Académique Documents
Professionnel Documents
Culture Documents
Guide MenOeuvre PfSenseV2
Guide MenOeuvre PfSenseV2
Guide MenOeuvre PfSenseV2
Avant-propos
Les choix techniques, dont la mise en uvre est dtaille dans ce document, sont le rsultat d'une politique
rgionale propre au rseau des lyces et CFA de l'enseignement agricole. Ces choix ne conviennent pas
ncessairement tout le monde et les copier dans un autre contexte n'aurait pas de sens sans analyse
pralable. Il en est de mme pour la pertinence dployer plusieurs modules et fonctionnalits sur pfSense
lui-mme.
Ce document se veut le plus transfrable possible dun site lautre : on parlera indiffremment de LAN ou
VLAN, avec le terme (V)LAN, pour ne pas prjuger de la technologie utilise pour les sous-rseaux de
l'tablissement. On considre ici que les interfaces Ethernet du serveur support de l'application pfSense sont
brasses physiquement sur des (V)LAN diffrents (quand bien mme elles supportent la norme 802.1q, elles
n'appartiennent pas plus d'un (V)LAN la fois).
En annexe 1 vous trouverez un extrait du dossier de montage du projet de dploiement des serveurs dits
pfSense en Lorraine avec notamment une description de l'architecture rseau pour modliser les liens et
visualiser les flux.
L'utilisation des serveurs applicatifs des serveurs pfSense ne se substitue pas celle des serveurs
mandataires dj en place dans l'architecture rgionale. L'utilisation de ces serveurs rpond la mise en
place de services spcifiques l'enseignement agricole (voir annexe 1).
sur les postes des (V)LANs ADMIN ou PEDA , les rles de passerelle et serveur mandataire sont assurs par un autre serveur
mandataire,
les flux associs aux services spcifiques pour l'interconnexion des SI de l'EA seront routs et grs par le serveur pfSense (route
persistante crire en dur sur les postes ou via serveur dhcp en option tendue 033).
Au pralable de linstallation
Avant de se lancer dans li nstallation, certains lments du projet doivent tre bien prpars, comme la
configuration matrielle ncessaire et les services mettre en uvre par l'application. La connaissance de
l'architecture cible est elle aussi primordiale. Des documents ressources sont disponibles ; certains ont servi
la rdaction de ce guide. Des rappels et recommandations sont incontournables. Enfin, il faut disposer de la
dernire version stable de pfSense et s'assurer de la compatibilit matrielle du serveur avec la distribution
FreeBSD (en particulier de celle des cartes rseaux).
Services
Les optiques dutilisation de pfSense sont nativement les suivantes :
Pare-feu filtrant entre lInternet et les (V)LAN d'une part, avec gestion de QoS, et, d'autre part, entre les (V)LAN
Routeur (V)LAN ou WAN, avec gestion de la norme 802.1Q
Point daccs avec portail captif
Usages spcifiques : serveur mandataire, Serveur VPN, DNS, DHCP, snifer, NDIS, etc.
Architecture et adressage
Il est ncessaire de connatre parfaitement la topologie de son rseau :
Documentation et aide
Sites de rfrence
o le forum franais pour pfSense : http://forum.pfSense.org/index.php?board=7.0
o le site de OSNET : http://www.osnet.eu (en franais)
o
o
o
o
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Rappels et recommandations
Les diffrentes interfaces d'un Firewall ne doivent pas tre connectes au mme rseau physique (ou alors, si
les interfaces rseaux du serveur grent la norme 802.1q, uniquement sur des ports Ethernet appartenant
des VLAN 802.1q diffrents ; mais ce n'est pas notre cas).
La connexion internet est de type ADSL, SDSL ou FIBRE : elle se fait l'aide d'un routeur (routeur e-lorraine).
Les serveurs applicatifs pfSense ont leur interface WAN relie ce routeur : cette interface se retrouve donc
directement sur Internet ; elle a une adresse IP WAN publique.
Une analyse pralable du contexte de mise en uvre est indispensable, notamment en termes de PSSI1 .
ainsi
que
sur
le
site
miroir
franais
l'adresse
http://pfSense.bol2riz.com/downloads/
Vous trouverez des lments indicatifs sur la compatibilit l'adresse : http://www.pfsense.org/index.php?
view&id=46&Itemid=51.
