Tutorial Pfsense

LAGARDE Yannick
Licence R&T Mont de Marsan

option ASUR
yannicklagarde@hotmail.com
Centre Hospitalier d'Arcachon
5 alle de l'Hpital - BP40140
33164 La Teste de Buch CEDEX
Tel +33 05 57 52 90 00
Fax +33 05 57 52 90 20

pfSense
Manuel dInstallation et dUtilisation du Logiciel

CH-ARCACHON pfSense

Manuel dInstallation et dUtilisation du logiciel 1
TABLE DES MATIERES

1. CONFIGURATION MATERIELLE : ....................................................................................... 2

1.1. MINIMALE : ............................................................................................................................ 2

1.2. ACTUELLE : ............................................................................................................................ 2

2. SCHEMA DU RESEAU : ............................................................................................................ 2

3. INSTALLATION DE PFSENSE : .............................................................................................. 3

4. CONFIGURATION DE PFSENSE : ........................................................................................ 11

4.1. PREPARATION DE LA CONFIGURATION : ............................................................................... 11

4.2. MISE EN PLACE DE LA CONFIGURATION DE PFSENSE : ......................................................... 13

4.2.1. System : ....................................................................................................................... 13

4.2.2. Interfaces :................................................................................................................... 14

4.2.3. Firewall : ..................................................................................................................... 15

4.2.4. Services : ..................................................................................................................... 17

4.2.5. VPN : ........................................................................................................................... 18

4.2.6. Status : ......................................................................................................................... 18

4.2.7. Diagnostics : ............................................................................................................... 18

CH-ARCACHON pfSense

1. Configuration matrielle :
1.1. Minimale :
CPU : 133 Mhz mais 400 Mhz est recommand.
Mmoire : 128 Mb.
Disque Dur : 1 Gb.
Cartes rseaux : 2 ou plus suivant le rseau voulu.
1.2. Actuelle :
Ordinateur Dell Optiplex GX 270.
CPU : 2 GHz.
Mmoire : 256 Mb.
Disque Dur : 10 Gb.
Cartes rseaux : 3 cartes en 100baseTX.
2. Schma du rseau :

Schma rseau 1

Configuration de pfSense :
LAN : 193.56.2.224
WAN : 192.168.1.1
OPT1 : 192.168.2.1

Passerelle WAN (adresse du Routeur 1) : 192.168.1.254
Passerelle OPT1 (adresse du Routeur 2) : 192.168.2.254
CH-ARCACHON pfSense

3. Installation de pfSense :
Tlchargez limage de pfSense dans la section Download de pfSense (http://www.pfsense.com)

Dmarrez votre ordinateur partir du cd de limage de pfSense ; linstallation va alors commencer.

Laissez alors le compte rebours se terminer (10 secondes) ou appuyez directement sur Entre . Le
dmarrage par dfaut est choisit.

Ensuite vient la configuration des interfaces rseaux.

FreeBSD dtecte le nombre de cartes rseaux, et y attribue des noms (le0, le1, le2 dans notre cas).

Les VLAN ne seront pas utiliss.

CH-ARCACHON pfSense

Nous allons prsent choisir quelle interface appartient au LAN, au WAN, et au WAN2 (appele
aussi OPT1). Il suffit alors de renseigner son nom.
Pour connatre avec certitude la carte rseau que lon affecte, il est possible de faire de lauto
dtection, cest dire que lorsquune carte rseau est branche, elle devient UP .

Une fois les interfaces assignes, nous arrivons enfin au menu.

CH-ARCACHON pfSense

Ladresse par dfaut du LAN est 192.168.1.1. Nous allons la modifier en 193.56.2.224 pour que
pfSense soit sur le mme rseau. Saisir loption 2 .

Nous voil de nouveau au menu. Nous allons prsent installer rellement pfSense sur le disque dur.
Saisir alors le choix 99 .

L'installation qui va suivre se fait en acceptant toutes les options par dfaut. Il suffit d'accepter toutes
les demandes (formatage si ncessaire et cration de la partition).

On choisit dinstaller pfSense.
CH-ARCACHON pfSense


On slectionne le disque dur dans lequel sera install pfSense.

Si ncessaire, slectionnez loption Format this Disk . Cest cela dit plus prudent de formater le
disque dur mme sil est cens tre vide.

Ici on peut modifier la gomtrie du disque dur. Cette tape n'est en principe pas ncessaire. En effet,
FreeBSD reconnat quasiment tous les disques durs existants. A ne changer donc uniquement si le
disque est trop rcent et donc pas reconnu.

CH-ARCACHON pfSense


Confirmez le formatage du disque dur.

Nous allons maintenant crer les partitions sur le disque dur. Nous pouvons crer autant de partitions
que nous le souhaitons dans le cas o plusieurs systmes d'exploitations seraient mis en place.

