Les rseaux des EPLEFPA

Guide PfSense
Chantier national DRTIC http://drtic.educagri.fr/ Mai 2010
Les rseau des !"L!#"$ % &uide "f'ense 2
Table des matires
1 Installation de la "f'ense....................................................................................................................................(
'ch)a de principe.............................................................................................................................................(
"rala*le.............................................................................................................................................................(
Installation..........................................................................................................................................................+
2 Configuration de la "f'ense................................................................................................................................,
( Mise en place du -". site/0/site......................................................................................................................1(
'ch)a de "rincipe...........................................................................................................................................1(
Installation de 'la1e/pf'ense............................................................................................................................1(
Configuration de 'la1e/pf'ense.......................................................................................................................1+
Mise en place du ser1eur I"'ec sur Master/pf'ense........................................................................................12
Mise en place du ser1eur I"'ec sur 'la1e/pf'ense..........................................................................................12
+ R3gles du #ire4all.............................................................................................................................................15
Trafic Internet...................................................................................................................................................15
Co))unication entre les interfaces..................................................................................................................16
R3gles du tunnel Ipsec......................................................................................................................................1,
7 Configuration des fonctionnalits de pro8......................................................................................................20
Installation des pac9ages :................................................................................................................................20
Configuration de s:uid.....................................................................................................................................21
Configuration de s:uid&uard...........................................................................................................................21
Mise en place d;$CL........................................................................................................................................22
2 $<out du -". : clients )o*iles =>pen-".?.....................................................................................................2(
'ch)a de l;architecture rseau )ise en @u1re...............................................................................................2(
Configuration de Master/pf'ense pour l;>pen -".........................................................................................2(
5 $nnee 1............................................................................................................................................................2+
Les rseau des !"L!#"$ % &uide "f'ense (
1 Installation de la PfSense
Schma de principe
$1ant toutA 1oici le sch)a gnral de l;installation )is en place pour cette docu)entation =*ien entenduA toutes
les adresses I" sont 0 adapter? :
Pralable
$1oir prpar le "C contenant 1A 2A ( ou + cartes rseau en fonction de la configuration choisie.
Il est rappel :ue les diffrentes interfaces dBun #ire4all ne doi1ent pas Ctre connectes au )C)e rseau
ph8si:ue ou alors uni:ue)ent sur des ports appartenant 0 des -L$. 602.1: diffrents.
.ous considrons gale)ent :ue 1otre conneion internet est de t8pe $D'L ou 'D'L et :uBelle se fait 0 lBaide
dBun Routeur !thernetA ce :ui est la )a<orit des cas dans les ta*lisse)ents.
Rele1eD :uel:ues para)3tres clefs co))e lBadresse I" pu*li:ue :ue 1ous alleD utiliser pour la carte E$. de
1otre "f'enseA ainsi :ue les I" :ue 1ous utilisereD pour 1os diffrentes interfaces locales.
Les rseau des !"L!#"$ % &uide "f'ense +
Installation
TlchargeD la dernire version stable dans la rubrique download du site PfSense
http://444.pfsense.org/
Le )irroir franFais :ui per)et de tlcharger la derni3re 1ersion de pf'ense :
http://pfsense.*ol2riD.co)/do4nloads/
&ra1eD l;i)age tlcharg sur un CD *oota*le
D*rancheD les cG*les rseau de 1otre futur fire4all pf'ense =ils seront re*ranchs plus tard?.
HooteD l;ordinateur a1ec le CD pf'ense.
-ous alleD ensuite a1oir lBcran de d)arrage de #reeH'D. -ous a1eD plusieurs choi possi*les.
-ous alleD choisir ici lBoption 1 =dfaut? :
$ppu8eD sur I n J au prochain cranA et faites !.TR!R.
Les rseau des !"L!#"$ % &uide "f'ense 7
!nsuite 1ient la configuration des interfaces rseau. ChoisisseD :uelle interface sera le L$. et lBautre le E$..
$ la :uestion I enter the Lan interface na)e or Ka; for auto/detection: JA tapeD I a J. .e faites pas I !ntrer J
pour le )o)entA )ais *rancheD 1otre cG*le rseau sur 1otre carte rseau destine au L$. =dans notre ee)ple :
lnc0?. !nsuiteA 1ous pou1eD faire I !ntrer J. #aites de )C)e pour la carte rseau :ui sera relie au E$. =dans
notre ee)ple lnc1? :
L la ligne sui1ante =>ptional interface? ne )etteD rien et appu8eD sur entrer.
-ous aureD ensuite un rcapitulatif de la configuration et de1reD la 1alider en tapant I 8 J.