Schma de
principe
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Installation
Brassage des ports RJ45 pour identification des interfaces
Afin d'activer les interfaces rseau et faciliter leur identification, il est indispensable de brasser tous les ports
rseau qui vont tre utiliss en les reliant par exemple des switches . Sinon, vous devez connatre les
noms des interfaces de votre serveur sous FreeBSD (vous trouverez en annexe 7 des indications pour
identifier les interfaces sur votre serveur).
Welcome to pfSense !
1. Boot pfSense [default]
2. Boot pfSense with ACPI disable
[...]
8. Reboot
Select option, [Enter] for default
or [Space] to pause timer 10
(R) ecovery
(I) nstaller...
(C) continues ...
Paramtrage de la console
Vous tes invits configurer la console.
Arriv l'cran ci-contre ne cherchez pas configurer le clavier ,
le rsultat est ngatif ; si vous souhaitez le faire il faudra suivre
les instructions que vous trouverez sur l'Internet, mais aprs
l'installation et en mode console.
Acceptez les choix en descendant sur < Accepte these Settings > puis en validant.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Type d'installation
Optez pour une installation facile puis confirmez l'cran
suivant.
Le choix suivant se
porte sur le type de
processeur : laissez le
choix par dfaut puis
validez.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Vrifiez, modifiez ou compltez si ncessaire les informations ncessaires au paramtrage de l'interface WAN (rseau public
Internet). Les informations sont disponibles auprs du fournisseur d'accs ou de la matrise d'uvre, E-Lorraine en ce qui nous
concerne : IP publique, masque, passerelle (adresse IP WAN du routeur e-lorraine), serveurs DNS externes, etc.
Vrifiez, modifiez ou compltez si ncessaire les informations ncessaires au paramtrage de l'interface LAN (attention ne pas
perdre l'accs !).
Renseignez/changez le mot de passe d'administration via l'interface web (par dfaut = pfSense).
Onglet 'VLANs'
C'est ici que vous pouvez configurer les VLANs (cette question n'est pas aborde dans ce document).
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
Conserver la rgle DNS Rebinding Checks ainsi que HTTP_REFERER enforcement check , sauf si souhait d'accs au pare-feu
en utilisant ssh et le port-forward par exemple. Il se peut que vous soyez contraint de dsactiver HTTP_REFERER enforcement
check en cas d'impossibilit d'accs l'interface web de configuration depuis un poste nomade (voir annexe 9).
Si souhait, possibilit d'activer l'accs par SSH en prfrant un accs via une cl RSA (plus rapide et plus scuris)
Si le serveur en est pourvu, l'activation du port srie (Serial Terminal) vous offre une porte de secours en cas de perte d'accs
l'interface Web.
Il est risqu de scuriser l'accs la console par mot de passe de protection en cochant l'option Password protect the console
menu : en effet, en cas de crash du mot de passe admin, plus aucun accs pfSense ne sera possible ; d'autre part, l'accs la
console ncessite un accs physique au serveur qui normalement est scuris. Donc, un conseil : ne pas verrouiller l'accs via la
console par un mot de passe.
Sauvegarder la configuration !
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
10
Exemple de configuration avance (seules les options modifies et/ou voques ci-dessus sont prsentes).
Notifications
System > Advanced > onglet 'Notifications'
C'est sur cette page que vous pouvez configurer les options pour l'envoi des notifications.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
11
Sauvegarde de la configuration
La sauvegarde de toute ou partie de la configuration se fait partir de cette page : Diagnostics >
Backup/Restore
Une fois les alias dfinis (voir $ ponyme) sur un serveur, vous pourrez, par exemple, les exporter d'un
serveur pfSense vers un autre :
Serveur modle
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
serveur cible
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
13
d'alias parmi hte(s) Host(s) - , rseau(x) Network(s) -, port(s), URL et table d'URL - URL TABLE, puis
complter les champs associs.
On peut crer des alias d'alias . Ainsi, par exemple, une fois les alias cres pour les LAN des tunnels
OpenVPN on cre un alias les reprenant tous pour l'criture de rgles communes. La seule condition la
cration d' alias d'alias est que tous soient du mme type (ports, host, rseau, etc.).
