Guide MenOeuvre PfSenseV2

Guide de mise en uvre de pfSense v2
(dans un cadre de dploiement spcifique)

Ce document a t rdig dans le cadre du dploiement de serveurs pfSense dans les rseaux de
lyces et CFA de lenseignement agricole intgrs une architecture rgionale commune aux systmes
ducatifs afin de rpondre des usages spcifiques.
Merci Grgory Bernard de la socit ToDoo qui nous a assist.
Avant-propos
Les choix techniques, dont la mise en uvre est dtaille dans ce document, sont le rsultat d'une politique
rgionale propre au rseau des lyces et CFA de l'enseignement agricole. Ces choix ne conviennent pas
ncessairement tout le monde et les copier dans un autre contexte n'aurait pas de sens sans analyse
pralable. Il en est de mme pour la pertinence dployer plusieurs modules et fonctionnalits sur pfSense
lui-mme.
Ce document se veut le plus transfrable possible dun site lautre : on parlera indiffremment de LAN ou
VLAN, avec le terme (V)LAN, pour ne pas prjuger de la technologie utilise pour les sous-rseaux de
l'tablissement. On considre ici que les interfaces Ethernet du serveur support de l'application pfSense sont
brasses physiquement sur des (V)LAN diffrents (quand bien mme elles supportent la norme 802.1q, elles
n'appartiennent pas plus d'un (V)LAN la fois).
En annexe 1 vous trouverez un extrait du dossier de montage du projet de dploiement des serveurs dits
pfSense en Lorraine avec notamment une description de l'architecture rseau pour modliser les liens et
visualiser les flux.
L'utilisation des serveurs applicatifs des serveurs pfSense ne se substitue pas celle des serveurs
mandataires dj en place dans l'architecture rgionale. L'utilisation de ces serveurs rpond la mise en
place de services spcifiques l'enseignement agricole (voir annexe 1).
Guide installation pfSenseInstall-PfSense-V2-GP-v13-02-07.odt - 06/03/12
D'une manire gnrale, nous appliquons le principe suivant :

sur les postes des (V)LANs ADMIN ou PEDA , les rles de passerelle et serveur mandataire sont assurs par un autre serveur
mandataire,
les flux associs aux services spcifiques pour l'interconnexion des SI de l'EA seront routs et grs par le serveur pfSense (route
persistante crire en dur sur les postes ou via serveur dhcp en option tendue 033).
Au pralable de linstallation
Avant de se lancer dans li nstallation, certains lments du projet doivent tre bien prpars, comme la
configuration matrielle ncessaire et les services mettre en uvre par l'application. La connaissance de
l'architecture cible est elle aussi primordiale. Des documents ressources sont disponibles ; certains ont servi
la rdaction de ce guide. Des rappels et recommandations sont incontournables. Enfin, il faut disposer de la
dernire version stable de pfSense et s'assurer de la compatibilit matrielle du serveur avec la distribution
FreeBSD (en particulier de celle des cartes rseaux).
Services
Les optiques dutilisation de pfSense sont nativement les suivantes :

Pare-feu filtrant entre lInternet et les (V)LAN d'une part, avec gestion de QoS, et, d'autre part, entre les (V)LAN
Routeur (V)LAN ou WAN, avec gestion de la norme 802.1Q
Point daccs avec portail captif
Usages spcifiques : serveur mandataire, Serveur VPN, DNS, DHCP, snifer, NDIS, etc.
Architecture et adressage
Il est ncessaire de connatre parfaitement la topologie de son rseau :

larchitecture dans laquelle sintgre le serveur support de pfSense,

ladressage des (V)LAN auxquels il sera brass,
l'adresse IP publique (adresse IP WAN) du serveur.
Documentation et aide
Sites de rfrence
o le forum franais pour pfSense : http://forum.pfSense.org/index.php?board=7.0
o le site de OSNET : http://www.osnet.eu (en franais)
o
o
o
o
Le site officiel PfSense : http://www.pfsense.org/

Les tutoriels officiels : http://doc.pfsense.org/index.php/Tutorials
Le Wiki de la PfSense : http://doc.pfsense.org/
Les forums PfSense : http://forum.pfsense.org/
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Rappels et recommandations
Les diffrentes interfaces d'un Firewall ne doivent pas tre connectes au mme rseau physique (ou alors, si
les interfaces rseaux du serveur grent la norme 802.1q, uniquement sur des ports Ethernet appartenant
des VLAN 802.1q diffrents ; mais ce n'est pas notre cas).
La connexion internet est de type ADSL, SDSL ou FIBRE : elle se fait l'aide d'un routeur (routeur e-lorraine).
Les serveurs applicatifs pfSense ont leur interface WAN relie ce routeur : cette interface se retrouve donc
directement sur Internet ; elle a une adresse IP WAN publique.
Une analyse pralable du contexte de mise en uvre est indispensable, notamment en termes de PSSI1 .
Application pfSense et compatibilit

Les diffrentes versions de l'application pfSense sont tlchargeables dans la rubrique download du site
http://www.pfSense.org/
ainsi
que
sur
le
site
miroir
franais
l'adresse
http://pfSense.bol2riz.com/downloads/
Vous trouverez des lments indicatifs sur la compatibilit l'adresse : http://www.pfsense.org/index.php?
view&id=46&Itemid=51.
1 Politique de scurit des systmes d'information.

Schma de
principe
Installation
Brassage des ports RJ45 pour identification des interfaces
Afin d'activer les interfaces rseau et faciliter leur identification, il est indispensable de brasser tous les ports
rseau qui vont tre utiliss en les reliant par exemple des switches . Sinon, vous devez connatre les
noms des interfaces de votre serveur sous FreeBSD (vous trouverez en annexe 7 des indications pour
identifier les interfaces sur votre serveur).
Boot et lancement de l'installation

Insrez le CD et boutez dessus.
A l'cran de bienvenue, tapez 1 pour choisir le boot
pfSense ou laissez dmarrer avec l'option par dfaut.
Welcome to pfSense !
1. Boot pfSense [default]
2. Boot pfSense with ACPI disable
[...]
8. Reboot
Select option, [Enter] for default
or [Space] to pause timer 10
Pour lancer l'installation pressez I l'invite.
[ Press R to enter recovery mode or ]

[
press I to launch the installer
(R) ecovery
(I) nstaller...
(C) continues ...
Paramtrage de la console
Vous tes invits configurer la console.
Arriv l'cran ci-contre ne cherchez pas configurer le clavier ,
le rsultat est ngatif ; si vous souhaitez le faire il faudra suivre
les instructions que vous trouverez sur l'Internet, mais aprs
l'installation et en mode console.
Acceptez les choix en descendant sur < Accepte these Settings > puis en validant.
Type d'installation
Optez pour une installation facile puis confirmez l'cran
suivant.
Le choix suivant se
porte sur le type de
processeur : laissez le
choix par dfaut puis
validez.
Rebootez lorsque vous y tes invit.
Configuration des interfaces rseau

Identification des interfaces
Aprs avoir choisi le boot pfSense par dfaut, soyez trs attentif toutes les informations qui dfilent au
dmarrage, en particulier la liste des interfaces rseau. Les informations les concernant sont affiches
dans une couleur diffrente du reste du texte aprs la ligne Network interface mismatch Running interface
assignment option. , suivi d'une liste des interfaces valides avec adresse MAC et contrleurs.
Network interface mismatch Running interface assignment option.
em0 : link state changed tu UP
em1 : link state changed tu UP
igb0 : link state changed tu UP
En annexe 1 vous trouverez les donnes propres notre dploiement.
Pas de mise en place de VLAN

On ne configure pas de VLAN : rpondez par la ngative la question (rappel : chaque interface de pfSense
est connect un (V)LAN distinct ; mais si besoin, vous pourrez le faire plus tard via l'interface web de
configuration).
Do you want to set up VLANs now [yn] ? n
Assignation des interfaces