#reeH'D se charge ensuite et nous entrons dans le )enu. .ous allons donc passer 0 lBinstallation sur le dis:ue
dur en tapant le choi M,,M :
Les rseau des !"L!#"$ % &uide "f'ense 2
.ous allons 1oir en dtail co))ent se dco)pose lBinstallation de pf'ense =le choi 0 faire est celui surlign en
*leu?

Le change)ent de confiiguration du cla1ier en franFais ne fonctionne pasA la )odification pourra Ctre faite
apr3s l;installation.
ChoisisseD le dis:ue dur sur le:uel 1ous souhaiteD installer 1otre pf'ense :
'i ncessaireA nous allons 1oir co))ent for)ater le dis:ue durA pour cela alleD sur I #or)at this Dis9 JA sinon
1ous pou1eD sauter lBtape en allant sur I '9ip this step J :
Ici alleD directe)ent 0 I Nse this geo)etr8 JA I #or)at ad0 JA puis I "artition Dis9 J :

Les rseau des !"L!#"$ % &uide "f'ense 5
-ous pou1eD ici soit garder la taille de la partition =par dfaut il utilisera tout le dis:ue dur?A ou *ien lui dfinir
une taille. $lleD ensuite sur I $ccept and Create JA I Oes partition ad0 JA puis >P:
'lectionneD la partition sur la:uelle installer pf'enseA faites >PA puis I $ccept and Create J pour ta*lir le
'4ap :

Les rseau des !"L!#"$ % &uide "f'ense 6
L;installation de pf'ense 1a co))encer :
.ous allons )aintenant crer le MH>>TM du dis:ue dur. Cela 1a per)ettre de d)arrer la )achine directe)ent
sur pf'ense.
#aites I $ccept and install Hoot*loc9s JA >P et I Nniprocessor 9ernel J :
$ la fin de l;installation de pf'enseA 1ous pou1eD retirer le CD et red)arrer la )achine en allant sur I re*oot J
Les rseau des !"L!#"$ % &uide "f'ense ,
2 Configuration de la PfSense
"f'ense est en )arche. .ous allons )aintenant passer 0 la configuration.
Dans ce chapitreA nous configurons 0 titre dBee)ple la )achine Master/pf'ense du sch)a de principe.
"our a1oir le cla1ier franFaisA taper 6? shell puis I 9*dcontrol %l fr.iso.9*d J
"our une configuration per)anenteA il faudra placer la ligne dans le ser1ice I shellc)d J :u;il est possi*le
d;a<outer 0 partir des pac9ages disponi*les.
!nsuiteA il faut changer lBI" sur la carte rseau L$. =rseau ad)in? de pf'ense. "our celaA dans le )enuA tapeD
le choi 2 =I 'et L$. I" address J?. !ntreD lBadresse I" correspondante 0 1otre L$. ainsi :ue le )as:ue =2+ en
gnral? :
$pr3s a1oir configur les cartes rseauA 1ous de1rieD a1oir une toile pr3s du no) des interfacesA indi:uant la
*onne conneion des cG*les rseau.
Les rseau des !"L!#"$ % &uide "f'ense 10
.ous allons pou1oir )aintenant configurer pf'ense 1ia lBinterface Ee*.
ConnecteD une )achine sur la carte rseau de pf'ense =cQt L$. : rseau ad)in?. >u1reD ensuite 1otre
na1igateur Ee*A puis entreD http://10.21.201.27+ =dans notre cas?.
!ntreD ensuite le login =par dfaut adminA )dp : pfsense?.
$u pre)ier cranA faites .!RTA tapeD ensuite le no) de la )achineA le do)aine et lBI" du D.'A !e)ple :
.o) : pfcnerta S Le no) dBhQte de 1otre s8st3)e
Do)aine : educagri.fr S -otre no) de do)aine
D.' : 212.25.7(.272 S Les adresses D.' gnrale)ent fournies par 1otre #$I
212.25.7+.272
#useau horaire : !urpoe/"aris S -otre fuseau horaire
!nsuiteA slectionneD 1otre fuseau horaire :
Les rseau des !"L!#"$ % &uide "f'ense 11
.ous allons )aintenant configurer l;interface E$.. 'lectionneD le I 'electedT8pe J I 'tatic JA l;adresse I" de
la carte E$. =en direction d;internet?
I" : 60.60.60.((
DcocheD les deu cases I *loc9T J tout en *as :
-rifieD ensuite la configuration de la carte L$. :ui doit Ctre correcte puis faire .!RT.
