installation de pfsense
TRANSCRIPT
Installation de pfSense
Sommaire
Cahier des charges................................................................................................................................... 2
Installation des adaptateurs réseau ........................................................................................................ 2
Installation de pfSense ............................................................................................................................ 3
Mise en place des VLAN ..................................................................................................................... 5
Liaison des interfaces avec leurs utilitées ........................................................................................ 6
Liaison des interfaces avec les adresses IP .................................................................................... 7
Utilisation de l’interface graphique ................................................................................................... 10
Mise en place des règles de filtrage ............................................................................................... 14
Mise en place du relais DHCP .......................................................................................................... 16
Mise en place de la redirection de port ........................................................................................... 17
Résultat final du filtrage ..................................................................................................................... 19
Jeu de tests pour vérifier le bon fonctionnement ........................................................................... 20
Cahier des charges
On veut utiliser pfSense pour faire le routage / le filtrage entre les réseaux
Voici les principaux points du cahier des charges à respecter :
La MV hébergeant le pfsense comporte au moins 4 interfaces
o La 1ère (vmx0) (LAN) connectée au VLAN réseau & Système
o La 2ème (vmx1) (WAN) connectée au VLAN Internet 1
o La 3ème (vmx2) (OPT1 -> DMZ) connectée au VLAN DMZ
o La 4ème (vmx3) (OPT2 -> SRV) connectée au VLAN SERVEURS
Le plan d’adressage doit être respecté pour chaque groupe (cf. mission DHCP)
L’administration du pare-feu se fait depuis le LAN (VLAN Réseau & Système)
Les flux autorisés seront les suivants :
o LAN R&S > WAN (Internet)
o LAN R&S > DMZ
o LAN R&S > Serveurs
o Serveurs > WAN (Internet)
o DMZ > WAN (Internet)
L’accès au serveur LAMP dans la DMZ devra être possible depuis Internet, grâce à une redirection de ports
Installation des adaptateurs réseau
Sur vSphere il faut ajouter de nouveaux adaptateurs réseaux sur la MV pfSense afin d’avoir
une « patte » dans chacun des VLAN. Dans notre cas, il faut en tout 4 adaptateurs réseaux.
Il faut donc que chaque adaptateur ai un VLAN différent, et une attribution d’adresse MAC
automatique :
Je vous conseille de garder une trace de l’adresse MAC et du VLAN associé de chaque
adaptateur, car ce sera fortement utile pour la suite.
Installation de pfSense
Maintenant nous allons nous attaquer à l’installation de pfSense. Au tout premier démarrage,
on arrive sur ce menu. Pour accéder à l’installation, il faut :
Appuyez sur Entrée
Acceptez le contrat de licence utilisateur final pfSense
Sélectionnez l’option Install sur l’écran d’accueil
Sélectionnez la disposition de clavier souhaitez (personnellement j’ai pris FR)
Sélectionnez l'option Auto (UFS) pour effectuer le partitionnement automatique du
disque.
Le système lancer automatiquement l’installation du serveur pfSense
Sélectionnez l'option Non sur l'écran de configuration manuelle.
Appuyez sur Entrée pour redémarrer
Mise en place des VLAN
Voici après le redémarrage ce que l’on a comme interface :
On peut choisir de mettre en place des VLAN ou non, dans notre cas, on a besoin d’en
mettre en place 4 :
- VLAN 991 -> Internet
- VLAN 104 -> Réseau & Système
- VLAN 110 -> Serveurs
- VLAN 116 -> DMZ
Il faut donc faire le lien entre les numéros de VLAN et les adresses MAC, pour ça il faut
appuyer sur Y puis Entrée. Voici un exemple de ce qu’il faut faire avec une des interfaces :
On peut ensuite faire la même chose sur les quatre interfaces en s’assurant bien de leur
relation entre adresse MAC et VLAN. Quand on a fini, on peut appuyer sur Entrée sans
indiquer d’interface.