Les alias configurs pour le serveur pfSense du site principal d'un EPL seront exports puis imports dans la
configuration des serveurs pfSense des sites antenne pour nous viter d'avoir les rcrire (s'ils ne seront
pas tous utiliss dans toutes les configurations, on pourra ventuellement supprimer ceux qui savreront
inutiles).
Nous allons avoir besoin de crer des alias pour les donnes suivantes (prenons l'exemple d'un EPL) :
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
14
Cette politique n'est pas satisfaisante ! Aussi, afin de limiter l'impact des systmes compromis, de restreindre
les capacits infecter le rseau, de limiter l'utilisation d'application non autorises sur le rseau, de limiter
l'usurpation d'adresse IP (l'IP Spoofing) ainsi que la fuite d'information, nous devons filtrer le trafic sortant.
Commenons par supprimer cette rgle en cliquant sur
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
15
any
tout
Wan subnet
Wan address
OPTn subnet
OPTn address
En pratique
Interdire par dfaut : configurez les rgles pour autoriser le strict minimum de trafic ; en l'absence de rgle sur une interface,
celle-ci bloque tout trafic se prsentant
Question se poser : qu'est-ce-que je dois autoriser ? et non qu'est-ce-que je dois bloquer ?
Rgles lisibles, courtes et documentes
Rgles crire sur la premire interface de pfSense qui reoit le paquet : les donnes de la rgle sont celles contenues
dans le paquet qui se prsente (je viens de, je vais vers, via tel port, tel protocole)
Pour une meilleure scurit, limiter autant que possible les connexions aux adresses IP des source(s) et destination(s)
Ne rien inscrire pour le(s) port(s) source (choisir any ) ; en effet, la plupart du temps , ce(s) port(s) est(sont) dfinis de
faon alatoire par la source.
Une astuce
En cas de difficults d'criture des rgles, vous pouvez procder comme suit :
utilisez temporairement une rgle selon laquelle tout passe, par exemple ADMIN net vers tout (any) sans spcifier de port
Firewall :Rules > onglet 'LAN' > clic sur
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
16
gnrez du trafic pour le service tudi et observez ce qui se passe dans 'Status : System Logs' onglet 'Firewall'
crez la rgle automatiquement en cliquant sur (Easy Rule : pass this traffic) sur la ligne correspondant au service autoriser
puis, ventuellement, ditez la rgle pour, par exemple, la limiter aux adresses IP source et/ou destination
n'oubliez pas de supprimer la rgle temporaire qui autorise tout !
soit la rgle est rajoute sur le modle d'une rgle existante, en cliquant sur
correspondant la rgle modle, puis en apportant les modifications
Rgle autorisant tout poste du rseau ADMIN se connecter l'i nterface de configuration web de pfSense : ainsi tout le trafic provenant du rseau ADMIN
destination de l'adresse IP sur ADMINnet de pfSense est permis via les ports TCP 80, 443 et 22 (alias PortsAccesInterfaceWebPfSense).
correspondante
sur
la
page
droite dans le prolongement de la ligne correspondant la rgle immdiatement plus permissive, c'est-dire celle qui se trouvera immdiatement en dessous de celle(s) dplace(s).
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
17
Mise en place d'une liaison site site via un tunnel OpenVPN pour
accs serveur
Simple mettre en uvre (un site client, un site serveur), bas sur une cl secrte partage et beaucoup plus
lger que les tunnels IPSec mais tout aussi scuris, nous allons configurer le montage d'un tunnel OpenVPN
entre les deux serveurs pfSense d'un EPL. La configuration du tunnel va crer une nouvelle interface sur les
deux serveurs, appele OpenVPN (interface virtuelle) : elle n'apparat pas dans la liste des interfaces
physiques mais un onglet sera rajout dans la page 'Firewall : Rules' de configuration de l'interface web.
2 La RFC 1918 df init un espace d'adressage priv permettant toute organisation d'attribuer des adresses IP aux machines de son rseau interne. Il sagit
des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et 192.168.0.0/16.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
18
Configuration ct client
Nous devons configurer le serveur pfSense du site distant comme client OpenVPN.