"our finirA )odifier 1otre )ot de passe pour l;acc3s 0 pf'enseA faites .!RTA puis R!L>$DA et relanceD ensuite
1otre na1igateur :
Les rseau des !"L!#"$ % &uide "f'ense 12
Nne fois l;interface graphi:ue de pf'ense chargeA *rancheD ph8si:ue)ent 1otre carte rseau relie au rseau
"edago.
$lleD 0 l;onglet I Interfaces JA puis I assign JA et cli:ueD sur la case I U J 0 droite.
'lectionneD la carte rseau correspondant 0 la nou1elle interface >"T1 et pour finirA cli:ueD sur I 'a1e J.
!nsuite retourneD sur l;onglet I Interface JA puis I >"T1 JA et configureD l;interface :
Il est possi*le de la )C)e )ani3re d;a<outer d;autres interfaces pour des rseau suppl)entaires co))e une
Done 4ifiA une Done DMVA une Done T
Les rseau des !"L!#"$ % &uide "f'ense 1(
3 Mise en place du VPN site--site
Schma de Principe
-oici le sch)a du rseau :ue nous allons configurer :
Installation de Slave-pfSense
.ous 1enons de raliser au chapitre prcdent lBinstallation du #ire4all Master/pf'ense.
"our l;installation de 'la1e/pf'enseA le principe est le )C)e.
RepreneD les tapes dcrites au chapitre 1 traitant de l;installation.
Les rseau des !"L!#"$ % &uide "f'ense 1+
Configuration de Slave-pfSense
.ous passons ensuite directe)ent 0 la configuration :
ConnecteD une )achine sur la carte rseau de pf'ense =cQt L$. : rseau $d)in?.
!ntreD http://10.21.20(.27+ =dans notre cas? dans 1otre na1igateur Ee*.
!ntreD ensuite le login =par dfaut adminA )dp : pfsense?.
$u pre)ier cranA faites .!RT.
TapeD ici le no) de la )achineA le do)aine et lBI" du D.':
Les rseau des !"L!#"$ % &uide "f'ense 17
#aites de )C)e pour les configurations des cartes E$.A L$. =elle doit Ctre nor)ale)ent *ien configure? et
"edagoA en l;adaptant selon le para)trage de 1otre rseau :
Les rseau des !"L!#"$ % &uide "f'ense 12
Mise en place du serveur IPSec sur Master-pfSense
$lleD dans l;onglet -". W I"'ec X Tunnels
Cli:ueD sur la case I U J pour crer un nou1eau ser1eur I"'ec en )ode Tunnel.
Re)plisseD les cha)ps gnrau sui1ants =tou<ours en adaptant a1ec 1os adresses I"? :
Interface : E$..
Local su*net : L$. su*net =sous rseau L$. de Master/pf'ense?.
Re)ote su*net : 10.21.20(.0/2+ =sous rseau L$. de 'la1e/pf'ense?.
Re)ote gate4a8 : 6.60.61.(( =YI" E$. 'la1e/pf'ense?.
Description : Ici 1otre descriptionA par ee)ple Tunnel Master/'la1e pf'ense.
.egociation )ode : agressi1e.
M8 identifier : M8 I" address.
!ncr8ption algorith) : (D!'.
Zash $lgorith) : 'Z$1.
DZ Pe8 &roup : 2.
Lifeti)e : 26600.
"re/'hared Pe8 : [1otre cl partage\ =utiliseD par ee)ple une cl co))e I"'ecYpf'ense?.
"rotocol : !'" =une r3gle #ire4all sera cre pour autoriser en entre !'"?.
!ncr8ption algorith)s : (D!' =dcocheD les autres possi*ilits?.
Zash algorith)s : 'Z$1.
"#' 9e8 group : 2.
Lifeti)e : 62+00.
$uto)aticall8 ping host
Mise en place du serveur IPSec sur Slave-pfSense
La configuration du ser1eur I"sec de 'la1e/pf'ense est si)ilaire 0 celle de Master/pf'ense.
RpteD les tapes nonces prcde))ent en changeant *ien s]r les para)3tres sui1ants :
Re)ote su*net : 10.21.201.0 /2+ =sous rseau L$. de Master/pf'ense?.
Re)ote gate4a8 : 60.60.60.(( =YI" E$. Master/pf'ense?.
M8 identifier : M8 I" address.
$pr3s la configuration du tunnelA la co))ande I 'tatus : Ipsec J per)et de 1rifier :ue la configuration est
correcte.
L;onglet I '$D J per)et de 1rifier le *on fonctionne)ent du tunnel apr3s a1oir tent un ping sur une )achine
du rseau distant.
