Académique Documents
Professionnel Documents
Culture Documents
pfSense
Manuel dInstallation et dUtilisation du Logiciel
1. Configuration matrielle :
1.1.Minimale :
CPU : 133 Mhz mais 400 Mhz est recommand.
Mmoire : 128 Mb.
Disque Dur : 1 Gb.
Cartes rseaux : 2 ou plus suivant le rseau voulu.
1.2.Actuelle :
2. Schma du rseau :
Schma rseau 1
Configuration de pfSense :
LAN : 193.56.2.224
WAN : 192.168.1.1
OPT1 : 192.168.2.1
3. Installation de pfSense :
Tlchargez limage de pfSense dans la section Download de pfSense
(http://www.pfsense.com)
Laissez alors le compte rebours se terminer (10 secondes) ou appuyez directement sur
Entre . Le dmarrage par dfaut est choisit.
FreeBSD dtecte le nombre de cartes rseaux, et y attribue des noms (le0, le1, le2 dans notre
cas).
Nous allons prsent choisir quelle interface appartient au LAN, au WAN, et au WAN2
(appele aussi OPT1). Il suffit alors de renseigner son nom.
Pour connatre avec certitude la carte rseau que lon affecte, il est possible de faire de lauto
dtection, cest dire que lorsquune carte rseau est branche, elle devient UP .
Ladresse par dfaut du LAN est 192.168.1.1. Nous allons la modifier en 193.56.2.224 pour
que pfSense soit sur le mme rseau. Saisir loption 2 .
Nous voil de nouveau au menu. Nous allons prsent installer rellement pfSense sur le
disque dur. Saisir alors le choix 99 .
L'installation qui va suivre se fait en acceptant toutes les options par dfaut. Il suffit d'accepter
toutes les demandes (formatage si ncessaire et cration de la partition).
Si ncessaire, slectionnez loption Format this Disk . Cest cela dit plus prudent de
formater le disque dur mme sil est cens tre vide.
Ici on peut modifier la gomtrie du disque dur. Cette tape n'est en principe pas ncessaire.
En effet, FreeBSD reconnat quasiment tous les disques durs existants. A ne changer donc
uniquement si le disque est trop rcent et donc pas reconnu.
Nous allons maintenant crer les partitions sur le disque dur. Nous pouvons crer autant de
partitions que nous le souhaitons dans le cas o plusieurs systmes d'exploitations seraient
mis en place.
Vous pouvez ici soit garder la taille de la partition (par dfaut il utilisera tout le disque dur) ou
lui dfinir une taille.
Ce message averti seulement que les donnes existantes sur la partition vont tre crases.
Sur tout systme Linux, il existe une partition swap (partition dchange). Cest un espace
rserv pour rajouter de la mmoire. La taille de la partition swap dpend gnralement de
la RAM prsente sur lordinateur.
Nous allons maintenant crer le boot du disque dur. Cela va permettre de dmarrer la
machine directement sur pfSense.
4. Configuration de pfSense :
PfSense est dsormais disponible ladresse du LAN : http://193.56.2.224
login : admin ; mdp : pfsense (par dfaut)
Cest partir de cette adresse que toutes les manipulations vont se drouler.
4.1.Prparation de la configuration :
Lors de la connexion ladresse de pfSense, une aide la configuration apparat. Elle permet
de configurer la base de pfSense. Il est conseill de lutiliser mme si par la suite les
informations renseignes peuvent tre changes.
Dans notre cas, nous renseignons les DNS primaires des deux connexions.
Ce logiciel utilise le protocole NTP (Network Time Protocol) qui permet de synchroniser les
horloges des systmes informatiques travers un rseau dont la latence est variable.
Ceci correspond la configuration de linterface WAN. Pour tre sr dutiliser la bonne carte
rseau, il est conseill dy rentrer son adresse MAC. Il ne faut galement pas oublier de
dcocher la case Block private networks from entering via WAN .
Ensuite, en ce qui concerne linterface LAN, il faut simplement sassurer de la bonne adresse
et du bon masque de sous-rseau.
Enfin, le mot de passe daccs linterface graphique de pfSense est modifier. Cela
permettra de restreindre laccs cette interface qui doit tre confidentielle.
Advanced :
Cette section reprsente les options avances de pfSense comme laccs SSH, les cls SSL,
etc. Pour la ralisation du projet, les sticky connections (connexions persistantes) ont t
acceptes.
Cette option permet dviter la rengociation inutile des cls SSL pour le protocole HTTPS.
Firmware :
General Setup :
Ce sont les configurations de base de pfSense rentres lors du guide dinstallation. Il faut
vrifier que Allow DNS server list to be overridden by DHCP/PPP on WAN est bien
dcoch.
Packages :
Il est possible dinstaller de nouveaux paquets tels que MRTG (interface graphique SNMP),
Squid (serveur mandataire), etc.
Setup Wizard :
Le Setup Wizard est le guide rencontr au dbut de linstallation de pfSense. Il est possible de
le refaire.