VPN > OpenVPN > onglet Client > Add serveur
La rgle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP WAN du serveur pfS ense clientOpenVPN du site di stant (alias
[dp]IPWanPfsenseSiteAnt1) destination de l'adresse IP du serveur pfSense serveur OpenVPN du sit e principal (WAN address) sur le
port UDP 1195.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
19
[dp]TsLANsSourcesCnxServ1
[dp]IpServ1
[dp]TsLANsSourcesCnxServ1
[dp]IpServ1
[dp]TsLANsSourcesCnxServ1
[dp]IpServ1
Les rgles auto risent, sur l'interface OpenVPN, le trafic provenant de tous les tunnels (alias [dp]TsLANsSourcesCnxServ1) destination de l'adresse IP du
serveur 1 (alias [dp]IpServ1) pour le service MS RDP (port TCP3389), le service MS DS (ports TCP/UDP 445) ainsi que pour le service d'I CMP echoreq.
[dp]IpServ1
[dp]IpServ1
[dp]IpServ1
Les rgles autorisent, sur l'interface ADMIN, le trafic provenant de tout le rseau ADMIN (ADMIN net) destination de l'adresse IP du serveur 1 (alias
[dp]IpServ1) pour les services MS RDP (port TCP3389) et MS DS (po rts TCP/UDP 445), ainsi que pour le service d'I CMP echorequest.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
20
Cration de l'utilisateur
L'utilisation d'un tunnel nomade est subordonne la celle d'un compte utilisateur reconnu par pfSense.
L'utilisateur peut faire partie de la base locale de pfSense, peut tre dans un annuaire ou distribu par un
serveur RADIUS. Dans notre cas nous allons crer des utilisateurs dans la base locale.
System > Users manager puis clic sur
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
21
CA-EPL[dp]
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
22
Tunnel nomade
Attention : les rgles crites automatiquement sont larges ! Mieux vaut les crire soi-mme, ne serait-ce
que pour comprendre ce que l'on fait. On peut aussi dcider de leur cration automatique puis les modifier
par la suite.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
23
Ce qui donne :
Le deuxime lot de rgles est crire sur l'interface OpenVPN pour autoriser le trafic associ aux services MS
DS, MS RDP et ICMP echorequest dans le tunnel. Or comme nous avons dj crit la rgle pour la liaison
inter-site en utilisant un alias ([dp]TsLANsSourcesCnxServ1) pour dsigner l'ensemble des rseaux sources
de trafic (voir page 18), il n'y a rien rajouter ou modifier.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
24
Cliquez sur 'Windows Installer' en face de 'nomade' puis suivez les instructions.
25
bien
celle
de
l'universit
de
Toulouse
tlchargeable
ici
http://cri.univ-
tlse1.fr/blacklists/download/blacklists_for_pfsense.tar.gz)
Renseignez le champ et cliquez sur 'Download'.
26
Mettez l'option d'accs de la dernire ligne 'Defaut access [all] 'allow' pour tout autoriser faute de
quoi le filtre aura pour effet d'interdire tout accs l'Internet.
Ensuite, mettez 'deny'
l'accs aux contenus que
vous voulez filtrer (porn,
warez, etc.).
A NOTER
attention, il ne faut
utiliser aucun caractre
accentu.
Validez la configuration
en cliquant sur 'Save'.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
27
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
28
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
29
Les deux premires rgles autorisent, su r l'interface INVITE, le trafic provenant des adresses IP du (V)LAN INVITE destination d'Internet pour les services
courants et FirstClass (o l'alias PortTcpAccesInternetInvite dfinit les ports TCP 80, 443, 21 et 510). La troisime bloque tout trafic destination des (V)LANs
admin et pdago (alias TsVlanSfInvite d'alias).
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
30
192.168.1.1
devez
d'adresses,
spcifier
par
une
plage
exemple
pour
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
31
D'autre part, nous autoriserons les serveurs accder l'Internet (services courants HTTP, HTTPS, FTP, ICMP
echo request et DNS).
Firewall > Rules puis choix de l'interface brasse sur le rseau administratif (ADMIN dans notre cas, LAN en
gnral).