Les rseau des !"L!#"$ % &uide "f'ense 15
! "gles du #ire$all
La logi:ue de fonctionne)ent du pare/feu peut diffrer sui1ant les o*<ectifs de l;ad)inistrateur rseau de
l;ta*lisse)ent. Dans le cas o^ la si)plicit de )ise en place est rechercheA il est possi*le d;autoriser tous les
ports en sortie pour les protocoles TC" et ND" pour la na1igation 1ers Internet. "our un fonctionne)ent plus
s]r et )ieu )aitrisA seuls les ports ncessaires seront ou1erts. Il sera alors ncessaire de faire l;in1entaire
ehaustif de tous les ser1ices ncessairesA ce :ui reprsente un tra1ail i)portant.
Les r3gles per)ettent de )ettre en place les diffrents ser1ices autoriss sur cha:ue interface.
Il est possi*le d;autoriser tout le trafic en sortie dans le cas o^ les contraintes d;ou1erture de ports
La logi:ue de cration consiste 0 les crer sur l;interface :ui reprsente la source du traffic. "ar ee)ple pour la
na1igation sur internet d;un poste du L$. sur le port 60A le trafic part du poste puis passe par l;interface L$.
a1ant de sortir par l;interface Ean. La r3gle per)ettant ce ser1ice sera crite sur l;interface L$..
"our crer une r3gleA il suffit de cli:uer sur #ire4all /W RulesA puis sur l;onglet 1oulu par ee)ple L$..
Trafic Internet
"our na1iguer sur InternetA il faudra crer les r3gles de *ase pour les ports 7( =D.'?A 60 =http?A ++( =ZTT"'?A
21 =#T"?. Le protocole ICM" per)ettra d;utiliser la co))ande I "ing J pour des tests de certaines adresses I".
"ar la suiteA il sera certaine)ent ncessaire d;a<outer des ports correspondants au autres ser1ices ncessaires
= ser1eur de )essagerieA #irstClassA .ociaA T.?. Ce point sera a*ord dans un docu)ent annee indpendantA le
tra1ail de configuration des ports n;est pas spcifi:ue 0 "fsense.
$pr3s a1oir dclar les ports ou1erts pour la Done ad)in =L$.?A il sera ncessaire de faire la )C)e chose pour
la Done "!D$&> =>"T1? en )odifiant la liste des ports pour l;adapter au ncessits de la Done pdagogi:ue.
L;acc3s au ser1eurs de )essagerieA 0 #irsClassA 0 nocia ne sera peut/Ctre pas ncessaire alors :ue l;acc3s 0
M'. pourra l;Ctre.
Les rseau des !"L!#"$ % &uide "f'ense 16
"our autoriser l;acc3s depuis l;etrieurA il est ncessaire de )entionner les ports 0 ou1rir sui1ant les ser1ices
concerns. $insiA l;acc3s depuis des clients no)ades >pen-pnA le port 11,+ de1ra Ctre ou1ert pour l;interface
E$. 1ers le rseau $d)in.
Communication entre les interfaces
'ui1ant la configuration de l;ta*lisse)entA il sera peut/Ctre ncessaire d;autoriser des liaisons entre les rseau.
"ar ee)pleA l;acc3s au partages de fichier ou d;i)pri)antes peut/Ctre ta*li de la Done I $d)in J 1ers la
Done I "!D$&> J.
Les rseau des !"L!#"$ % &uide "f'ense 1,
Rgles du tunnel Ipsec
"our une utilisation couranteA les ser1ices T'! =((6, M' RD"? et partage de fichiers =++7M' D'? sont
ncessaires pour accder au ser1eurs L&$ du site principal. L;acc3s au ping =ICM" echo? est gale)ent une
*onne prcaution en cas de doute sur l;acc3s. "our autoriser ces ser1icesA il est ncessaire de les )entionner au
ni1eau de l;interface L$. de la 'la1e "fsense =interface source du trafic?.
$u ni1eau de l;interface Ipsec de la Master "fsense ils seront gale)ent ncessaires. "our des raisons de
scuritA il est prfra*le de n;autoriser :ue ce :ui est stricte)ent ncessaireA donc ces ser1ices seront
configurs des adresses de l;interface L$. 1ers l;adresse du ser1eur de traite)ent. Il peut Ctre ncessaire
dtendre les autorisations 1ers le ser1eur de donnes si des postes du site distant ont *esoin d;accder au
donnes en utilisant le dri1er >DHC.