Vous tes invit maintenant affecter les interfaces de pfSense aux diffrents sous-rseaux de
l'tablissement : WAN, LAN, OPT1, OPT2... OPTn o n reprsente n interfaces rseaux disponibles ou que vous
souhaitez utiliser, autres que WAN et LAN. Sachez que, pour le moment, il importe seulement de configurer
l'interface nomme LAN (rseau natif utilis pour la prise en main de l'application via l'interface web) : les
autres interfaces pourront tre configures plus tard via l'interface web.
L'identification des interfaces opre prcdemment va nous servir ici : charge vous de savoir quelle
interface (quel port Ethernet physique) brasser sur quel (V)LAN.
L'application pfSense nomme WAN le (sous-)rseau donnant l'accs l'Internet, LAN le sous-rseau natif qui
correspond dans la plupart des cas au (V)LAN administratif (interface que l'on nommera ADMIN) et OPT1
OPTn les autres (V)LANs (PEDA, INVITE, etc.).
La liste des interfaces configurer complte (em0, em1, igb0, igb1, igb2 et igb3), validez la prochaine
invitation pour arrter le processus d'assignation.
Enter the WAN interface name or 'a' for auto-detection : em0
Enter the LAN interface name or 'a' for auto-detection : em1
Enter the OPT1 interface name or 'a' for auto-detection : igb0
Enter the OPT2 interface name or 'a' for auto-detection : [Enter]
Un rcapitulatif de cette premire tape de configuration vous sera propos et vous serez invit confirmer
pour poursuivre l'installation.
The interfaces will be assigned as follows:
WAN em0
LAN em1
OPT1 igb0
OPT1 igb1
OPT1 igb2
OPT1 igb3
Do you want to proceed [yn] ? y
Configuration en ligne de commande de l'adressage des premires interfaces
Entrez 2 pour lancer la

configuration IP d'une
interface.
Puis choisissez le numro de l'interface

configurer et rpondez aux questions pour
la configurer : adresse IP via DHCP ou
adresse IP, nombre de bits de sous-rseau (notation CIDR, voir en annexe 8), etc.
La configuration IP d'une interface se termine par une question vous demandant si vous souhaitez autoriser
l'accs en http l'interface web via cette interface :
Do you want to revert to http as the webconfigurator protocol [y/n] ? -> n
Par prcaution, rpondre n pour garder l'accs scuris (https).
Renouvelez les oprations autant de fois que d'interfaces configurer (rappel : seule la configuration de
l'interface native LAN est ncessaire via la console pour une prise en main ultrieure via l'interface web, les
autres pouvant tre configures ultrieurement via cette interface web).
Poursuite de l'installation via l'interface web

Pralable
Configurez un poste pour le connecter au rseau natif LAN du serveur applicatif pfSense.
Ne perdez pas de vue que toute modification ou erreur de paramtrage sur l'interface LAN (ou de celle de
votre poste de travail) peut vous faire perdre l'accs l'interface web de configuration de l'application !
Avec le navigateur de votre choix, rendez-vous l'adresse https://[ip_pfSense], o [ip_pfSense] est l'adresse
IP sur le rseau LAN du serveur hbergeant l'application pfSense : Le couple natif d'identifiants est :
admin/pfsense.
Utilisation de l'assistant de configuration

Nous allons profiter de cet assistant pour initier le paramtrage : System > Setup Wizard

Vrifiez, modifiez ou compltez si ncessaire les informations ncessaires au paramtrage de l'interface WAN (rseau public
Internet). Les informations sont disponibles auprs du fournisseur d'accs ou de la matrise d'uvre, E-Lorraine en ce qui nous
concerne : IP publique, masque, passerelle (adresse IP WAN du routeur e-lorraine), serveurs DNS externes, etc.
Vrifiez, modifiez ou compltez si ncessaire les informations ncessaires au paramtrage de l'interface LAN (attention ne pas
perdre l'accs !).
Renseignez/changez le mot de passe d'administration via l'interface web (par dfaut = pfSense).
Vrification, modification et compltion du paramtrage des interfaces

Ceci est accessible par le menu Interfaces . Vous retrouvez ici toutes les interfaces assignes via la console au
cours de l'installation (en principe deux : LAN et OPT1).
Interfaces > (assign)
Onglet 'Interface assignments'

vous pouvez vrifier les assignations des interfaces faites l'installation. Les interfaces disponibles et non
assignes peuvent tre ajoutes en cliquant sur l'icne
partir des ports rseaux non utiliss.
Onglet 'VLANs'
C'est ici que vous pouvez configurer les VLANs (cette question n'est pas aborde dans ce document).
Vrification, compltion et modification de la configuration, interface par interface

Configuration gnrale de l'interface

o
activation ou non
o
nom (description) : pour une meilleure lisibilit le nom de chaque interface sera modifi, voir annexe 1
o
type : Static, DHCP, etc.
Complment de la configuration en fonction du type : prenons le cas d'une configuration en IP fixe (Static)
o
IP et nombre CIDR (voir en annexe 8)
o
passerelle Gateway ; n'indiquer une passerelle que si le (V)LAN associ cette interface utilise une passerelle
autre que pfSense pour se connecter l'Internet ; dans notre cas ne rien indiquer
Options rseaux privs : pour des raisons de scurits, il vaut mieux cocher ces deux options pour l'interface WAN uniquement
o
bloquer les rseaux privs
L'option Block private networks permet de bloquer les adresses ip de types locales : 192.168....., etc. C'est une
scurit. Quand elle est coche, cette option bloque le trafic provenant des adresses IP rserves pour les rseaux
privs selon la norme RFC 1918 (10/8, 172.16/12, 192.168/16) ainsi que des adresses de bouclage (127/8). Vous
devez gnralement laisser cette option active, sauf si linterface WAN fait parti d une adresse rseau prive.
o
bloquer les rseaux bogons (les faux rseaux privs , voir annexe 5)
L'option Block bogon networks permets de bloquer ces adresses IP. C'est encore une scurit.
Onglet 'Interface Groups'

Sur cette page vous pouvez regrouper plusieurs interfaces afin de dfinir une politique commune celles-ci.
Ainsi les rgles cres pour le groupe s'appliqueront aux interfaces du groupe sans avoir les dupliquer. Une
fois un groupe cr, une nouvelle interface sera visible (nouvel onglet) dans la page Firewall : Rules.
Nous n'avons pas avantage regrouper les interfaces dans notre cas.
Scurit configuration avance

System > Advanced > onglet 'Admin Access'

Toujours slectionner un accs par HTTPS

Se crer ventuellement un certificat HTML sur mesure spcifique cet accs
Dsactiver la rgle de redirection (WebGUI Redirect), pour contraindre une connexion HTTPS
L'option Anti-lockout pourra tre dsactive lorsque toutes les rgles de pare-feu seront crites (on observe la prsence de
cette rgle sur la page 'Firewall : Rules' dans l'onglet LAN (ADMIN dans notre cas puisque nous avons renomm les interfaces).
Cette rgle vite de perdre l'accs l'interface web de configuration via l'interface ADMIN pendant le paramtrage.
Conserver la rgle DNS Rebinding Checks ainsi que HTTP_REFERER enforcement check , sauf si souhait d'accs au pare-feu
en utilisant ssh et le port-forward par exemple. Il se peut que vous soyez contraint de dsactiver HTTP_REFERER enforcement
check en cas d'impossibilit d'accs l'interface web de configuration depuis un poste nomade (voir annexe 9).
Si souhait, possibilit d'activer l'accs par SSH en prfrant un accs via une cl RSA (plus rapide et plus scuris)
Si le serveur en est pourvu, l'activation du port srie (Serial Terminal) vous offre une porte de secours en cas de perte d'accs
l'interface Web.
Il est risqu de scuriser l'accs la console par mot de passe de protection en cochant l'option Password protect the console
menu : en effet, en cas de crash du mot de passe admin, plus aucun accs pfSense ne sera possible ; d'autre part, l'accs la
console ncessite un accs physique au serveur qui normalement est scuris. Donc, un conseil : ne pas verrouiller l'accs via la
console par un mot de passe.
Sauvegarder la configuration !

10
Exemple de configuration avance (seules les options modifies et/ou voques ci-dessus sont prsentes).
Notifications
System > Advanced > onglet 'Notifications'
C'est sur cette page que vous pouvez configurer les options pour l'envoi des notifications.
11
Mise jour de pfSense

System > firmware
Vous avez la possibilit de mettre jour votre application (firmware) automatiquement (valable partir de la
version 2). Cela vous dispense de surveiller les mises jours disponibles notamment celles apportant des
corrections (bugs, failles de scurit).
Si vous optez pour la mise jour automatique, en cas
d'absence de message You are on the latest version. sur le
tableau de bord (dashboard), il peut tre ncessaire de forcer
les paramtres de l'URL de mise jour en choisissant l'option
correspondante votre pfSense pour le champ 'Firmware Auto
Update URL' :
Sauvegarde de la configuration
La sauvegarde de toute ou partie de la configuration se fait partir de cette page : Diagnostics >
Backup/Restore
Une fois les alias dfinis (voir $ ponyme) sur un serveur, vous pourrez, par exemple, les exporter d'un
serveur pfSense vers un autre :
Serveur modle

Diagnostics : Backup/restore > 'Backup

configuration'
slectionner Aliases dans Backup area
cliquer sur Download configuration
serveur cible

Diagnostics : Backup/restore > 'Restore configuration'

slectionner Aliases dans Restore area
cliquer sur Parcourir, slectionner le fichier
cliquer sur Restore configuration
12
Installation de paquets ou packages supplmentaires

Certains services, outils ou fonctionnalits de pfSense ne sont pas nativement installes. C'est le cas par
exemple de l'outil d'exportation des clients OpenVPN, du module proxy (serveur mandataire) ou encore de
SNORT. Nous verrons plus tard comment utiliser ces services puisqu'ils sont dans le cahier des charges du
dploiement.
System > Packages
Dans l'onglet Available Packages vous trouverez la liste des paquets disponibles ( condition que le
serveur pfSense soit connect l'Internet). Dans l'onglet Installed Packages vous trouverez la liste des
paquets installs. Il est fortement recommand de n'installer que des paquets en version stable, surtout
dans un environnement de production, voire de les installer au pralable dans un environnement de test.
Sage prcaution : sauvegarder compltement la configuration avant l'installation d'un paquet.
Outil d'exportation des clients OpenVPN

