nevertheless factor in chance to remove the USB in the middle nonetheless. When you are ready, click ‘Install’ on the bottom right.

Installation of Proxmox will be quite quick, around 3-5 minutes. The system will let you know when the installation is done and, if you unchecked the box for auto reboot, you will be presented with your system’s local IP and port config.

You can now power down / reboot the system. Be sure to make a note of that IP that IP and Port number for when you want to access the Proxmox Asustor NAS server after it reboots – there is a small % chance that the IP might have dynamically changed (based your own network architecture), but there is another way to find the device on your network. Select Shutdown or Reboot as appropriate.

The system (via the HDMI interface) during the reboot cycle will give you a heads up when to remove the USB drive. Next time the system boots up, it should access the newly created Proxmox boot drive.

If the Promox boot drive boots fine, skip ahead to step 9. Otherwise, read below how to chance the boot drive arrangement again.


Proxmox on an Asustor NAS – Step 8, Remove the Boot USB Drive AND CHANGE BIOS!!!

Once your Asustor NAS has fully powered down, you need to disconnect the USB drive you installed earlier with Proxmox boot loader on it. You need to do this otherwise, when you reboot the Asustor NAS, it can potentially reboot into the bootloader again. You can skip past this and/or it will not action a reinitialization without your input, but better to remove the USB and therefore allow the system to always immediately boot into the Proxmox system you just created. Next, you need to head back into the BIOS from earlier. Keep the Keyboard and HDMI Monitor connected and use the same method you used earlier during the initial boot of the Asustor (pressing F12 /F2/ESC/Delete repeatedly when you hear the first Asustor beep after about 10-15 secs) and as soon as you are greeted with the familiar blue BIOS screen. From here, tap right a few times to highlight the ‘Boot’ option and change the option for Boot Priority #1. The default is Asustor OS, you need to change it to the drive you installed Proxmox on (whether that is a SATA/NVMe SSD or one of the main storage bays).

This will change the boot order to allow the system when it is first powered on to always boot into Proxmox. After this, you can click right again in the BIOS menu to select the option to Save and restart. The system will then boot into the Proxmox initialization (first-time setup).


Proxmox on an Asustor NAS – Step 9, Reboot the NAS

Upon rebooting the Asustor into Proxmox (can take up to 5 mins, but usually much quicker). You have two options with how to access the configuration and controls. You can use the HDMI+Keyboard if you choose for console/command level access.

Alternatively (much more recommended), use a program such as Advanced IP Scanner, which is free and VERY useful anyway, or even network command prompt) to scan your local area network and find where the Asustor with Proxmox is located (i.e it’s IP). This IP (eg 192.168.100.2) is what you put into the URL bar ofay web browser and it will load into the login GUI for Proxmox. From here you will need to use the username ‘root’ in combination with the password that you created during initialization.

And that is about it. You now have Proxmox installed as the default OS of your Asustor NAS. From here you can do anything and everything that his highly regarded virtualization server software offers.


EXTRA – How to Reverse Your Asustor NAS from Proxmox to Asustor ADM / ADM Software Again

Now, it is worth remembering that switching your Asustor NAS to run Proxmox instead of ADM is not a one-way street and you can reverse this relatively easily. Do remember first though that:

  • Any data on the HDD/SSDs inside the Asustor that were used in Proxmox server setup will not be accessible/usable with the Asustor NAS system and will likely be flashed/formatted during the Asustor ADM reinitialization
  • You will need your Keyboard and HDMI Monitor again in order to get back into BIOS
  • If you kept your original Asustor RAID Pool on HDDs etc to one side (i.e you removed the already configured storage media in their RAID from the Asustor when you changed to Proxmox and put these drives safely to one side), you should be able to migrate this data back into the Asustor NAS during re-initialization with ease. That said, YOU SHOULD ALWAYS HAVE A BACKUP FOR THIS DATA REGARDLESS

In order to reverse the Asustor NAS from Proxmox back to Asustor ADM Software, you need to (from a cold boot) access the BIOS menu again (so, at boot, with your Keyboard and monitor connected, press the DEL and/or F12 key over and over when the Asustor beeps, like before) and when you reach the BIOS menu, tap RIGHT until you reach the ‘Boot page. Then change the ‘Boot Option #1’ option from the Proxmox installation drive back to the Asustor OS (internal flash 5GB module). Once that is done, head into the ‘Save & Exit‘ and then select ‘Save Changes and Restart‘. Doing this will restart the Asustor NAS and it will automatically boot into the Asustor ADM boot sequence. From here your NAS will either automatically boot into the Asustor Setup page OR (if you have your original Asustor NAS RAID drives, with their Pools, Volumes, etc) it will just boot into the Asustor NAS software as normal.

Thanks for reading! I hope you found this helpful and that it really helped you to make the most of your storage. Want to help me continue to make more guides, reviews and tutorials on the subject of NAS? Then you can do so in a few different ways (any of which I will be eternally grateful for if you choose to!). You can visit the ‘Support NAS Passion’ page HERE and see a few different ways that you can help us keep the lights on. Alternatively, you can use one of the links below to shop for your hardware today or in future (visiting those sites via the link below ensures that we get a mall commission on absolutely anything you purchase – and doesn’t cost you anything extra). Finally, if you want to support us in spirit rather than financially, recommend our blog to a friend or professional colleague or share a link on your social media site of choice. Thank you for reading and have a fantastic week!


Where to Buy a Product
amzamexmaestrovisamaster 24Hfree delreturn VISIT RETAILER ➤ 
amzamexmaestrovisamaster 24Hfree delreturn VISIT RETAILER ➤

📧 SUBSCRIBE TO OUR NEWSLETTER 🔔
[contact-form-7]
🔒 Join Inner Circle

Get an alert every time something gets added to this specific article!


Want to follow specific category? 📧 Subscribe

This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

Need Advice on Data Storage from an Expert?

Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you. Need Help? Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry. [contact-form-7] TRY CHAT Terms and Conditions
If you like this service, please consider supporting us. We use affiliate links on the blog allowing NAScompares information and advice service to be free of charge to you.Anything you purchase on the day you click on our links will generate a small commission which isused to run the website. Here is a link for Amazon and B&H.You can also get me a ☕ Ko-fi or old school Paypal. Thanks!To find out more about how to support this advice service check HEREIf you need to fix or configure a NAS, check Fiver Have you thought about helping others with your knowledge? Find Instructions Here  
 
Or support us by using our affiliate links on Amazon UK and Amazon US
    
 
Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.

☕ WE LOVE COFFEE ☕

 
❌
❌