"orts ou1erts sur la Done L$. de la 'la1e "fsense :
"orts ou1erts sur la Done I"'!C de la Master "fsense :
"our autoriser des acc3s de la Done L$. du site principal 1ers le site distantA il sera ncessaire d;a<outer des
ports dans la Done L$. de la Master pfsense et dans la Done I"'!C de la 'la1e "fsense. Ce sens de
co))unication est asseD rare)ent utilisA il est donc prfra*le de ne le configurer :u;en cas de ncessit.
Les rseau des !"L!#"$ % &uide "f'ense 20
% Configuration des fonctionnalit&s de pro'(
"our pou1oir utiliser les fonctionnalits de pro8A il faut a<outer les pac9ages I s:uid J et I s:uidgard J puis
configurer les *lac9listA les diffrentes restrictions et 1entuelle)ent des r3gles d;acc3s suppl)entaires =$CL?
Installation des packages
Cli:uer sur le signe U pour a<outer le pac9age ':uid
Installer ensuite ':uidguard de la )C)e faFon
$pr3s l;installation l;onglet Installed"ac9ages per)et de 1rifier :ue les deu )odules sont *ien installs.
Les rseau des !"L!#"$ % &uide "f'ense 21
Configuration de s!uid
Cli:uer sur 'er1ices S "ro8 ser1er.
Dans l;onglet &nralA configurer les options sui1antes :
"ro8 interface : "!D$&> =dans notre cas?. Pour slectionner plusieurs interfaces utiliser la touche control
$llo4 user on interface : 1alider.
Transparent pro8 : 1alider.
Log store director8 : /1ar/log : dossier contenant d3<0 les autres logs.
"ro8 port : (126 : port classi:ue pour pro8.
Language : #rench
Cli:uer ensuite sur 'a1e pour enregistrer la configuration.
$u ni1eau de l;onglet $ccess control /W Hlac9listA il est possi*le d;indi:uer des sites en co)pl)ent des
Hlac9list de s:uid&uard.
Configuration de s!uid"uard
Cli:uer sur 'er1ices S "ro8 filter.
!na*le : 1alider.
Hlac9list : 1alider.
Hlac9list url : http://444.shallalist.de/Do4nloads/shallalist.tar.gD
Actuellement, les listes de luniversit de oulouse ne fonctionnent pas correctement avec la pfSense!
Cli:uer ensuite sur sau1egarder puis sur Npload url pour charger la *lac9list.
Les rseau des !"L!#"$ % &uide "f'ense 22
La liste co))ence 0 se chargerA le )essage dispara_t lors:ue le tlcharge)ent est ter)in.
Il faut ensuite cli:uer sur l;onglet I Default J puis sur le triangle 1ert pour afficher la *lac9list.
'ur cha:ue l)ent :ue 1ous souhaiteD autoriserA choisisseD allo4A et den8 pour ceu :ue 1ous 1ouleD interdire
.ot to allo4 I" addresses in NRL : cocher si 1ous souhaiteD interdire les adresses I" tapes directe)ent
dans l;NRL.
Redirect )ode : laisser l;option par dfaut int error page
Redirect info : entrer un )essage d;erreur personnalisA par ee)ple I $cc3s interditA contacter 1otre
ad)inistrateur J
!na*le log : cocher la case pour enregistrer l;acti1it du ser1ice
Cli:uer enfin sur 'a1e pour enregistrer la configuration. $ noter :u;il faut gale)ent cli:uer sur $ppl8
au ni1eau de l;onglet &eneral settings pour )ettre en @u1re les options para)tres .
Mise en place d#$C%
Nne $CL =$ccess Control List? per)et de dfinir des r3gles d;acc3s pour certaines adresses I".
'lectionner 'er1ices /W "ro8 filter /W $CL puis cli:uer sur U.
.a)e : donner un no) 0 1otre $CL.
'ource I" adresses and do)ains : !ntrer une plage d;adresses I" e 10.21.201.120/10.21.201.170
Destination : cli:uer sur le triangle 1ert et slectionner les do)aines 0 *lo:uer.
Les rseau des !"L!#"$ % &uide "f'ense 2(
) *+out du VPN , clients mobiles -.penVPN/
Schma de l#architecture rseau mise en &uvre
Configuration de Master-pfSense pour l#'pen (P)
La suite de la configuration du ser1eur et des ses clients est dtaille dans le guide I Les rseau des !"L!#"$
/ Clients >pen-". J au chapitre traitant de la pfsense.
Les rseau des !"L!#"$ % &uide "f'ense 2+
0 *nne'e 1
'ch)a 1ierge :
Les rseau des !"L!#"$ % &uide "f'ense 27