Le paquet correspondant se nomme OpenVPN Client Export Utility . Cet outil permet l'export directement
partir de pfSense d'un client pr-configur OpenVPN pour Windows ou d'un fichier de configuration pour
Mac OSX viscosit.
Outil de prvention et dtection d'intrusion

Snort est un systme open source de prvention et dtection (IDS/IPS) d'intrusions sur les rseaux,
combinant les avantages de signature, de protocole et d'inspection axe sur l'anomalie. Le paquet
correspondant se nomme snort .
Serveur mandataire (proxy / cache web)

C'est un outil de proxy/cache web (de hautes performances, est-il prcis dans la description du paquet). Le
paquet correspondant se nomme squid .
Filtre URL proxy cache web

C'est un outil de filtrage URL pour proxy web (de hautes performances, est-il prcis dans la description du
paquet). Le paquet correspondant se nomme squidGuard . L'installation de ce paquet ncessite
l'installation au pralable du paquet de proxy squid .
13
Dfinition des alias : un pralable l'criture des rgles

Nous allons utiliser les alias pour crer des objets qui seront plus faciles manipuler dans l'criture des
rgles : ils amliorent la lecture des rgles et permettent de regrouper des adresses IP (comme celles des
serveurs), des ports (comme ceux ouvrir pour le protocole TCP pour le montage du tunnel d'assistance du
CNERTA), des rseaux ou encore des URL. L'utilisation des alias nous vitera, par exemple, pour un protocole
donn, d'avoir crire une rgle pour chaque port dans le cas de ports non conscutifs.
Ainsi, d'une part si modifications ultrieures il y a et, d'autre part, comme ces paramtres peuvent tre
utiliss pour plusieurs rgles, nous n'aurons qu' apporter une seule modification au niveau de la dfinition
de l'alias correspondant, et cette modification sera rpercute automatiquement sur l'ensemble des rgles
faisant appel l'alias.
Pour en faciliter l'usage les alias devront respecter quelques rgles de nommage explicite : par exemple
commencer par Cnerta pour tous les alias concernant Eduter-CNERTA qui ne changent pas d'un site l'autre,
puis par exemple par le numro du dpartement pour les alias associs l'EPL d'un dpartement. Attention
les caractres spciaux tels que espace, ou _ ne sont pas permis ! En revanche on peut jouer sur la casse
pour apporter de la lisibilit.
La dfinition des alias est accessible dans le menu Firewall : Firewall > Aliases
Pour ajouter un alias cliquez sur
puis renseignez les champs nom (Name) et description. Choisir le type
d'alias parmi hte(s) Host(s) - , rseau(x) Network(s) -, port(s), URL et table d'URL - URL TABLE, puis
complter les champs associs.
On peut crer des alias d'alias . Ainsi, par exemple, une fois les alias cres pour les LAN des tunnels
OpenVPN on cre un alias les reprenant tous pour l'criture de rgles communes. La seule condition la
cration d' alias d'alias est que tous soient du mme type (ports, host, rseau, etc.).
Les alias configurs pour le serveur pfSense du site principal d'un EPL seront exports puis imports dans la
configuration des serveurs pfSense des sites antenne pour nous viter d'avoir les rcrire (s'ils ne seront
pas tous utiliss dans toutes les configurations, on pourra ventuellement supprimer ceux qui savreront
inutiles).
Nous allons avoir besoin de crer des alias pour les donnes suivantes (prenons l'exemple d'un EPL) :

l'adresse IP des serveurs sur le rseau ADMIN : [dp]IPsServeur1, [dp]IpServeur2, etc.

l'adresse IP WAN du serveur pfSense de chaque site : [dp]IPWanPfsenseSitePrinc, [dp]IPWanPfsenseSiteAnt1 et
[dp]IPWanPfsenseSiteAnt2
la plage d'adresses IP du rseau ADMIN et du rseau PEDA de chaque site : [dp]LanADMINnetSiteAnt2d, [dp]LanPEDAnetSiteAnt2,
[dp]LanADMINnetSiteAnt1, [dp]LanPEDAnetSiteAnt1, [dp]LanPEDAnetSitePrinc
la plage d'adresses IP du VPN dans chaque tunnel nomade monter pour la tl-assistance : [dp]IpPfsLanOvpnAssistSitePrinc,
[dp]IpPfsLanOvpnAssistSiteAnt2 et [dp]IpPfsLanOvpnAssistSiteAnt1
14

les adresses IP publiques des serveurs du CNERTA : CnertaIpsPubliques

les ports pour le montage du tunnel de maintenance du CNERTA : CnertaTcpPortsVpn et CnertaTcpPortsVpn
les ports d'accs l'interface web de configuration de pfSense : PortsAccesInterfaceWebPfSense
tous les rseaux sources de trafic pour la connexion distance sur les serveurs du rseau ADMIN (alias d'alias) :
[dp]TsLANsSourcesCnxServ
etc.
Enfin, n'oubliez pas de sauvegarder (Save).
criture des rgles

Le pare-feu ou firewall est la fonction principale de pfSense. Les
rgles de filtrage sont values sur la base de la premire
correspondance. Ds qu'un paquet correspond une rgle celuici est filtr. Les rgles les plus permissives doivent donc tre en
bas de liste. L'application pfSense est un pare-feu gestion
d'tat : elle autorise le trafic depuis l'interface sur laquelle le
trafic est gnr. Lorsqu'une connexion est initie, la suite
d'une correspondance russie avec une rgle autorisant ce trafic,
une entre est ajoute dans la table d'tat (state table). Le trafic
retour est automatiquement autoris par le pare-feu quelque soit le type de trafic (TCP, ICMP, etc.).
Par dfaut tout le trafic arrivant de l'internet destination de votre rseau est bloqu. Mais par dfaut tout le
trafic initi sur le (V)LAN de l'interface 'ADMIN' (initialement 'LAN') et destination de l'Internet est autoris,
ce qui se traduit par la prsence de la rgle suivante dans l'onglet 'LAN' (ou ADMIN dans notre cas) sur la
page Firewall :Rules :
Cette politique n'est pas satisfaisante ! Aussi, afin de limiter l'impact des systmes compromis, de restreindre
les capacits infecter le rseau, de limiter l'utilisation d'application non autorises sur le rseau, de limiter
l'usurpation d'adresse IP (l'IP Spoofing) ainsi que la fuite d'information, nous devons filtrer le trafic sortant.
Commenons par supprimer cette rgle en cliquant sur
, en validant puis en cliquant sur
Comme dj mentionn au Au pralable de l'installation , il est ncessaire de faire linventaire exhaustif

de tous les services ncessaires. On pourra tablir un tableau avec les protocoles et ports utiliss par le trafic
autoriser. Vous trouverez en annexe 4 un exemple de tableau labor partir de la liste des services que
nous souhaitons autoriser.
Dans les pages de configuration des rgles vous serez amen configurer le champ 'type' en choisissant
dans une liste droulante. Le tableau suivant vous donne les significations des intituls disponibles :
15
any
tout
Single host or alias Adresse IP ou alias

Network
Rseau dfinir dans le champ suivant (Address)
Wan subnet
Rseau sur lequel est brasse l'interface WAN
Wan address
Adresse alloue l'interface WAN de pfSense
OPTn subnet
Rseau sur lequel est brasse l'interface OPTn
OPTn address
Adresse alloue l'interface OPTn de pfSense sur

le rseau sur lequel est brasse cette interface
Pour saisir un alias, dans un champ, il faut slectionner 'Single host

or alias' dans la liste du champ 'Type' et commencer taper les
premires de celui-ci dans la zone rouge : une liste contextuelle
apparat avec les correspondances disponibles ; vous n'aurez plus
qu' choisir l'alias.
En pratique

Interdire par dfaut : configurez les rgles pour autoriser le strict minimum de trafic ; en l'absence de rgle sur une interface,
celle-ci bloque tout trafic se prsentant
Question se poser : qu'est-ce-que je dois autoriser ? et non qu'est-ce-que je dois bloquer ?
Rgles lisibles, courtes et documentes
Rgles crire sur la premire interface de pfSense qui reoit le paquet : les donnes de la rgle sont celles contenues
dans le paquet qui se prsente (je viens de, je vais vers, via tel port, tel protocole)
Pour une meilleure scurit, limiter autant que possible les connexions aux adresses IP des source(s) et destination(s)
Ne rien inscrire pour le(s) port(s) source (choisir any ) ; en effet, la plupart du temps , ce(s) port(s) est(sont) dfinis de
faon alatoire par la source.
Une astuce
En cas de difficults d'criture des rgles, vous pouvez procder comme suit :
utilisez temporairement une rgle selon laquelle tout passe, par exemple ADMIN net vers tout (any) sans spcifier de port
Firewall :Rules > onglet 'LAN' > clic sur
et activer les logs.
16

gnrez du trafic pour le service tudi et observez ce qui se passe dans 'Status : System Logs' onglet 'Firewall'
crez la rgle automatiquement en cliquant sur (Easy Rule : pass this traffic) sur la ligne correspondant au service autoriser
puis, ventuellement, ditez la rgle pour, par exemple, la limiter aux adresses IP source et/ou destination
n'oubliez pas de supprimer la rgle temporaire qui autorise tout !
criture/dition des rgles