Vous pouvez ici soit garder la taille de la partition (par dfaut il utilisera tout le disque dur) ou lui
dfinir une taille.

CH-ARCACHON pfSense


Confirmez la cration de la partition.

Slectionnez prsent la partition o vous allez installer pfSense.

Ce message averti seulement que les donnes existantes sur la partition vont tre crases.

CH-ARCACHON pfSense


Sur tout systme Linux, il existe une partition swap (partition dchange). Cest un espace rserv
pour rajouter de la mmoire. La taille de la partition swap dpend gnralement de la RAM
prsente sur lordinateur.

Slectionnez le type du kernel (noyau) installer.

Nous allons maintenant crer le boot du disque dur. Cela va permettre de dmarrer la machine
directement sur pfSense.

CH-ARCACHON pfSense


Si pfSense s'est install correctement, vous pouvez retirer le cd et redmarrer la machine en allant sur
reboot .
CH-ARCACHON pfSense

4. Configuration de pfSense :
PfSense est dsormais disponible ladresse du LAN : http://193.56.2.224
login : admin ; mdp : pfsense (par dfaut)

Cest partir de cette adresse que toutes les manipulations vont se drouler.
4.1. Prparation de la configuration :
Lors de la connexion ladresse de pfSense, une aide la configuration apparat. Elle permet de
configurer la base de pfSense. Il est conseill de lutiliser mme si par la suite les informations
renseignes peuvent tre changes.

Dans notre cas, nous renseignons les DNS primaires des deux connexions.

Ce logiciel utilise le protocole NTP (Network Time Protocol) qui permet de synchroniser les horloges
des systmes informatiques travers un rseau dont la latence est variable.
CH-ARCACHON pfSense


Ceci correspond la configuration de linterface WAN. Pour tre sr dutiliser la bonne carte rseau, il
est conseill dy rentrer son adresse MAC. Il ne faut galement pas oublier de dcocher la case
Block private networks from entering via WAN .

Ensuite, en ce qui concerne linterface LAN, il faut simplement sassurer de la bonne adresse et du bon
masque de sous-rseau.

Enfin, le mot de passe daccs linterface graphique de pfSense est modifier. Cela permettra de
restreindre laccs cette interface qui doit tre confidentielle.
CH-ARCACHON pfSense


Nous voil enfin sur la page par dfaut dadministration de pfSense.
4.2. Mise en place de la configuration de pfSense :
4.2.1. System :
Advanced :

Cette section reprsente les options avances de pfSense comme laccs SSH, les cls SSL, etc. Pour
la ralisation du projet, les sticky connections (connexions persistantes) ont t acceptes.

Cette option permet dviter la rengociation inutile des cls SSL pour le protocole HTTPS.

Firmware :

Cela permet de mettre jour pfSense.

General Setup :

Ce sont les configurations de base de pfSense rentres lors du guide dinstallation. Il faut vrifier que
Allow DNS server list to be overridden by DHCP/PPP on WAN est bien dcoch.

CH-ARCACHON pfSense


Packages :

Il est possible dinstaller de nouveaux paquets tels que MRTG (interface graphique SNMP), Squid
(serveur mandataire), etc.

Setup Wizard :

Le Setup Wizard est le guide rencontr au dbut de linstallation de pfSense. Il est possible de le
refaire.

Static Route :

Les routes statiques sont importantes lorsquune adresse rseau nest pas vue par la passerelle.

Linterface WAN est notre interface par dfaut. OPT1 nest pas forcment utilise et va pointer vers
linterface WAN (ce quon ne veut pas). Il est alors judicieux dajouter une route statique pour le
DNS.
4.2.2. Interfaces :
(assign) :

Il est possible de modifier lattribution dune interface une carte rseau laide de ladresse MAC.
Les VLANs peuvent galement y tre grs.

WAN :

Cette interface a t configure lors du guide dinstallation de pfSense.

LAN :

Celle-ci a galement t configure dans le guide dinstallation de pfSense.

CH-ARCACHON pfSense

OPT1 :

Cette interface correspond notre liaison de secours. Elle porte le nom de Optional 1 (OPT1). Sa
configuration est proche de celle de linterface WAN.

4.2.3. Firewall :
Aliases :

Les alias permettent principalement dassocier un nom une adresse dhte, un port, ou un rseau. Un
nom peut comprendre plusieurs lments, ce qui facilite et simplifie les rgles appliquer aux htes
spcifis.

NAT :

Le NAT (Network Address Translation) permet notamment de faire correspondre une seule adresse
externe publique visible sur Internet toutes les adresses dun rseau priv.
Dans notre cas, le NAT sera utilis pour les deux connexions Internet.

CH-ARCACHON pfSense

Rules :

Rgle par dfaut : Tout est bloqu. Elle nest pas explicitement crite mais est applique.

LAN :

La passerelle FailOver correspond au changement de connexion en cas de crash (vu dans la partie
Services ).

