PFSENSE

Monsieur RANDRIANOMENJANAHARY
Lala Ferdinand
 Qu’est-ce que le PFSense ?
Le PFSense est un routeur (mais également un pare-feu)
basé sur le système d’exploitation FreeBSD.
Il utilise des fonction NAT lui permettant de connecter
plusieurs réseaux informatiques
Le PFSense convient pour la sécurisation d’un réseau
domestique où d’un petite entreprise
Il s’administre directement sur FreeBSD dans un premier
temps (assignation des interfaces réseaux), puis dans un
second temps depuis une interface web dont l’adresse IP
est l’une des interfaces du PFSense
Introduction
Il a pour particularité de gérer nativement les VLAN. Et dispose de très nombreuses
fonctionnalités tels que faire VPN ou portail captif.
Voici l'architecture avec laquelle peut être utilisée pfsense (ici représenter par le pare-
feu).
Prérequis
Un serveur ou ordinateur disposant d'au moins deux cartes réseaux. Une pour l'interface
LAN (du côté du réseau local) et l'autre pour l'interface WAN (du côté du réseau relié
à internet). Vous pouvez bien entendu utiliser un serveur virtuel.

Installation de PfSense
Pour commencer, télécharger l'iso.
Une fois l'iso téléchargez gravé la sur un CD ou mettez-là dans un lecteur cd virtuel
(pour une machine virtuelle par exemple.)
Nous utilisons une machine disposant de deux cartes réseaux une reliée en pont pour
l'interface WAN et l'autre branchée sur un commutateur relié à différents ordinateurs.
Pour commencer, insérez le cd dans le serveur ou donner l'iso au serveur pour démarrer
l'installation.
Une fois lancé, vous devriez arriver sur l'écran suivant :
Figure1 :écran au lancement du
cd
Normalement, si tout va bien, vous
verrez alors cela :

Figure 2: choix de démarrage

du CD
Encore un choix à faire, nous, nous désirons faire une installation, mais par
défaut le système s’exécute en
liveCD. Pour lancer l'installation appuyez sur « i ».
Maintenant nous obtenons cela :

Figure 3 :écran d'installation 1

Déplacez le curseur sur « Accept these Settings », puis
appuyez sur entrer.
Nous arrivons sur l'écran du choix du
type d'installation.

Figure 4 : écran d'installation 2

Nous allons sélectionner « Quick/Easy Install », pour éviter une installation
trop longue via la console.
On nous demande ensuite confirmation, il faut donc faire « OK »

Figure 5 : écran d'installation 3

Patientez quelles que minutes, avant d'arriver à l'écran suivant.
Sur ce nouvel écran, on nous demande si l'on désire installer un kernel
personnalisé. Nous allons
sélectionner « Standard Kernel ».

Figure 6 : écran d'installation 4

Ensuite, sur l'écran suivant appuyez sur « Reboot » pour
continuer l’installation.

Figure 7 : écran d'installation 5

L'ordinateur est en cours de ré-démarrage, veillez à éjecter le CD, ou
l'image iso. Normalement au démarrage vous aurez l'écran suivant :

Figure 8 : écran de boot 1

Vous pouvez attendre ou appuyez sur F1. Vous arriverez de
nouveau sur l'écran suivant :

Figure 9 :écran de boot 2

Vous pouvez aussi attendre ou appuyer sur entrer.
Une fois effectuée, vous aurez alors l'écran suivant :

Figure 10 : écran de configuration vlan

Avant de nous lancer sur la suite, nous devons noter des informations, j'ai
entouré en rouge les interfaces qui sont disponibles qui seront indispensables
à la configuration un peu plus loin. Ici l'interface em0 est l'interface WAN et
le0 est l'interface LAN. Les interfaces ne sont pas toujours nommées de la
même façon, il va falloir que vous testiez la configuration car vous pouvez
avoir aussi em0, em1 ainsi que le0 et le1. Pour savoir laquelle est la bonne.
Ne vous inquiétez pas si vous vous trompez vous le saurez assez vite et il est
possible de les changer assez facilement.

Maintenant passons à la dernière ligne de la capture. Elle permet de

configurer les VLANs nous indiquerons non (n). Vous pouvez faire oui si
vous utilisez des VLAN ou attendre la fin de l'installation
pour configurer ceci par l'interface web.

Ensuite, nous devons configurer les interfaces, ici la

WAN où je rentre em0 :
Figure 11 :configuration de l'interface WAN
Ensuite, c'est le tour de l'interface LAN
où je rentre le0 :

Figure 12 : configuration de l'interface LAN

Si vous disposez d'une autre interface c'est ici qu'il faut l'indiquer
sinon appuyez sur entrez :

Figure 13 :interface supplémentaire.