Firewall > Rules > 'onglet' de l'interface concerne.
Deux options s'offrent nous pour l'criture d'une rgle :
soit la rgle est rajoute sur le modle d'une rgle existante, en cliquant sur
correspondant la rgle modle, puis en apportant les modifications
soit elle est ajoute librement en cliquant sur
droite dans le prolongement de la ligne
en haut ou en bas de la liste.
On peut diter une rgle tout moment en cliquant sur
Accs l'interface web de configuration de pfSense et dsactivation de la rgle

de protection anti-lockout
crivons une rgle sur l'interface ADMIN autorisant les postes du (V)LAN ADMIN se connecter l'interface
web de configuration de pfSense.
Rgle autorisant tout poste du rseau ADMIN se connecter l'i nterface de configuration web de pfSense : ainsi tout le trafic provenant du rseau ADMIN
destination de l'adresse IP sur ADMINnet de pfSense est permis via les ports TCP 80, 443 et 22 (alias PortsAccesInterfaceWebPfSense).
On peut maintenant supprimer la rgle anti-lockout en cliquant sur

l'option
correspondante
sur
la
en face de la rgle puis en cochant
page
System : Advanced : Admin Access.
Changement de l'ordre des rgles

L'ordre est important comme nous l'avons vu prcdemment. Il peut tre ncessaire de modifier l'ordre des
rgles aprs une criture non ordonne.
Le changement d'ordre des rgles se fait en cochant la ou les rgles dplacer puis en cliquant sur
droite dans le prolongement de la ligne correspondant la rgle immdiatement plus permissive, c'est-dire celle qui se trouvera immdiatement en dessous de celle(s) dplace(s).
17
Mise en place d'une liaison site site via un tunnel OpenVPN pour
accs serveur
Simple mettre en uvre (un site client, un site serveur), bas sur une cl secrte partage et beaucoup plus
lger que les tunnels IPSec mais tout aussi scuris, nous allons configurer le montage d'un tunnel OpenVPN
entre les deux serveurs pfSense d'un EPL. La configuration du tunnel va crer une nouvelle interface sur les
deux serveurs, appele OpenVPN (interface virtuelle) : elle n'apparat pas dans la liste des interfaces
physiques mais un onglet sera rajout dans la page 'Firewall : Rules' de configuration de l'interface web.
Configuration ct serveur du tunnel OpenVPN

Nous choisissons de configurer le serveur pfSense du site principal comme serveur OpenVPN.
VPN > OpenVPN > onglet Serveur > Add Serveur

Serveur Mode : Peer to Peer (cl partage - Shared key)

Protocole : prfrez UDP TCP qui est plus lourd (chaque paquet perdu est retransmis) ; cependant UDP est connu comme
tant mal filtr par certain routeurs ; utiliser TCP est plus peut-tre plus sr mais plus lent (faire des tests ou autoriser les deux)
Device Mode : tun (le module TAP n'est ncessaire que si on veut faire tourner OpenVPN en mode BRIDGE)
Interface : choisir l'interface WAN pour les liaisons entrantes
Local Port : le port sur lequel le serveur OpenVPN coute est le port par dfaut 1194 ; attention, chaque tunnel requiert un
port diffrent (un pour le tunnel site site, un pour le tunnel nomade, etc.) ; vrifier que le port n'est pas dj utilis par un
autre service.

Description : nom du VPN, par exemple VPN site site EPL[n dpartement]

Share key : Automatically generate a share key, la cl sera ainsi gnrs automatiquement et il suffira ensuite de copiercoller la cl dans la configuration VPN du serveur client (distant)

Encryption algorithm : par exemple AES-128-CBC (128 bits) ; doit tre identique des deux cts ; CAS, DES et RC2 sont un peu
moins scuriss mais plus rapides ; certains types de cryptages peuvent poser problme en fonction de la configuration
matrielle.

Hardware Crypto : si utilisation d'une carte de compression VPN, possibilit de la slectionner dans la liste.

Tunnel Network : c'est la plage d'adresse qui sera utilise pour adresser les postes dans le tunnel ; il est prconis d'utiliser un
adressage au hasard dans la norme RFC19182 ; attention ne pas utiliser des plages dj utilises par les (V)LAN ; pour
un tunnel de site site un /30 est suffisant.

Local Network : laisser vide pour une configuration par dfaut

Remote Network : saisir ici le rseau distant, ct client (en principe le (V)LAN administratif ou pdagogique du site distant)

Compression : cocher si vous souhaitez compresser les donnes dans le tunnel

Type-of-service : utile si vous souhaitez faire du Trafic Shapping sur le trafic OpenVPN lui-mme (marquage entte IP), mais
peut prsenter un risque potentiel de scurit.
Vous trouverez en annexe 3 les donnes propres notre dploiement.
2 La RFC 1918 df init un espace d'adressage priv permettant toute organisation d'attribuer des adresses IP aux machines de son rseau interne. Il sagit
des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et 192.168.0.0/16.
18
Configuration ct client
Nous devons configurer le serveur pfSense du site distant comme client OpenVPN.
VPN > OpenVPN > onglet Client > Add serveur

Serveur Mode : Peer to Peer

Protocole : idem ct serveur
Device Mode : idem ct serveur
Interface : WAN
Local Port : laisser vide pour le choix d'un port alatoirement
Server host or adress : adresse IP WAN du serveur (IP WAN du serveur pfSense du site principal)
Server port : idem ct serveur
Description : nom du VPN, par exemple VPN site site
Share key : copier ici la cl gnre ct serveur
Encryption algorithm : idem ct serveur
Hardware Crypto : idem ct serveur
Tunnel Network : idem ct serveur
Remote Network : saisir ici le rseau distant, ct serveur (en principe le (V)LAN administratif du site principal)
Compression : idem ct serveur
Type-of-service : pour marquer la valeur de l'entte IP), mais peut prsenter un risque potentiel de scurit.
Vous trouverez en annexe 3 les donnes propres notre dploiement.

Il nous reste une tape : crire les rgles pour autoriser le montage du tunnel et le trafic dans le tunnel.
Rgle pour autoriser le montage du tunnel OpenVPN site site

Tout d'abord, il est ncessaire d'autoriser, sur l'interface WAN du serveur OpenVPN (site principal dans notre
exemple), le trafic ncessaire l'tablissement du tunnel avec le serveur client OpenVPN (site distant) via les
protocole et port choisis la cration du tunnel OpenVPN site site . Pour crire la rgle il faut se dire que
le paquet arrive sur l'interface WAN du serveur du tunnel (site principal) en provenant de l'adresse IP
WAN du client du tunnel (site distant) destination de l'adresse IP WAN du serveur du tunnel, dsigne
par WAN address, par exemple via le port 1195 du protocole UDP. On a donc la rgle suivante dans l'onglet
'WAN' sur la page 'Firewall : Rules' du pfSense matre :
[dp ]IPWa nPfsen seS ite Ant1
La rgle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP WAN du serveur pfS ense clientOpenVPN du site di stant (alias
[dp]IPWanPfsenseSiteAnt1) destination de l'adresse IP du serveur pfSense serveur OpenVPN du sit e principal (WAN address) sur le
port UDP 1195.
19
Rgles pour autoriser le trafic dans le tunnel OpenVPN site site

Ensuite, il faut autoriser le trafic des services ncessaires l'accs aux serveurs du site principal : ces services
sont TSE (3389 MS RDP) et partage de fichiers (445 MS DS). Laccs au ping (ICMP echoreg) est galement
une bonne prcaution en cas de doute sur laccs. Pour autoriser ces 3 services, il est ncessaire de les
autoriser d'une part au niveau de li nterface concerne du serveur Pfsense du site distant (appel LAN en
gnral sur le serveur pfSense esclave, mais ADMIN dans notre cas) et d'autre part dans le tunnel, c'est--dire
au niveau de linterface OpenVPN du serveur Pfsense du site principal. Pour des raisons de scurit, il est
prfrable de nautoriser que ce qui est strictement ncessaire, donc ces services seront configurs
uniquement des (V)LAN du(es) site(s) distant(s) (ADMIN, PEDA) et nomade(s) vers ladresse IP du serveur de
traitement du site principal. Nous utiliserons les alias dfinis au paragraphe ponyme, notamment l'alias
d'alias qui dsigne tous les rseaux sources. Cela donne, sur le serveur OpenVPN du tunnel, les rgles
suivantes pour l'interface OpenVPN :
[dp]TsLANsSourcesCnxServ1
[dp]IpServ1
[dp]IpServ1
[dp]IpServ1
Les rgles auto risent, sur l'interface OpenVPN, le trafic provenant de tous les tunnels (alias [dp]TsLANsSourcesCnxServ1) destination de l'adresse IP du
serveur 1 (alias [dp]IpServ1) pour le service MS RDP (port TCP3389), le service MS DS (ports TCP/UDP 445) ainsi que pour le service d'I CMP echoreq.
et sur le client OpnVPN, pour l'interface ADMIN (gnriquement LAN) :
[dp]IpServ1
[dp]IpServ1
[dp]IpServ1
Les rgles autorisent, sur l'interface ADMIN, le trafic provenant de tout le rseau ADMIN (ADMIN net) destination de l'adresse IP du serveur 1 (alias
[dp]IpServ1) pour les services MS RDP (port TCP3389) et MS DS (po rts TCP/UDP 445), ainsi que pour le service d'I CMP echorequest.
En annexe 4 vous trouverez les donnes propres nos rgles.

