Académique Documents
Professionnel Documents
Culture Documents
1) Installation de Pfsense
2) Installation du processus Fail-Over (CARP)
3) Installation du portail captif
1) Installation de Pfsense :
Après avoir préinstaller Pfsense sous Workstation Pro, ajouter 1 carte réseau :
Redémarrer la machine :
Pfsense est installé, il faut maintenant configuré les adresses IP
Il faut mettre en place une 3ème carte réseau qui servira pour la synchronisation :
Puis faire entrer sans rien mettre, les cartes réseau sont correctement installé, faire y pour confirmer :
Adresse WAN :
De retour dans le menu principal, taper 2 pour configurer l’interface em0 (WAN), taper 1, entrer l’adresse
IP 172.16.9.134, le masque 255.255.255.192 et la passerelle 172.16.9.190
Adresse LAN :
De retour dans le menu principal, taper 2 pour configurer l’interface em1 (LAN), taper 2, entrer l’adresse IP
192.168.1.1 et le masque 255.255.255.0
Puis faire entrer, entrer, taper « n » pour le serveur DHCP, et « y » pour le webconfigurator :
Adresse OPT1 :
De retour dans le menu principal, taper 2 pour configurer l’interface em2 (OPT), taper 3, entrer l’adresse IP
10.0.0.1 et le masque 255.0.0.0
Puis faire entrer, entrer, taper « n » pour le serveur DHCP, et « n » pour le webconfigurator :
Finalement l’adressage doit être comme la photo ci-dessous :
Aller dans un client « Windows 7 » par exemple, le mettre dans le réseau que le Pfsense, tester avec un
ping la connectivité :
Ouvrir un navigateur et rentrer l’ip du LAN de Pfsense (username = admin, password = pfsense) :
Là, on accès à l’interface web et on suit le « Wizard » pour faire les configurations de base du pfsense
Il faut évidemment créer un deuxième machine Pfsense qui assurera la redondance si le premier Pfsense
venait à plus fonctionner. Pour la création du deuxième Pfsense, il faut exécuter les mêmes configurations
pour l’installation du second Pfsense mais en ne mettant pas les mêmes adresses IPs.
Second Pfsense :
Le processus Fail-Over permet de mettre en place de la haute disponibilité via le protocole CARP et de faire
de la répartition de tâches via le protocole Pfsync.
Accès à son interface web via l’adresse IP du LAN :
- Entrer l’IP de la 3ème interface du second Pfsense (ici 10.0.0.2) dans « Synchronize Peer IP »
- Pour « Remote System Username », mettre admin
- Pour « Remote System Password », mettre AzertY!59000
- Cocher toutes les options pour le maître et l’esclave puissent se transmettre le maximum
d’informations
- Puis cliquer sur « Save »
Dans l’esclave, aller dans System, puis High Availability Sync, puis :
Il faut maintenant créer l’IP virtuelle, grâce au lien Pfsync, la configuration devra seulement être effectuer
sur le maître. Aller dans « Firewall », « Virtuals IPs », appuyer sur « add » pour commencer la création de
l’IP virtuelle.
Pour tester la redondance, ouvrir le cmd, pinger l’ip virtuelle (ici 192.168.1.10) et couper CARP sur le
maitre.
On voit qu’une fois CARP désactiver sur le maître, l’esclave est devenu maître, le paquet ICMP perdu
correspond au basculement.
Avec ce processus mise en place, toute configuration sur le pfsense 1 sera automatiquement répliquer sur
le pfsense 2.
Pour la mise en place d’un portail captif simple sur Pfsense, il n’y a pas besoin d’intégrer de nouveaux
paquets.
Aller dans Services, puis Captive Portal et cliquer sur Add pour créer une nouvelle zone :
Une fois le portail créer, il faut l’activer en cochant « enable Captive Portal » :
Une fois activé tous les paramètres de configuration du portail apparaissent, là il faut pour les différentes
configurations :
- Logout popup window : page de session où les visiteurs devront entrer leurs identifiants
- After authentification Redirection URL (page où les utilisateurs qui se connectent seront redirigé) :
entrer l’URL (ici https://google.fr)
Pour DHCP il faut l’activer en cochant « enable DHCP server on LAN interface » , puis :
- Interface WAN
- Protocole TCP
- Source port range Radius
- Destination port range Radius
- Redirect target IP 192.168.1.1
- Interface WAN
- Protocole TCP
- Source port range Radius accounting
- Destination port range Radius accounting
- Redirect target IP 192.168.1.1
- Redirect targer port : Radius
Créer une route dans System, Routing, Static :
b. Serveur Radius
Le Radius est un service utilisé pour l’authentification, il peut être installé sur Windows Server 2012
Une fois installer, faire clic droit sur NAS et cliquez sur Server NPS
Ajoute du groupe "VisiteursGSB" de gsb.local, ainsi seul les comptes de l’Active Directory qui sont membres
de ce groupes pourront se connecter au portail captif
Ici il ne faut rien changé des configuration faites par défaut
Il faut faire "Inscrire un serveur dans Active Directory" et "Ok". Mettre l’IP du WAN du seconf pfsense
c. Point d’accès
Il faut juste configurer le point d’accès qui sera le départ du Portail Captif
Mettre le login admin et le passwod