Ensuite, on nous demande confirmation donc on fait « y ».
Nous voilà à l'écran principal :

Figure 14 :écran principal

Comme vous pouvez le constater, vous pouvez faire de nombreuses modifications d'ici.
Mais pour l'instant, nous allons continuer l'installation qui n'est pas encore terminée.
Si vous regardez les IP vous remarquerez que l'ip WAN donné par ma box au serveur et
192.168.1.1 et que l'ip du lan est en 192.168.1.1
Donc je vais devoir changer cela pour pouvoir accéder à l'interface web sinon je vais
toujours tomber sur la page de ma box.

Type de WAN LAN

réseau

IP de 192.168.1.12 10.10.10.254
l'interface (attribué par le
DHCP

IP de la 192.168.1.1 10.10.10.254
passerelle et
du DHCP

Masque de 255.255.255.0 255.255.255.0

sous réseau

Début de la 10.10.10.20
plage DHCP
(LAN)

Fin de la plage 10.10.10.50

DHCP (LAN)
Les informations WAN sont celle par défaut et donc ne seront pas changées. Par contre,
j'ai décidé arbitrairement des informations du réseau LAN. Vous pouvez changer l'ip du
serveur, le masque de sous réseau ainsi que la plage du DHCP.
Sur l'écran principal, choisissons l'option 2 (puis entrer).

Il nous indique alors les interfaces disponibles et laquelle configurer. Nous allons
configurer l'interface LAN, car les paramètres de celle de l’interface WAN sont attribuées
par le DHCP

Figure 15: choix de l'interface

Entrons « 2 » pour configurer les paramètres ip de l'interface LAN.
Ensuite, nous rentrons les informations demandés tel que nous les avions vu
précédemment dans le récapitulatif.
Nous commençons par l'ip de l'interface LAN, puis nous entrons le masque de sous réseau
sous la forme de son CIDR. Ici vous devions mettre le masque 255.255.255.0 alors nous
entrons 24.
Puis-je rentre la passerelle, ici la passerelle est l'ip du serveur.
Pour les IPv6, je fais entrer, car on va les laisser de côté. (je n'ai pas d'ipv6 sur le port WAN)

Figure 16: configuration interface LAN

Ensuite, on active le serveur DHCP, puis il faut entrer les adresses IP de début et de fin de
la plage IP utilisé par le serveur DHCP.
Puis, on vous propose d'activer le service de configuration web (webConfigurator). Faites
« y » puis nous obtenons alors l'url qui doit être entré dans un navigateur du côté LAN, qui
est ici l'ip du serveur.

Figure 17: configuration du DHCP et activation de l'interface web

L'adresse pour se connecter à l'interface web est : http://10.10.10.254/ (dans mon cas)
Finalement, nous nous retrouvons avec l'interface de départ.
Nous n'utiliserons plus cette interface en console sauf en cas de problème.

Fin de l'installation et interface web

Dans la première partie nous avons installé le serveur via la console. Maintenant il est
temps de finir l’installation via l'interface web.

Pour y accéder entrez l'adresse web suivante

:
URL du serveur web http://10.10.10.254
(Côté LAN)

Identifiant admin

Mot de passe pfsense

Voilà la page de connexion à l’interface web
:

Figure 18: page de connexion de l’interface web

Identifiez vous avec les identifiants indiqués ci-dessus.
Une fois identifiée, vous arriverez sur la page suivante qui nous indique que la
configuration initialle va débuter :

Fifure 19: page web avant la configuration

Cliquez sur next, nous arrivons sur la première page de configuration.
Nous entrons le nom du serveur pour moi j'ai choisi « srv », puis le domaine sur lequel se
trouve le serveur ici « sky-future.eu ». Ensuite, il faut indiquer les serveurs DNS, j'ai choisi
d'indiquer les serveurs DNS d'OpenDNS. Puis laissez la dernière case coché.

Page 20: 1er page de configuration web

Sur la page suivante, il faut ajouter le serveur de temps NTP
Liste de serveur NTP disponible ici : https://services.renater.fr/ntp/serveurs_francais
Choisissez la bonne zone de temps.

Figure 21: 2éme page de configura

La page suivante traite de la configuration de l'interface WAN que je laisse en DHCP, je
laisse les autres champs vide ou par défaut.

Figure 22: configuration de l'interface WAN

Nous voilà sans surprise sur la page de configuration de l'interface LAN, nous n'avons
normalement rien à modifier, car nous l'avons fait précédemment dans la console.

Figure 23: configuration de l'interface LAN

Maintenant on nous demande de changer le mot de passe, il serait idiot de se faire pirater
le serveur à cause un mot de passe par défaut.