Remarque : la prsence de flches vertes dans
le tableau de bord de l'application pfSense
d'un des deux sites (Status > dashboard)
signifie que les tunnels se montent bien ; des
flches rouges manifesteraient un problme.
Tunnel site principal-admin <=> site antenne-admin UDP

Tunnel site principal-admin <=> site antenne-admin UDP
Tunnel site principal-admin <=> site antenne-peda UDP
20
Mise en place d'une liaison nomade au serveur

Il se peut qu'un centre ne soit pas pourvu d'un serveur pfSense mais que pour des obligations de service un
agent nomade doive se connecter un serveur. Il va donc falloir monter un tunnel OpenVPN entre le
poste de l'agent et le serveur pfSense du site principal, puis autoriser les services ncessaires ; on parlera
alors d'un tunnel nomade ou de tunnel pour un utilisateur distant (vous trouverez souvent l'expression
Open VPN pour les guerriers de la route )..
Cration du certificat d'autorit

L'utilisateur nomade devra utiliser un certificat utilisateur intgr son client OpenVPN qui sera prsent au
serveur OpenVPN. Utilisons l'outil de management de certificats intgr pfSense depuis la version 2 pour
crer le certificat de l'autorit reconnue par le certificat utilisateur.
System > CertManager > onglet 'CAs'
Cliquer sur Add or import CA
pour ajouter un certificat d'autorit, par exemple nomm CA-EPL[dp]
En face de Method choisir dans la liste Create an internal Certificate Authority
Renseigner tous les champs puis cliquer sur Save
A titre d'exemple, voir en annexe 6 les donnes pour la construction du certificat d'autorit du serveur
pfSense du site principal d'un EPLEFPA.
Cration de l'utilisateur
L'utilisation d'un tunnel nomade est subordonne la celle d'un compte utilisateur reconnu par pfSense.
L'utilisateur peut faire partie de la base locale de pfSense, peut tre dans un annuaire ou distribu par un
serveur RADIUS. Dans notre cas nous allons crer des utilisateurs dans la base locale.
System > Users manager puis clic sur

Renseignez les champs Username et Password (deux champs, pour confirmation)

Cochez 'Click to create a user certificate. ' puis renseignez les champs (par exemple CU-NOMADE pour le nom descriptif) et
slectionnez les options adquates (l'autorit de certification prcdemment cre, la longueur de la cl et la dure de
validit) ; on peut tout laisser par dfaut.
Cliquez sur 'Save'.
Voir exemple annexe 6.
21
Cration et configuration du tunnel nomade

Nous allons utiliser l'assistant de pfSense.
VPN > OpenVPN > onglet 'Wizards'
Choix du type d'utilisateur : dans la base locale
CA-EPL[dp]
Choix de l'autorit de certification : celle cre prcdemment
Choix du certificat de l'utilisateur : celui cr prcdemment
22
Tunnel nomade
Compltion des paramtres du tunnel nomade
Bien crire la mme

chose que ce qui a t
crit pour l'alias
correspondant au rseau
de ce tunnel.
Choix de cration automatique des rgles.
Attention : les rgles crites automatiquement sont larges ! Mieux vaut les crire soi-mme, ne serait-ce
que pour comprendre ce que l'on fait. On peut aussi dcider de leur cration automatique puis les modifier
par la suite.
23
criture des rgles

Il nous reste donc modifier/crire ces/les rgles pour autoriser le montage de ce tunnel OpenVPN nomade
et le trafic dans le tunnel.
La premire rgle est crire sur l'interface WAN pour autoriser le montage du tunnel nomade :
Il est prfrable de restreindre

la source l'adresse IP WAN
du site nomade et de ne pas
laisser 'any' (*).
Ce qui donne :
Le deuxime lot de rgles est crire sur l'interface OpenVPN pour autoriser le trafic associ aux services MS
DS, MS RDP et ICMP echorequest dans le tunnel. Or comme nous avons dj crit la rgle pour la liaison
inter-site en utilisant un alias ([dp]TsLANsSourcesCnxServ1) pour dsigner l'ensemble des rseaux sources
de trafic (voir page 18), il n'y a rien rajouter ou modifier.
24
Export du client Windows

PfSense permet, grce au package install OpenVPN Client Export Utility , d'exporter un excutable pour
l'installation et la configuration du client sous windows.
VPN > OpenVPN > onglet 'Client Export'
Cliquez sur 'Windows Installer' en face de 'nomade' puis suivez les instructions.
Cration d'un tunnel IPsec

Entre deux serveurs applicatifs pfSense
A complter
Entre un serveur applicatif pfSense et un serveur IPCOP

Il se peut qu'un centre ne soit pas pourvu d'un serveur pfSense mais d'un autre type de serveur qui ne gre
pas l'OpenVPN : prenons le cas d'un serveur IPCOP. Il va donc falloir monter un tunnel IPsec entre les deux
serveurs, puis autoriser les services ncessaires.
A complter
25
Permettre un accs nominatif l'Internet depuis le (V)LAN INVITE

Le serveur pfSense n'est pas utilis ici pour filtrer, contrler et scuriser le trafic entre l'Internet et les (V)LAN
pdagogique et administratif : c'est un autre serveur qui joue le rle de serveur mandataire (EPL dans une
architecture rgionale). Nanmoins, nous allons configurer pfSense en serveur mandataire pour le (V)LAN
INVITE. Les paquets squid et squidGuard doivent tre installs (voir Installation de paquets ou packages
supplmentaires ). Nous utiliserons le portail captif de pfSense et les comptes du LDAP de l'AD e-lorraine du
(V)LAN pdagogique pour donner l'accs des utilisateurs connus de l'EPL, prsents dans un annuaire.
Configuration des filtres du serveur mandataire (proxy)

Services > Proxy filter > onglet 'Blacklist'
La liste noire (ou Blacklist) shalla se tlcharge ici : http://www.shallalist.de/Downloads/shallalist.tar.gz
(ou
bien
celle
de
l'universit
de
Toulouse
tlchargeable
ici
http://cri.univ-
tlse1.fr/blacklists/download/blacklists_for_pfsense.tar.gz)
Renseignez le champ et cliquez sur 'Download'.
Patientez jusqu lobtention de Blacklist update complete.

Services > Proxy filter > onglet 'General settings'
Activez le filtrage en cochant 'Enable' et l'enregistrement des logs en cochant 'Enable GUI log' et 'Enable log'.
Si vous disposez de peu de place (disque dur de petite taille), vous pouvez activer la rotation de
l'enregistrement des logs en cochant 'Enable log rotation' afin de limiter la quantit de logs enregistrer.
Activez l'utilisation de la liste noire (Blacklist) en cochant l'option correspondante et en indiquant l'URL de
tlchargement de la liste.
Ne pas oublier de sauvegarder la

configuration.
Attention : aprs toute modification ultrieure de la configuration, ne pas

oublier de cliquer sur le bouton 'Apply' qui apparat dsormais en haut.
26
Services > Proxy filter > onglet 'Common ACL'

Vrifiez la prsence des catgories de filtrage en cliquant sur
Mettez l'option d'accs de la dernire ligne 'Defaut access [all] 'allow' pour tout autoriser faute de
quoi le filtre aura pour effet d'interdire tout accs l'Internet.
Ensuite, mettez 'deny'
l'accs aux contenus que
vous voulez filtrer (porn,
warez, etc.).
Renseignez les champs

d'avertissement comme
ci-contre par exemple :
A NOTER
attention, il ne faut
utiliser aucun caractre
accentu.
Validez la configuration
en cliquant sur 'Save'.
27
Activation et configuration du serveur mandataire (proxy)

Services > Proxy server > onglet 'General'
Cliquez sur l'interface pour laquelle vous souhaitez activer le serveur mandataire : dans notre
cas INVITE (pour l'activer sur plusieurs interfaces, utilisez la touche CTRL).
Cochez comme ci-contre. L'option active de 'proxy transparent' vous

vitera d'avoir configurer tous les postes connects du (V)LAN INVITE .
Poursuivez la configuration comme suit :
La dure lgale de conservation des logs est d'un an (365 jours).
Renseignez l'adresse mail de l'administrateur du serveur

mandataire et slectionnez la langue d'affichage des
informations.
Enfin, sauvegardez la configuration.
Services > Proxy server > onglet 'Cache Mgmt'