Static Route :
Les routes statiques sont importantes lorsquune adresse rseau nest pas vue par la
passerelle.
Linterface WAN est notre interface par dfaut. OPT1 nest pas forcment utilise et va
pointer vers linterface WAN (ce quon ne veut pas). Il est alors judicieux dajouter une route
statique pour le DNS.
4.2.2. Interfaces :
(assign) :
Il est possible de modifier lattribution dune interface une carte rseau laide de ladresse
MAC.
Les VLANs peuvent galement y tre grs.
WAN :
LAN :
OPT1 :
Cette interface correspond notre liaison de secours. Elle porte le nom de Optional 1
(OPT1). Sa configuration est proche de celle de linterface WAN.
4.2.3. Firewall :
Aliases :
Les alias permettent principalement dassocier un nom une adresse dhte, un port, ou un
rseau. Un nom peut comprendre plusieurs lments, ce qui facilite et simplifie les rgles
appliquer aux htes spcifis.
NAT :
Le NAT (Network Address Translation) permet notamment de faire correspondre une seule
adresse externe publique visible sur Internet toutes les adresses dun rseau priv.
Dans notre cas, le NAT sera utilis pour les deux connexions Internet.
Rules :
Rgle par dfaut : Tout est bloqu. Elle nest pas explicitement crite mais est applique.
LAN :
WAN :
OPT1 :
Schedules :
Schedule (planifier) correspond un intervale de temps dans le mois ou dans la journe. Ces
planifications sont attribuer des rgles de Firewall. Ces rgles sont alors actives en
fonction dune plage dhoraire prcise. Par exemple, laccs Internet ne sera autoris que de
9h 19h.
Traffic Shaper :
Le Traffic Shaping permet de contrler lutilisation de la bande passante. On peut par exemple
limiter la bande passante dun hte ou dun port. Cependant, le Traffic Shaping ne peut tre
ralis quavec une seule interface Internet et non deux comme dans notre cas. Nous ne
pourrons donc pas lutiliser correctement. On peut toutefois lactiver sur une des deux
interfaces.
Virtual IPs :
Il est possible dassigner des adresses IP virtuelles. Ceci permet davoir un hte avec plusieurs
adresses IP.
Dans cette partie, on peut aussi configurer le CARP (Common Address Redundancy
Protocol).
L'objectif premier de ce protocole est de permettre un groupe d'htes sur un mme segment
rseau de partager une adresse IP.
Lutilisation principale de CARP est la cration d'un groupe de pare-feu redondants. L'adresse
IP virtuelle attribue au groupe de redondance est dsigne comme l'adresse du routeur par
dfaut sur les machines clientes. Dans le cas o le pare-feu matre rencontrerait une panne ou
est dconnect du rseau, l'adresse IP virtuelle sera prise par un des pare-feu esclaves et le
service continuera tre rendu sans interruption.
4.2.4. Services :
Plusieurs services peuvent tre grs par pfSense. Ils peuvent tre arrts ou activs depuis
cette interface.
Nous ne nous intresserons quau service Load Balancer. Cest celui-ci qui nous permettra
de configurer le FailOver et donc la redondance des connexions Internet.
Le principe du FailOver est dutiliser le protocole ICMP afin de pinguer une passerelle (le
DNS tant lidal pour savoir si une connexion Internet fonctionne ou non). Notre passerelle
principale est Internet1 (WAN) et la passerelle de secours correspond Internet2 (OPT1). Si
le ping vers la passerelle du WAN ne fonctionne plus, la connexion est alors dirige vers
OPT1. Puis lorsque la passerelle WAN redevient active, la connexion est ramene sa
passerelle par dfaut (WAN). Pour utiliser correctement cette fonctionnalit, il nous faut crer
le pool dadresses ci-aprs.
4.2.5. VPN :
Le VPN IPSec peut tre utilis en mode transport (hte rseau ou hte hte) ou en mode
tunnel (rseau rseau). Il sait grer le protocole AH (Authentification) et ESP (Cryptage). Il
gre galement les autorits de certification.
Le VPN OpenVPN gre les serveurs et les clients VPN. Il gre galement les autorits de
certification.
Le VPN PPTP gre aussi les serveurs et les clients. Il prend en compte un serveur RADIUS
pour lauthentification. Du ct client, un simple login/mot de passe est renseigner.
4.2.6. Status :
Longlet Status permet de voir ltat de pfSense. Nous pouvons par exemple vrifier si les
interfaces sont actives, leurs adresses, etc.
Cela dit, quelques status sont plus importants que dautres : Interfaces pour voir ltat des
connexions ; Load Balancer pour vrifier si le FailOver fonctionne ; Services pour arrter ou
lancer un service ; System qui est la page daccueil et nous permet de voir ltat du systme ;
et pour finir, le plus important : System Logs qui sont les logs de tous les services.
4.2.7. Diagnostics :