Figure 24: changement de mot de passe

Cliquez sur reload, pour que les modifications soient
appliqués.

Figure 25: page de chargement

Maintenant vous pouvez cliquer sur la partie surligné en jaune pour accéder à l'interface web
:

Figure 26: Fin de la configuration

Finalement, on est enfin arrivé à l'interface web
:

Figure 27: Interface web

 Configuration minimum
La configuration minimum à effectuer pour éviter que des petits malin branchés sur le LAN
essayent de se connecter à l'interface web.
Rendez-vous dans System > Advanced. Les numéros, sont visibles sur la capture présente
à la page suivante.

1. Activer le https pour que la connexion entre vous et le serveur soit chiffré.
2. Changer le numéro de port pour accéder à l'interface web. (supérieur à 49152)
3. Cochez la case pour supprimez la redirection automatique vers l'interface web lors de la
connexion à l'adresse ip du serveur sur le port 80.
4. Activer le SSH pour éviter de passer par la console.
5. Entrez un numéro de port supérieur à 49152 différent du port de l'interface web choisi ci-
dessus.
6. Cochez la case si vous désirez que le mot de passe de l'interface web soit demandé lors
de l'accès à la console.
Une fois configuré, l'accès à l'interface web dans mon cas se fera alors avec l'adresse :
https://10.10.10.254:55555
Pour se connecter en SSH je me connecte avec l'ip du serveur sur le port 54321. L'identifiant
pour vous connecter est : root et le mot de passe celui de l'interface web. Il en est de même
si vous avez coché la case en 6 avec la console : System → Advanced → Admin Access

Mise en place de la configuration de pfSense

Advanced :
Cette section représente les options avancées de pfSense comme l’accès SSH, les clés
SSL,etc. Pour la réalisation du projet, les sticky connections (connexions persistantes) ont
été acceptées.

Cette option permet d’éviter la renégociation inutile des clés SSL pour le protocole
HTTPS.
Firmware :
Cela permet de mettre à jour pfSense.
General Setup:
Ce sont les configurations de base de pfSense rentrées lors du guide d’installation. Il
faut
vérifier que « Allow DNS server list to be overridden by DHCP/PPP on WAN » est bien
décoché.

Packages :
Il est possible d’installer de nouveaux paquets tels que MRTG (interface graphique à
SNMP), Squid (serveur mandataire), etc.
Setup Wizard:
Le Setup Wizard est le guide rencontré au début de l’installation de pfSense. Il est
possible de le refaire.
Static Route :
Les routes statiques sont importantes lorsqu’une adresse réseau n’est pas « vue » par
la
passerelle.

L’interface WAN est notre interface par défaut. OPT1 n’est pas forcément utilisée et va
pointer vers l’interface WAN (ce qu’on ne veut pas). Il est alors judicieux d’ajouter une
route
statique pour le DNS.
Interfaces :
Il est possible de modifier l’attribution d’une interface à une carte réseau à l’aide de
l’adresse
MAC.
Les VLANs peuvent également y être gérés.
WAN :
Cette interface a été configurée lors du guide d’installation de pfSense.
LAN:
Celle-ci a également été configurée dans le guide d’installation de pfSense.
OPT1 :
Cette interface correspond à notre liaison de secours. Elle porte le nom de « Optional 1
»
(OPT1). Sa configuration est proche de celle de l’interface WAN.
Firewall :

Aliases :
Les alias permettent principalement d’associer un nom à une adresse d’hôte, un port, ou
un
réseau. Un nom peut comprendre plusieurs éléments, ce qui facilite et simplifie les règles à
appliquer aux hôtes spécifiés.
NAT:
Le NAT (Network Address Translation) permet notamment de faire correspondre une seule
adresse externe publique visible sur Internet à toutes les adresses d’un réseau privé.
Dans notre cas, le NAT sera utilisé pour les deux connexions Internet.
Rules :
Règle par défaut : Tout est bloqué. Elle n’est pas explicitement écrite mais est
appliquée.
LAN a:

La passerelle « FailOver » correspond au changement de connexion en cas de crash

(vu dans la partie « Services »).
WAN :

OPT1 :