[dp]IPsServeurs
L'option [dp]IPsServeurs
Anti-lockout pourra tre dsactive lorsque toutes les rgles de pare-feu seront crites
[dp]IPsServeurs
[dp]IPsServeurs
[dp]IPsServeurs
Les rgles autorisent, sur l'i nterface ADMIN, le trafic provenant des adresses IP des serveurs (alias [dp]IPsServeurs) destination des adresses IP publiques
du CNERTA (alias CnertaIpsPubliques) pour le service de maintenance, pour les services HTTPS, HTTP, DNS, ICMP echorequest et FTP (alias
CnertaLgaPo rtsAccInternet) pour l'accs l'Internet, les mises jour et livraisons ainsi que pour le service DNS.
[dp]IPsServeur1
[dp]IPsServeur1
[dp]IPsServeur1
Les rgles autorisent, sur l'interface PEDA, le trafic provenant du (V)LAN pdagogique (PEDA net) destination du serveur 1 (alias [dp]IpServeur1 pour le
service MS RDP (port TCP3389), le service MS DS (ports TCP/UDP 445) ainsi que pour le service d'I CMP echo request.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
32
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
33
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
34
autoriser une connexion scurise entre un poste du rseau d'un site antenne et un serveur du sous-rseau administratif
du site principal ;
autoriser une connexion scurise entre un poste du rseau sous-pdagogique du site principal et un serveur du sousrseau administratif de ce site ;
autoriser une connexion scurise entre un poste nomade identifi et un serveur du sous-rseau administratif du site
principal d'un EPL ;
autoriser la liaison pour atteindre l'intranet du ministre depuis un poste sur les rseaux des EPL ;
autoriser la liaison pour permettre la tl-maintenance des serveurs par Eduter-CNERTA ;
autoriser les livraisons et mises jour de ces serveurs ;
autoriser, via un portail captif, l'accs l'Internet d'un poste informatique invit ; faciliter, contrler, scuriser et filtrer la
connexion du sous-rseau INVITE l'Internet ;
effectuer en temps rel des analyses de trafic et logger les paquets sur un rseau.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
35
Architecture cible
Adressage (V)LANs et VPNs
WAN
xxx.xxx.xxx.xxx /29
passerelle : IP routeur
ADMIN
10.xxx.xxx.0 /24
PEDA
172.xxx.xxx.0 /16
10.xxx.100.0/30
o 100 peut se dcomposer comme suit : 10 pour reprendre le troisime octet du rseau ADMIN
et 0 pour le premier tunnel
OVPN nomade
em1 ADMIN
igb0 PEDA
igb1 INVITE
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
36
Dtail de l'alias signifiant les ports TCP ouvrir pour le montage du tunnel du CNERTA
[dp ]
1
2
[dp ]
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
37
ant1
ant1
ant2
princ
princ
princ
ant2
princ
ant2
princ
La cl doit tre
identique celle du
client
dition du tunnel site site, ct serveur, entre les rseaux admin des sites antenne de l'EPL
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
38
La cl doit tre
identique celle du
serveur
dition du tunnel site site, ct client, entre les rseaux admin des sites antenne de l'EPL
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
39
Source(s)
Destination(s)
Port destination
Serveur du
(V)LAN ADMIN
du site
ICMP echo
request, TCP 3389
(MS RDP) et
TCP/UDP 445
(MS DS)
PfSense du site
UD P 1195
pri ncipal (ma tre)
PfSense du site
UD P 1194
pri ncipal (ma tre)
Maintenance CNERTA
Accs DNS
UD P 500, 2746,
18233 et 18234
TCP 500, 256,
264, 18231 et
18232
TCP 443 (HTTPS),
80 (HTTP) et 21
(FT P)
UD P 53
Rgles sur le serveur pfSense du site distant (esclave) pour le tunnel OpenVPN
crire pour l'interface ADMIN
[dp]IpServeur1
[dp]IpServeur1
[dp]IpServeur1
Les rgles autorisent, sur l'interface ADMIN, le trafic provenant du (V)L AN ADMIN (ADMIN net) destination de l'adresse IP du serveur (alias
[dp]IpServeu r1) pour le service MS DS sur les ports TCP/UDP 445, le service MS RDP sur le port TCP 3389 et le service ICMP echo request, dans le but d'tablir
une connexion au serveur.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
40
[dp]IpWanPfsenseAnt1
La rgle autorise, sur l'interface WAN, le trafic provenant de l'adresse IP publique du serveur pfSense du site de Toul (alias [dp]IPWanPfsenseAnt)
destination de l'adresse IP publique du serveur pfSense du site principal (WAN adress) pour le montage du tunnel OpenVPN sur le port TCP 1195.