Configurez les options du cache comme ci-contre par exemple.
Sauvegardez la configuration.
28
Activation et configuration du portail captif (attention : partie incomplte et probablement errone)

Services > Captive Portal > onglet 'Captive portal'
Voici les options modifies pour la configuration du portail captif.
Activez le portail captif en cochant 'Enable captive portal'.
Choisissez l'interface : dans notre cas, INVITE.
Nous avons choisi de rediriger les utilisateurs vers la page

de l'ENT.
Surtout, n'oubliez pas d'indiquer l'application pfSense de chercher
les utilisateurs en local (le serveur LDAP rajout prcdemment est
considr comme une extension de l'annuaire local).
Enfin, cliquez sur 'Save' tout en bas de la page.
29
criture des rgles sur l'interface INVITE

Dans l'tat actuel des choses, les postes brasss sur le (V)LAN INVITE n'ont pas accs l'Internet : des
ouvertures sont ncessaires sur l'interface INVITE de pfSense. Nous allons crire les rgles correspondantes. Il
se peut aussi que vous ayez besoin de configurer des services supplmentaires. Par contre, les utilisateurs du
(V)LAN INVITE ne doivent pas pouvoir accder aux (V)LAN tiers (pdagogique et administratif ).
Autoriser l'utilisation d'une application utilisant des ports spcifiques

On doit autoriser le trafic depuis le (V)LAN INVITE vers le serveur le serveur de cette application via le(s)
port(s) correspondants. Ces ouvertures peuvent tre prises en compte dans l'criture de la rgle au
paragraphe suivant.
Autoriser l'utilisation des services du web

Il s'agit de permettre (ou non) aux utilisateurs d'utiliser les services courants de l'Internet : messagerie (pop,
smtp), web (http et https), transfert de fichiers (ftp), rsolution de noms (DNS), etc., sans oublier d'ajouter la
liste le service li une application spcifique. Au pralable, on cre les alias ncessaires pour regrouper les
ports et les (V)LAN.
Isoler le (V)LAN INVITE (vrifier si ncessaire)

Nous ne pouvons pas limiter les destinations au WAN. Donc, pour des raisons de scurit videntes, une fois
n'est pas coutume, nous devons bloquer le trafic provenant du (V)LAN INVITE destination des (V)LANs
tiers (notamment ADMIN et PEDA ).
Les deux premires rgles autorisent, su r l'interface INVITE, le trafic provenant des adresses IP du (V)LAN INVITE destination d'Internet pour les services
courants et FirstClass (o l'alias PortTcpAccesInternetInvite dfinit les ports TCP 80, 443, 21 et 510). La troisime bloque tout trafic destination des (V)LANs
admin et pdago (alias TsVlanSfInvite d'alias).
30
Activation de l'interface et du service DHCP sur le (V)LAN INVITE

Activer la redirection DNS
Avant toute chose, activons la redirection DNS.
Services > DNS forwarder
Activer le DHCP sur l'interface INVITE

Pour simplifier davantage l'usage de ce (V )LAN l'adressage sera similaire celui des rseaux domestiques.
Services > DHCP Server > onglet 'INVITE'
192.168.1.1
Nous activons le service DHCP sur

l'interface INVITE .
Vous
devez
d'adresses,
spcifier
par
une
plage
exemple
pour
restreindre le nombre d'adresses ou

permettre la rservation d'adresses.
Nous remplissons les champs 'DNS
servers' et 'Gateway' avec l'adresse IP de
pfSense sur le (V)LAN INVITE.
Autoriser la maintenance, les mises jour et les livraisons du CNERTA

On rappelle que pour qu'un lment (serveur, station, etc.) rponde une requte dont le trafic transite via
pfSense il faut indiquer une route de rponse passant par pfSense dans la configuration de l'lment
(voire mettre pfSense en tant que passerelle) ; a fortiori pour la connexion nomade au serveurs de nos sousrseaux. Les serveurs en questions ont donc soit pour passerelle le serveur pfSense soit une route
persistante forant le trafic destination des sources nomades transiter par pfSense. Du coup, il faut
autoriser via pfSense la maintenance des serveurs par le CNERTA (montage de tunnel) ainsi que les mises
jour et livraisons des serveurs. Toujours en utilisant les alias, nous allons crire les rgles correspondantes.
31
D'autre part, nous autoriserons les serveurs accder l'Internet (services courants HTTP, HTTPS, FTP, ICMP
echo request et DNS).
Firewall > Rules puis choix de l'interface brasse sur le rseau administratif (ADMIN dans notre cas, LAN en
gnral).
[dp]IPsServeurs
L'option [dp]IPsServeurs
Anti-lockout pourra tre dsactive lorsque toutes les rgles de pare-feu seront crites
[dp]IPsServeurs
[dp]IPsServeurs
[dp]IPsServeurs
Les rgles autorisent, sur l'i nterface ADMIN, le trafic provenant des adresses IP des serveurs (alias [dp]IPsServeurs) destination des adresses IP publiques
du CNERTA (alias CnertaIpsPubliques) pour le service de maintenance, pour les services HTTPS, HTTP, DNS, ICMP echorequest et FTP (alias
CnertaLgaPo rtsAccInternet) pour l'accs l'Internet, les mises jour et livraisons ainsi que pour le service DNS.
Communication entre les interfaces (d'un (V)LAN l'autre)

Par dfaut tout trafic provenant des (V)LAN tiers destination du (V )LAN ADMIN (nativement LAN) est
bloqu.
Si on souhaite par exemple utiliser se connecter aux serveurs du rseau ADMIN depuis le rseau
pdagogique sur le site principal, il faut autoriser le trafic gnr par les adresses IP du (V)LAN pdagogique
vers le serveur en question pour, dan s le cas d'une connexion TSE, les services MS RDP, MS DP et ICMP echo
request. Ce qui donne les rgles suivantes sur l'interface PEDA du serveur pfSense du site principal :
[dp]IPsServeur1
[dp]IPsServeur1
[dp]IPsServeur1
Les rgles autorisent, sur l'interface PEDA, le trafic provenant du (V)LAN pdagogique (PEDA net) destination du serveur 1 (alias [dp]IpServeur1 pour le
service MS RDP (port TCP3389), le service MS DS (ports TCP/UDP 445) ainsi que pour le service d'I CMP echo request.
32
Export du client OpenVPN pour Windows ou de la configuration

viscosit pour MAC
Nous allons utilis l'outil install prcdemment.
VPN > OpenVPN > onglet '
A complter.
33
Analyser le trafic : utilisation de Snort

A complter.
34
Annexe 1 : extraits du dossier de montage du projet de dploiement

des serveurs pfSense en Lorraine
Spcificits du rseau informatique d'un site rgional d'un EPL
L'architecture rgionale est une architecture rgionale commune tous les lyces et CFA des systmes
ducatifs. Le rseau d'un site est compos, entre autres, de deux sous-rseaux : LAN (ou VLAN)
pdagogique et LAN (ou VLAN) administratif, connects l'Internet via un serveur mandataire plac derrire
un routeur.
Objectifs de dploiement des serveurs dits pfSense

Il s'agit de mettre en uvre une solution pour rpondre aux besoins de l'enseignement et de la formation
agricoles dans l'architecture rgionale, savoir :

autoriser une connexion scurise entre un poste du rseau d'un site antenne et un serveur du sous-rseau administratif
du site principal ;
autoriser une connexion scurise entre un poste du rseau sous-pdagogique du site principal et un serveur du sousrseau administratif de ce site ;
autoriser une connexion scurise entre un poste nomade identifi et un serveur du sous-rseau administratif du site
principal d'un EPL ;
autoriser la liaison pour atteindre l'intranet du ministre depuis un poste sur les rseaux des EPL ;
autoriser la liaison pour permettre la tl-maintenance des serveurs par Eduter-CNERTA ;
autoriser les livraisons et mises jour de ces serveurs ;
autoriser, via un portail captif, l'accs l'Internet d'un poste informatique invit ; faciliter, contrler, scuriser et filtrer la
connexion du sous-rseau INVITE l'Internet ;
effectuer en temps rel des analyses de trafic et logger les paquets sur un rseau.
35
Architecture cible
Adressage (V)LANs et VPNs
WAN
xxx.xxx.xxx.xxx /29
passerelle : IP routeur
ADMIN
10.xxx.xxx.0 /24
passerelle = serveur mandataire
PEDA
172.xxx.xxx.0 /16
passerelle = serveur mandataire
OVPN site site
10.xxx.100.0/30
o 100 peut se dcomposer comme suit : 10 pour reprendre le troisime octet du rseau ADMIN
et 0 pour le premier tunnel
OVPN nomade
10.xxx.[105, 106 109].0/24

o 105 se dcompose comme suit : 10 pour repre ndre le troisime octet du rseau AD MIN et 5
pour le premier tunnel
Serveur : interfaces, ports Ethernet et (V)LANs associs

em0 WAN
brasse sur le (V)LAN d'adressage IP public e-lorraine
em1 ADMIN
brasse sur le (V)LAN administratif
igb0 PEDA
brasse sur le (V)LAN pdagogique
igb1 INVITE
brasse sur le (V)LAN invit
igb2 reste disponible, pour la vido surveillance par exemple

igb3 reste disponible
vue arrire du serveur
36
Annexe 2 les alias (Aliases)

