Comment utiliser un Tunnel IP : Le guide complet pour débutants

Comment utiliser un Tunnel IP VXLAN : Le guide complet pour débutants

Protéger son infrastructure Proxmox "maison" ou ses serveurs dédiés contre les attaques DDoS est une priorité absolue. La solution la plus efficace consiste à utiliser un Tunnel IP de chez Noxel pour filtrer le trafic.

Cependant, un tunnel IP classique (GRE, WireGuard) travaille au niveau de la couche 3 (Routage). Comment faire si vous voulez interconnecter vos machines virtuelles au niveau de la couche 2 (Bridging), afin qu'elles partagent le même switch virtuel à travers Internet, tout en profitant de notre protection anti-DDoS ?

La réponse tient en cinq lettres : V X L A N (Virtual Extensible LAN). Ce guide vous explique pas à pas comment monter un tunnel VXLAN natif encapsulé de manière optimale pour fonctionner avec vos IP Noxel.

Prérequis

• Un serveur Linux (Proxmox, Debian, Virtualizor, etc.) avec une IP publique (fixe idéalement).
• Les informations de connexion à votre tunnel (VNI, IP Distante, Port).

Étape 1 : S'assurer de la compatibilité du système (Kernel Linux)

Avant de configurer le réseau, il faut s'assurer que le système d'exploitation de votre serveur est capable de comprendre le protocole VXLAN. Pour cela, nous allons demander au noyau Linux (le Kernel) de charger le module nécessaire.

Exécutez la commande suivante dans votre terminal en mode root :

sudo modprobe vxlan

Si aucun message d'erreur ne s'affiche, c'est que votre système gère parfaitement cette technologie.

Pour confirmer que le module est désormais actif et prêt à l'emploi, vous pouvez lister les composants réseau chargés avec cette commande :

lsmod | grep vxlan

Que devez-vous voir ?

Une ligne contenant le mot vxlan (généralement accompagnée de udp_tunnel) doit apparaître à l'écran.

Étape 2 : Création du bridge Proxmox

Avant de créer le tunnel VXLAN, vous devez disposer d'un bridge réseau qui servira de point de connexion entre vos machines virtuelles et le tunnel.

Depuis l'interface Proxmox

1. Connectez-vous à l'interface web Proxmox.
2. Rendez-vous dans Datacenter → Votre serveur → Réseau.
3. Cliquez sur Créer → Linux Bridge.
4. Configurez le bridge avec les paramètres suivants :

1. Cliquez sur Créer.
2. Cliquez ensuite sur Appliquer la configuration.

Vérification

Le nouveau bridge doit apparaître dans la liste des interfaces réseau :

ip link show vmbr10

Vous devriez voir une interface nommée vmbr10.

Important : ce bridge ne doit généralement pas recevoir d'adresse IP. Il servira uniquement à relier vos machines virtuelles au tunnel VXLAN Noxel.

Une fois le bridge créé, vous pouvez passer à l'étape suivante pour créer et attacher l'interface VXLAN au bridge vmbr10.

Créez un script de configuration :

sudo nano /etc/tunnel-noxel.sh

Ajoutez le contenu suivant en adaptant les paramètres à votre configuration :

#!/bin/bash

# 1. Création de l'interface VXLAN
/usr/bin/ip link add Noxel_Tunnel type vxlan \
    id vni \
    dev eth0 \
    dstport 4789 \
    local <IP_LOCALE_OU_PUBLIQUE> \
    remote 2.59.58.1

# 2. Activation de l'interface
/usr/bin/ip link set Noxel_Tunnel up

# 3. Association de l'interface VXLAN au bridge Proxmox
/usr/bin/ip link set Noxel_Tunnel master vmbr10

Remplacez :

• vni par le vni fourni par Noxel.
• eth0 par l'interface réseau de votre serveur.
• 4789 par le port VXLAN fourni par Noxel.
• <IP_LOCALE_OU_PUBLIQUE> par l'adresse IP utilisée pour établir le tunnel.
• vmbr10 par le bridge Proxmox auquel vous souhaitez rattacher le tunnel.

Rendez ensuite le script exécutable :

chmod +x /etc/tunnel-noxel.sh

Puis exécutez-le :

bash /etc/tunnel-noxel.sh

Vérification du tunnel

Contrôlez que l'interface VXLAN a bien été créée :

ip link show Noxel_Tunnel

Vous devriez obtenir une sortie similaire à :

10: Noxel_Tunnel: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UNKNOWN mode DEFAULT group default

Vérifiez également que l'interface est bien attachée à votre bridge :

bridge link show

Une ligne contenant Noxel_Tunnel et vmbr10 doit apparaître.

Voici la section reformulée :

Étape 3 : Ouvrir le port VXLAN (Port Forwarding)

Pour que le tunnel VXLAN puisse s'établir, le port UDP utilisé (par défaut 4789) doit être accessible depuis l'extérieur. Si votre serveur se trouve derrière un routeur ou un pare-feu, vous devez configurer une règle de redirection de port.

Pourquoi est-ce nécessaire ?

Le protocole VXLAN encapsule les trames Ethernet dans des paquets UDP. Si votre pare-feu ou votre box Internet bloque ce port, le tunnel ne pourra pas s'établir.

Sur votre routeur / box Internet

1. Connectez-vous à l'interface d'administration de votre routeur (généralement 192.168.1.1 ou 192.168.1.254).
2. Rendez-vous dans la section NAT / Redirection de ports.
3. Créez une nouvelle règle avec les paramètres suivants :

1. Sauvegardez et appliquez la règle.

Note : VXLAN utilise uniquement UDP. Assurez-vous de bien sélectionner ce protocole, sans quoi la redirection sera inefficace.

Un problème lors de l'ouverture du port ? L'équipe support Noxel est disponible pour vous accompagner. N'hésitez pas à les contacter directement depuis votre espace client sur panel.noxel.fr.

Voici l'étape 4 :

---

Étape 4 : Rendre la configuration persistante

Le script configure le tunnel à chaud, mais il sera perdu au prochain redémarrage. Voici la méthodes pour l'automatiser.

Service systemd

Créez un fichier de service :

sudo nano /etc/systemd/system/tunnel-noxel.service

Ajoutez le contenu suivant :

[Unit]
Description=Tunnel VXLAN Noxel
After=network.target

[Service]
Type=oneshot
ExecStart=/bin/bash /etc/tunnel-noxel.sh
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target

Activez et démarrez le service :

sudo systemctl daemon-reload
sudo systemctl enable tunnel-noxel
sudo systemctl start tunnel-noxel

Vérifiez que le service tourne correctement :

sudo systemctl status tunnel-noxel

💡 Le tunnel est maintenant opérationnel. Vous pouvez rattacher vos machines virtuelles au bridge vmbr10 dans Proxmox pour qu'elles bénéficient automatiquement de la protection anti-DDoS Noxel.