WAN :

OPT1 :

Schedules :

Schedule (planifier) correspond un intervale de temps dans le mois ou dans la journe. Ces
planifications sont attribuer des rgles de Firewall. Ces rgles sont alors actives en fonction dune
plage dhoraire prcise. Par exemple, laccs Internet ne sera autoris que de 9h 19h.

Traffic Shaper :

Le Traffic Shaping permet de contrler lutilisation de la bande passante. On peut par exemple limiter
la bande passante dun hte ou dun port. Cependant, le Traffic Shaping ne peut tre ralis quavec
une seule interface Internet et non deux comme dans notre cas. Nous ne pourrons donc pas lutiliser
correctement. On peut toutefois lactiver sur une des deux interfaces.

CH-ARCACHON pfSense

Virtual I Ps :

Il est possible dassigner des adresses IP virtuelles. Ceci permet davoir un hte avec plusieurs
adresses IP.
Dans cette partie, on peut aussi configurer le CARP (Common Address Redundancy Protocol).
L'objectif premier de ce protocole est de permettre un groupe d'htes sur un mme segment rseau de
partager une adresse IP.
Lutilisation principale de CARP est la cration d'un groupe de pare-feu redondants. L'adresse IP
virtuelle attribue au groupe de redondance est dsigne comme l'adresse du routeur par dfaut sur les
machines clientes. Dans le cas o le pare-feu matre rencontrerait une panne ou est dconnect du
rseau, l'adresse IP virtuelle sera prise par un des pare-feu esclaves et le service continuera tre rendu
sans interruption.
4.2.4. Services :
Plusieurs services peuvent tre grs par pfSense. Ils peuvent tre arrts ou activs depuis cette
interface.

Voici la liste des services :
- Captive Portal (portail captif)
- DNS Forwarder (transporte les DNS)
- DHCP relay (agent relais DHCP)
- DHCP server (serveur DHCP)
- Dynamic DNS (permet de rendre statique un DNS dynamique grce un nom)
- Load Balancer (rpartition de charges)
- OLSR (protocole de routage)
- PPPoE server (permet de bnficier des avantages de PPP sur Ethernet)
- RIP (protocole de routage)
- SNMP (grer des quipements rseaux distance)
- UpnP (facilite la mise en rseau)
- OpenNTPD (gestion de lhorloge)
- Wake on LAN (permet un ordinateur teint dtre dmarr distance)

Nous ne nous intresserons quau service Load Balancer. Cest celui-ci qui nous permettra de
configurer le FailOver et donc la redondance des connexions Internet.

Le principe du FailOver est dutiliser le protocole ICMP afin de pinguer une passerelle (le DNS
tant lidal pour savoir si une connexion Internet fonctionne ou non). Notre passerelle principale est
Internet1 (WAN) et la passerelle de secours correspond Internet2 (OPT1). Si le ping vers la
passerelle du WAN ne fonctionne plus, la connexion est alors dirige vers OPT1. Puis lorsque la
passerelle WAN redevient active, la connexion est ramene sa passerelle par dfaut (WAN). Pour
utiliser correctement cette fonctionnalit, il nous faut crer le pool dadresses ci-aprs.

CH-ARCACHON pfSense

4.2.5. VPN :
Plusieurs catgories de VPN sont supportes par pfSense.

Le VPN IPSec peut tre utilis en mode transport (hte rseau ou hte hte) ou en mode tunnel
(rseau rseau). Il sait grer le protocole AH (Authentification) et ESP (Cryptage). Il gre galement
les autorits de certification.

Le VPN OpenVPN gre les serveurs et les clients VPN. Il gre galement les autorits de certification.

Le VPN PPTP gre aussi les serveurs et les clients. Il prend en compte un serveur RADIUS pour
lauthentification. Du ct client, un simple login/mot de passe est renseigner.
4.2.6. Status :
Longlet Status permet de voir ltat de pfSense. Nous pouvons par exemple vrifier si les interfaces
sont actives, leurs adresses, etc.
Cela dit, quelques status sont plus importants que dautres : Interfaces pour voir ltat des
connexions ; Load Balancer pour vrifier si le FailOver fonctionne ; Services pour arrter ou lancer
un service ; System qui est la page daccueil et nous permet de voir ltat du systme ; et pour finir, le
plus important : System Logs qui sont les logs de tous les services.
4.2.7. Diagnostics :
Ceci correspond quelques fonctionnalits supplmentaires servant rendre quasi-complte
ladministration du serveur distance. Nous pouvons donc arrter ou redmarrer pfSense, visualiser la
table de routage, effectuer un ping , modifier des fichiers, revenir une installation de pfSense
neuve, etc.

Tutorial Pfsense

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Tutorial Pfsense

Transféré par

Droits d'auteur :

Formats disponibles

LAGARDE Yannick

Licence R&T Mont de Marsan

Vous aimerez peut-être aussi