Focus sur certains alias Firewall : Aliases : Edit
Dtail de l'alias signifiant les ports TCP ouvrir pour le montage du tunnel du CNERTA
[dp ]
1
2
Dtail de l'alias signifiant les adresses IP des serveurs de l'EPL
[dp ]
Dtail de l'alias signifiant l'adressage du sous-rseau pdagogique du site antenne de l'EPL
37
Annexe 3 configuration des tunnels OpenVPN

Ct serveur du tunnel OpenVPN site site (pfSense du site principal)
ant1
ant1
ant2
princ
princ
princ
ant2
princ
ant2
princ
Liste des tunnels OpenVP N serveur ct site principal de l'EPL
doit tre identique

ce qui est crit ct
serveur
La cl doit tre
identique celle du
client
doit tre identique

ce qui est crit ct
serveur
dition du tunnel site site, ct serveur, entre les rseaux admin des sites antenne de l'EPL
38
Ct client du tunnel OpenVPN site site (pfSense du site secondaire)
Liste des tunnels OpenVPN clients ct site antenne de l'EPL
doit tre identique

ce qui est crit ct
serveur
La cl doit tre
identique celle du
serveur
doit tre identique

ce qui est crit ct
serveur
dition du tunnel site site, ct client, entre les rseaux admin des sites antenne de l'EPL
39
Annexe 4 Rgles d'autorisation du trafic des services

Tableau rcapitulatif (exemples)
Description
Source(s)
Connexi on TSE sur serveur
(V)LAN ADMIN et (V)LAN PEDA

du site principal
(V)LAN ADMIN et (V)LAN PEDA
du site dis tant
Poste nomade
Destination(s)
Port destination
Serveur du
(V)LAN ADMIN
du site
ICMP echo
request, TCP 3389
(MS RDP) et
TCP/UDP 445
(MS DS)
Tunnel O penVPN site site
PfSens e du site distant (esclave)
PfSense du site
UD P 1195
pri ncipal (ma tre)
Tunnel O penVPN nomade (site

ne dis posant pas de serveur
pfSens e)
Adress e IP publique du site nomade
PfSense du site
UD P 1194
pri ncipal (ma tre)
Maintenance CNERTA
Serveurs site pri ncipal
Mises jour et livraisons
Accs DNS
Plage adr. IPs

publiques
CNERTA
IPs des serveurs

DNS
UD P 500, 2746,
18233 et 18234
TCP 500, 256,
264, 18231 et
18232
TCP 443 (HTTPS),
80 (HTTP) et 21
(FT P)
UD P 53
Rgles sur le serveur pfSense du site distant (esclave) pour le tunnel OpenVPN
crire pour l'interface ADMIN
[dp]IpServeur1
[dp]IpServeur1
[dp]IpServeur1
Les rgles autorisent, sur l'interface ADMIN, le trafic provenant du (V)L AN ADMIN (ADMIN net) destination de l'adresse IP du serveur (alias
[dp]IpServeu r1) pour le service MS DS sur les ports TCP/UDP 445, le service MS RDP sur le port TCP 3389 et le service ICMP echo request, dans le but d'tablir
une connexion au serveur.
40
Rgles sur le serveur pfSense du site principal pour le tunnel OpenVPN
rgle pour tablir le tunnel, crire pour l'interface WAN
[dp]IpWanPfsenseAnt1
La rgle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP publique du serveur pfSense du site de Toul (alias [dp]IPWanPfsenseAnt)
destination de l'adresse IP publique du serveur pfSense du site principal (WAN adress) pour le montage du tunnel OpenVPN sur le port TCP 1195.
rgles pour les services autoriss encapsuls dans le tunnel, crire pour l'interface OpenVPN
[dp]TsLANsSourcesCnxServeur1
[dp]IpServeur1
[dp]IpServeur1
[dp]IpServeur1
Les rgles autorisen t, sur l'i nterface OpenVPN, le trafic provenant des adresses IP de tous les rseaux sources (alias [dp]TsLANsSourcesCnxServ1)
destination de l'adresse IP du serveur 1 (alias [dp]IpServeur1) pour le service MS DS sur les po rts TCP/UDP 445, le service MS RDP sur le po rt TCP 3389 et le
service ICMP echo request, dans le but d'tablir une connexion TSE au serveur 1.
41
Annexe 5 Les bogon ou adresses IP invalides

Les adresses IP invalides ou bogon sont des adresses IP rserves par lIANA (Internet Assigned Numbers
Authority) pour des usages spcifiques ; ce st le cas des adresses IP prives dfinies par le RFC 19183 ou
encore des classes dadresses D et E4 . Dans cette catgorie, nous trouvons galement les adresses IP non
assignes par lIANA aucun Registre Internet Rgional (RIR) 5. Des listes dtailles et rgulirement
actualises de ces adresses sont publies sur les sites web de quelques groupes de travail. Il apparat, ainsi,
que les adresses IP invalides reprsentent prs de 40% de le space dadressage IP total. Bien que les adresses
invalides naient pas de raison d tre routes sur Internet, il arrive frquemment ces adresses d tre
routes sur certaines portions de lInternet et dtre utilises par des personnes ou des organisations
malveillantes afin de conduire, dune faon anonyme, des attaques de dni de service, des envois massifs de
messages non sollicits et des activits de piratage. Le xploitation des blocs dadresses invalides pour des
finalits malveillantes et le fait que la liste de ces adresses soit relativement stable, a pouss les
administrateurs de rseaux mettre en place des rgles de filtrage rejetant le trafic li ces adresses afin de
diminuer le risque de leur exploitation malveillante. Par ailleurs, les adresses inutilises sont des adresses
IP alloues organisme particulier qui ne les exploite pas ; ainsi la prsence de trafic utilisant ces adresses est
par nature suspecte. Cependant, une diffrence essentielle existe entre les adresses IP invalides et celles
inutilises : en effet, les premires sont publies sur Internet, alors que les secondes sont inconnues sauf
pour les administrateurs du rseau concern.
3 La RFC 1918 df init un espace d'adressage priv permettant toute organisation d'attribuer des adresses IP aux machines de son rseau interne. Il sagit
des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et 192.168.0.0/16.
4 Les adresses de la classe D sont utilises pour les communications multicast, alors que ceux de la classe E sont utilises pour la recherche.
5 Un Registre Internet Rgional (RIR), alloue les adresses IP dans sa zone gographique des oprateurs rseau et des fournisseurs Internet. Il existe
aujourd'hui cinq RIRs.
42
Annexe 7 : nommage des interfaces sous FreeBSD

Vous trouverez des indications de nommage des interfaces ici
(http://doc.pfsense.org/index.php/ALTQ_drivers) et ici (http://www.gsp.com/support/man/section-4.html).
En mode console sur le serveur (8 Shell), vous obtenez la liste des interfaces avec la commande ifconfig.
Annexe 8 : notation CIDR

Vous trouverez des informations sur Comment a marche
(http://www.commentcamarche.net/contents/internet/le-cidr) et un calculateur CIDR ici
(http://www.subnet-calculator.com/cidr.php)
44
Annexe 9 : erreurs
Voici un rsum des erreurs rencontres ou commises.
acd0: FAILURE - READ_BIG MEDIUM ERROR asc=0x11 ascq=0x00

Causes/solutions
Problme avec le lecteur optique : priori, ne porte pas de prjudice l'installation
Le trafic ne passe pas, malgr une criture correcte des rgles

Dfinition incomplte d'un alias (par exemple, pour un alias rseau cr : pas de renseignement de plage d'adresse !)
Montage tunnel impossible

Causes/solutions

Oubli d'criture de la rgle sur l'interface WAN pour autoriser le flux li au tunnel
Erreur de port entre celui configur pour le serveur VPN et la rgle correspondante sur l'interface WAN
Accs impossible l'interface web de configuration via tunnel nomade

Causes/solutions
Si affichage du message An HTTP_REFERER was detected other than what is defined in System -> Advanced
(https://10.54.102.1/index.php). You can disable this check if needed in System -> Advanced -> Admin. , dsactiver
HTTP_REFERER enforcement check (la case Disable HTTP_REFERER enforcement check dois tre coche)
Oubli d'criture d'une rgle dans l'interface OpenVPN qui autorise accder l'interface (en HTTPS par exemple)
45
Table des matires