Schedules :
Schedule (planifier) correspond à un intervale de temps dans le mois ou dans la
journée. Ces planifications sont à attribuer à des règles de Firewall. Ces règles sont
alors actives en fonction d’une plage d’horaire précise. Par exemple, l’accès Internet
ne sera autorisé que de 9h à 19h.
Traffic Shaper:
Le Traffic Shaping permet de contrôler l’utilisation de la bande passante. On peut par
exemple limiter la bande passante d’un hôte ou d’un port. Cependant, le Traffic Shaping ne
peut être réalisé qu’avec une seule interface Internet et non deux comme dans notre cas.
Nous
ne pourrons donc pas l’utiliser correctement. On peut toutefois l’activer sur une des deux
interfaces.
Virtual IPs:
Il est possible d’assigner des adresses IP virtuelles. Ceci permet d’avoir un hôte avec
plusieurs
adresses IP.
Dans cette partie, on peut aussi configurer le CARP (Common Address Redundancy Protocol).
L'objectif premier de ce protocole est de permettre à un groupe d'hôtes sur un même segment
réseau de partager une adresse IP.
L’utilisation principale de CARP est la création d'un groupe de pare-feu redondants. L'adresse
IP virtuelle attribuée au groupe de redondance est désignée comme l'adresse du routeur par
défaut sur les machines clientes. Dans le cas où le pare-feu maître rencontrerait une panne ou
est déconnecté du réseau, l'adresse IP virtuelle sera prise par un des pare-feu esclaves et le
service continuera à être rendu sans interruption.
Services :
Plusieurs services peuvent être gérés par pfSense. Ils peuvent être arrêtés ou activés
depuis
cette interface.
Voici la liste des services :
- Captive Portal (force les clients d’un réseau à afficher une page Web d’authentification
avant de pouvoir se connecter à Internet.)
- DNS Forwarder (Le redirecteur DNS permet à pfSense de résoudre les requêtes DNS à
l'aide des noms d'hôte obtenus par le service DHCP)
- DHCP relay (L’agent relais est un programme que l'on active sur une ou plusieurs
interfaces de l'hôte qui sera chargé de relayer la requête DHCP du client lorsque ce dernier
n'est pas sur le même segment que le serveur DHCP)
- DHCP server (serveur DHCP)
- Dynamic DNS (permet de rendre « statique » un DNS dynamique grâce à un nom)
- Load Balancer (répartition de charges)
- OLSR (protocole de routage)
- PPPoE server (Point-to-Point Protocol over Ethernet server, serveur d’ un protocole réseau
pour l'encapsulation de trames PPP à l'intérieur de trames Ethernet.)
- RIP (protocole de routage)
- SNMP (gérer des équipements réseaux à distance)
- UpnP (facilite la mise en réseau)
- OpenNTPD (offre la possibilité de synchroniser l'horloge locale à des serveurs NTP
distants et peut servir lui-même de serveur NTP, redistribuant ainsi l'horloge locale.)
- Wake on LAN (permet à un ordinateur éteint d’être démarré à distance)
Nous ne nous intéresserons qu’au service Load Balancer. C’est celui-ci qui nous
permettra
de configurer le FailOver et donc la redondance des connexions Internet.
Le principe du FailOver est d’utiliser le protocole ICMP afin de « pinguer » une passerelle (le
DNS étant l’idéal pour savoir si une connexion Internet fonctionne ou non). Notre passerelle
principale est Internet1 (WAN) et la passerelle de secours correspond à Internet2 (OPT1). Si
le ping vers la passerelle du WAN ne fonctionne plus, la connexion est alors dirigée vers
OPT1. Puis lorsque la passerelle WAN redevient active, la connexion est ramenée à sa
passerelle par défaut (WAN). Pour utiliser correctement cette fonctionnalité, il nous faut
créer
le pool d’adresses ci-après.

VPN :
Plusieurs catégories de VPN sont supportées par pfSense.
Le VPN IPSec peut être utilisé en mode transport (hôte à réseau ou hôte à hôte) ou en
mode
tunnel (réseau à réseau). Il sait gérer le protocole AH (Authentification) et ESP (Cryptage). Il
gère également les autorités de certification.
Le VPN OpenVPN gère les serveurs et les clients VPN. Il gère également les autorités de
certification.
Le VPN PPTP gère aussi les serveurs et les clients. Il prend en compte un serveur RADIUS
pour l’authentification. Du côté client, un simple login/mot de passe est à renseigner.
Status :
L’onglet Status permet de voir l’état de pfSense. Nous pouvons par exemple vérifier si les
interfaces sont actives, leurs adresses, etc.
Cela dit, quelques « status » sont plus importants que d’autres : Interfaces pour voir l’état
des
connexions ; Load Balancer pour vérifier si le FailOver fonctionne ; Services pour arrêter ou
lancer un service ; System qui est la page d’accueil et nous permet de voir l’état du système ;
et pour finir, le plus important : System Logs qui sont les logs de tous les services.
4.2.7.
Diagnostics :
Ceci correspond à quelques fonctionnalités supplémentaires servant à rendre quasi-
complète
l’administration du serveur à distance. Nous pouvons donc arrêter ou redémarrer pfSense,
visualiser la table de routage, effectuer un « ping », modifier des fichiers, revenir à une
installation de pfSense neuve, etc.