rgles pour les services autoriss encapsuls dans le tunnel, crire pour l'interface OpenVPN
[dp]TsLANsSourcesCnxServeur1
[dp]IpServeur1
[dp]TsLANsSourcesCnxServeur1
[dp]IpServeur1
[dp]TsLANsSourcesCnxServeur1
[dp]IpServeur1
Les rgles autorisen t, sur l'i nterface OpenVPN, le trafic provenant des adresses IP de tous les rseaux sources (alias [dp]TsLANsSourcesCnxServ1)
destination de l'adresse IP du serveur 1 (alias [dp]IpServeur1) pour le service MS DS sur les po rts TCP/UDP 445, le service MS RDP sur le po rt TCP 3389 et le
service ICMP echo request, dans le but d'tablir une connexion TSE au serveur 1.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
41
3 La RFC 1918 df init un espace d'adressage priv permettant toute organisation d'attribuer des adresses IP aux machines de son rseau interne. Il sagit
des plages d'adresses 10.0.0.0/8, 172.16.0.0/13 et 192.168.0.0/16.
4 Les adresses de la classe D sont utilises pour les communications multicast, alors que ceux de la classe E sont utilises pour la recherche.
5 Un Registre Internet Rgional (RIR), alloue les adresses IP dans sa zone gographique des oprateurs rseau et des fournisseurs Internet. Il existe
aujourd'hui cinq RIRs.
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
42
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
44
Annexe 9 : erreurs
Voici un rsum des erreurs rencontres ou commises.
Dfinition incomplte d'un alias (par exemple, pour un alias rseau cr : pas de renseignement de plage d'adresse !)
Oubli d'criture de la rgle sur l'interface WAN pour autoriser le flux li au tunnel
Erreur de port entre celui configur pour le serveur VPN et la rgle correspondante sur l'interface WAN
Si affichage du message An HTTP_REFERER was detected other than what is defined in System -> Advanced
(https://10.54.102.1/index.php). You can disable this check if needed in System -> Advanced -> Admin. , dsactiver
HTTP_REFERER enforcement check (la case Disable HTTP_REFERER enforcement check dois tre coche)
Oubli d'criture d'une rgle dans l'interface OpenVPN qui autorise accder l'interface (en HTTPS par exemple)
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
45
46
Notifications..................................................................................................................................................................................11
Mise jour de pfSense...................................................................................................................................................................12
Sauvegarde de la configuration................................................................................................................................................12
Installation de paquets ou packages supplmentaires ............................................................................................13
Outil d'exportation des clients OpenVPN....................................................................................................................13
Outil de prvention et dtection d'intrusion.............................................................................................................13
Serveur mandataire (proxy / cache web)...................................................................................................................13
Filtre URL proxy cache web.................................................................................................................................................13
Dfinition des alias : un pralable l'criture des rgles.........................................................................................14
criture des rgles...........................................................................................................................................................................15
En pratique.....................................................................................................................................................................................16
Une astuce.......................................................................................................................................................................................16
criture/dition des rgles..................................................................................................................................................17
Accs l'interface web de configuration de pfSense et dsactivation de la rgle de protection
anti-lockout ............................................................................................................................................................................17
Changement de l'ordre des rgles....................................................................................................................................17
Mise en place d'une liaison site site via un tunnel OpenVPN pour accs serveur.............................18
Configuration ct serveur du tunnel OpenVPN.....................................................................................................18
Configuration ct client .......................................................................................................................................................19
Rgle pour autoriser le montage du tunnel OpenVPN site site..................................................................19
Rgles pour autoriser le trafic dans le tunnel OpenVPN site site..............................................................20
Mise en place d'une liaison nomade au serveur............................................................................................................21
Cration du certificat d'autorit........................................................................................................................................21
Cration de l'utilisateur..........................................................................................................................................................21
Cration et configuration du tunnel nomade............................................................................................................22
criture des rgles.....................................................................................................................................................................24
Export du client Windows.....................................................................................................................................................25
Cration d'un tunnel IPsec..........................................................................................................................................................25
Entre deux serveurs applicatifs pfSense......................................................................................................................25
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
47
48
Install-PfSense-V2-GP-v13-02-07.odt - 07/02/13
49