Avant-propos..........................................................................................................................................................................................1
Au pralable de linstallation........................................................................................................................................................2
Services................................................................................................................................................................................................2
Architecture et adressage.........................................................................................................................................................2
Documentation et aide...............................................................................................................................................................2
Rappels et recommandations................................................................................................................................................3
Application pfSense et compatibilit.................................................................................................................................3
Schma de principe............................................................................................................................................................................4
Installation ..............................................................................................................................................................................................5
Brassage des ports RJ45 pour identification des interfaces...............................................................................5
Boot et lancement de l'installation.....................................................................................................................................5
Paramtrage de la console.......................................................................................................................................................5
Type d'installation........................................................................................................................................................................6
Configuration des interfaces rseau..................................................................................................................................6
Identification des interfaces.............................................................................................................................................6
Pas de mise en place de VLAN.........................................................................................................................................6
Assignation des interfaces.................................................................................................................................................7
Configuration en ligne de commande de l'adressage des premires interfaces..............................8
Poursuite de l'installation via l'interface web ...................................................................................................................8
Pralable.............................................................................................................................................................................................8
Utilisation de l'assistant de configuration......................................................................................................................9
Vrification, modification et compltion du paramtrage des interfaces...................................................9
Onglet 'Interface assignments' .......................................................................................................................................9
Onglet 'VLANs' .........................................................................................................................................................................9
Vrification, compltion et modification de la configuration, interface par interface..................9
Onglet 'Interface Groups'.................................................................................................................................................10
Scurit configuration avance......................................................................................................................................10
46
Notifications..................................................................................................................................................................................11
Mise jour de pfSense...................................................................................................................................................................12
Sauvegarde de la configuration................................................................................................................................................12
Installation de paquets ou packages supplmentaires ............................................................................................13
Outil d'exportation des clients OpenVPN....................................................................................................................13
Outil de prvention et dtection d'intrusion.............................................................................................................13
Serveur mandataire (proxy / cache web)...................................................................................................................13
Filtre URL proxy cache web.................................................................................................................................................13
Dfinition des alias : un pralable l'criture des rgles.........................................................................................14
criture des rgles...........................................................................................................................................................................15
En pratique.....................................................................................................................................................................................16
Une astuce.......................................................................................................................................................................................16
criture/dition des rgles..................................................................................................................................................17
Accs l'interface web de configuration de pfSense et dsactivation de la rgle de protection
anti-lockout ............................................................................................................................................................................17
Changement de l'ordre des rgles....................................................................................................................................17
Mise en place d'une liaison site site via un tunnel OpenVPN pour accs serveur.............................18
Configuration ct serveur du tunnel OpenVPN.....................................................................................................18
Configuration ct client .......................................................................................................................................................19
Rgle pour autoriser le montage du tunnel OpenVPN site site..................................................................19
Rgles pour autoriser le trafic dans le tunnel OpenVPN site site..............................................................20
Mise en place d'une liaison nomade au serveur............................................................................................................21
Cration du certificat d'autorit........................................................................................................................................21
Cration de l'utilisateur..........................................................................................................................................................21
Cration et configuration du tunnel nomade............................................................................................................22
criture des rgles.....................................................................................................................................................................24
Export du client Windows.....................................................................................................................................................25
Cration d'un tunnel IPsec..........................................................................................................................................................25
Entre deux serveurs applicatifs pfSense......................................................................................................................25
47
Entre un serveur applicatif pfSense et un serveur IPCOP.................................................................................25

Permettre un accs nominatif l'Internet depuis le (V)LAN INVITE .......................................................26
Configuration des filtres du serveur mandataire (proxy).................................................................................26
Activation et configuration du serveur mandataire (proxy)............................................................................28
Activation et configuration du portail captif (attention : partie incomplte et probablement
errone)............................................................................................................................................................................................29
criture des rgles sur l'interface INVITE...................................................................................................................30
Autoriser l'utilisation d'une application utilisant des ports spcifiques...........................................30
Autoriser l'utilisation des services du web..........................................................................................................30
Isoler le (V)LAN INVITE (vrifier si ncessaire).......................................................................................30
Activation de l'interface et du service DHCP sur le (V)LAN INVITE ....................................................31
Activer la redirection DNS..............................................................................................................................................31
Activer le DHCP sur l'interface INVITE...................................................................................................................31
Autoriser la maintenance, les mises jour et les livraisons du CNERTA........................................................31
Communication entre les interfaces (d'un (V)LAN l'autre)................................................................................32
Export du client OpenVPN pour Windows ou de la configuration viscosit pour MAC........................33
Analyser le trafic : utilisation de Snort................................................................................................................................34
Annexe 1 : extraits du dossier de montage du projet de dploiement des serveurs pfSense en
Lorraine..................................................................................................................................................................................................35
Spcificits du rseau informatique d'un site rgional d'un EPL..................................................................35
Objectifs de dploiement des serveurs dits pfSense .....................................................................................35
Architecture cible.......................................................................................................................................................................36
Adressage (V)LANs et VPNs..........................................................................................................................................36
Serveur : interfaces, ports Ethernet et (V)LANs associs..................................................................................36
Annexe 2 les alias (Aliases).....................................................................................................................................................37
Focus sur certains alias Firewall : Aliases : Edit................................................................................................37
Annexe 3 configuration des tunnels OpenVPN...........................................................................................................38
Ct serveur du tunnel OpenVPN site site (pfSense du site principal).................................................38
Ct client du tunnel OpenVPN site site (pfSense du site secondaire)..................................................39
48
Annexe 4 Rgles d'autorisation du trafic des services...........................................................................................40

Tableau rcapitulatif (exemples)......................................................................................................................................40
Rgles sur le serveur pfSense du site distant (esclave) pour le tunnel OpenVPN..............................40
Rgles sur le serveur pfSense du site principal pour le tunnel OpenVPN...............................................41
Annexe 5 Les bogon ou adresses IP invalides ............................................................................................42
Annexe 6 Certificats ...................................................................................................................................................................43
D'autorit.........................................................................................................................................................................................43
D'utilisateur...................................................................................................................................................................................43
Annexe 7 : nommage des interfaces sous FreeBSD......................................................................................................44
Annexe 8 : notation CIDR.............................................................................................................................................................44
Annexe 9 : erreurs............................................................................................................................................................................45
acd0: FAILURE - READ_BIG MEDIUM ERROR asc=0x11 ascq=0x00 ...................................................45
Le trafic ne passe pas, malgr une criture correcte des rgles....................................................................45
Montage tunnel impossible..................................................................................................................................................45
Accs impossible l'interface web de configuration via tunnel nomade................................................45
49

Guide MenOeuvre PfSenseV2

Transféré par

Droits d'auteur :

Formats disponibles

Vous aimerez peut-être aussi

Guide MenOeuvre PfSenseV2

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guide MenOeuvre PfSenseV2

Transféré par

Droits d'auteur :

Formats disponibles

Guide de mise en uvre de pfSense v2

(dans un cadre de dploiement spcifique)

Guide installation pfSenseInstall-PfSense-V2-GP-v13-02-07.odt - 06/03/12

D'une manire gnrale, nous appliquons le principe suivant :

larchitecture dans laquelle sintgre le serveur support de pfSense,

Le site officiel PfSense : http://www.pfsense.org/

Application pfSense et compatibilit

1 Politique de scurit des systmes d'information.

Boot et lancement de l'installation

Pour lancer l'installation pressez I l'invite.

[ Press R to enter recovery mode or ]

press I to launch the installer

Rebootez lorsque vous y tes invit.

Configuration des interfaces rseau

Pas de mise en place de VLAN

Assignation des interfaces

Configuration en ligne de commande de l'adressage des premires interfaces

Entrez 2 pour lancer la

Puis choisissez le numro de l'interface

Poursuite de l'installation via l'interface web

Utilisation de l'assistant de configuration

Vrification, modification et compltion du paramtrage des interfaces

Onglet 'Interface assignments'

partir des ports rseaux non utiliss.

Vrification, compltion et modification de la configuration, interface par interface

Configuration gnrale de l'interface

En annexe 1 vous trouverez les donnes propres notre dploiement.

Onglet 'Interface Groups'

Scurit configuration avance

Toujours slectionner un accs par HTTPS

Mise jour de pfSense

Diagnostics : Backup/restore > 'Backup

Diagnostics : Backup/restore > 'Restore configuration'

Installation de paquets ou packages supplmentaires

Outil d'exportation des clients OpenVPN

Outil de prvention et dtection d'intrusion

Serveur mandataire (proxy / cache web)

Filtre URL proxy cache web

Dfinition des alias : un pralable l'criture des rgles

puis renseignez les champs nom (Name) et description. Choisir le type

l'adresse IP des serveurs sur le rseau ADMIN : [dp]IPsServeur1, [dp]IpServeur2, etc.

les adresses IP publiques des serveurs du CNERTA : CnertaIpsPubliques

criture des rgles

, en validant puis en cliquant sur

Comme dj mentionn au Au pralable de l'installation , il est ncessaire de faire linventaire exhaustif

Single host or alias Adresse IP ou alias

Rseau dfinir dans le champ suivant (Address)

Rseau sur lequel est brasse l'interface WAN

Adresse alloue l'interface WAN de pfSense

Rseau sur lequel est brasse l'interface OPTn

Adresse alloue l'interface OPTn de pfSense sur

Pour saisir un alias, dans un champ, il faut slectionner 'Single host

et activer les logs.

criture/dition des rgles

soit elle est ajoute librement en cliquant sur

droite dans le prolongement de la ligne

en haut ou en bas de la liste.

On peut diter une rgle tout moment en cliquant sur

Accs l'interface web de configuration de pfSense et dsactivation de la rgle