Les noms « vmx », les adresses MAC associées
et leur état (ici down donc éteintes)
- Premièrement, on nous demande l’interface où sera attribué le VLAN - Ensuite on nous demande le numéro du vlan qui sera attribué
Liaison des interfaces avec leurs utilitées
Maintenant, pfSense souhaite connaître quelle interface est lié à Internet (au WAN) :
Dans notre cas, c’est l’interface vmx1 lié au VLAN 991
Puis quelle interface est liée au LAN :
Ici, c’est l’interface vmx0 qui est liée au VLAN 104
Enfin les interfaces optionnelles, il est prévu que :
OPT1 -> DMZ -> VLAN 116
OPT2 -> SRV -> VLAN 110
Voilà le résultat :
Après l’attribution de nos interfaces, on fait Entrée sans indiquer l’interface.
On nous demande si tout est bon, et effectivement comme l’a prévu le cahier des charges
nos interfaces sont bien assignées à leurs fonctions, on peut donc faire Y et valider :
PFsense prend en compte ces configurations et redémarre.
Liaison des interfaces avec les adresses IP
Nous voici de retour devant pfSense, les interfaces sont assignées à une fonction (WAN,
LAN ..). Mais on remarque aussi que seulement deux d’entre elles ont des IP :
- La première fournie par un serveur DHCP
- La deuxième mise en place automatiquement par pfSense
Il faut donc impérativement modifier ces adresses IP, on remarque qu’en dessous de ces
informations, on a diverses options chacune numérotée. Dans notre cas, il faut choisir
l’option 2 nommée « Définir les adresses IP des interfaces »
Voici les informations à rentréer pour configurer le WAN :
Je vais donc détailler les parties
1) Indiquer le numéro de l’interface que l’on souhaite configurer (ici le WAN)
2) Choisir si l’on souhaite configurer l’adresse IP grâce à un serveur DHCP (ici non)
3) Indiquer l’adresse IPv4 que l’on souhaite attribuer
4) Entrer le masque de sous réseau de l’adresse IP en notation CIDR
5) Mettre en place l’adresse IP de la passerelle qui nous amènera jusqu’à Internet, donc
ici 172.30.99.253
6) Choisir une adresse IPv6 grâce à un serveur DHCP, dans notre cas ce n’est pas utile
7) Choisir si l’on souhaite configurer une adresse IPv6 mettre en place une adresse
IPv6 (je n’en ai pas mis)
8) Choisir si l’on souhaite acceder au site Web de configuration (visible plus tard) grace
à HTTP ou non (de base, il est sur HTTPS)
1
2
3
4
5
6
7
8
Faisons pareil pour l’interface LAN :
On peut maintenant accéder à pfSense par l’adresse IP 192.168.11.1 avec une machine sur
le même VLAN et sur le même réseau.
On a accès à une interface graphique que je vous montrerais plus bas, on peut configurer là-
bas les interfaces, mais j’ai choisi de faire les deux autres directement ici.
Voici ce qui doit être obtenu dans notre cas après la configuration :
Une nouvelle
information apparaît,
nous demandant si
l’on souhaite mettre
en place un serveur
DCHP (intégré dans
pfSense) sur le LAN.
Nous avons déjà un
serveur DHCP, cette
option ne nous sert à
rien dans notre
situation.
Ici on ne met pas de gateway
car on est en LAN
Utilisation de l’interface graphique Voici l’interface graphique tant attendue !
Pour se connecter, on a un nom d’utilisateur et un mot de passe atribué de base qui sont :
- Username : admin
- Password : pfsense
Après s’être connecté on accede à :
Le nom que l’on
souhaite
attribuer à
pfSense
Le domaine sur
lequel est
pfSense
L’adresse IP du
serveur DNS
Cette case est à
décoché pour
éviter que les
serveurs DNS
perdent des
données à cause
d’un serveur
DHCP sur le
WAN
Ici, on peut choisir le serveur qui réglera l’heure automatiquement et la zone où l’on se situe :
Nous voici devant la configuration du WAN (une longue page), seule deux parties nous
intéresse :
Tout d’abord, que l’adresse IP, le masque de sous-réseau et la passerelle sont bien ceux
que l’on a défini précédemment
Ensuite, que les deux cases sont décochées
Voici l’interface du LAN (l’adresse est bien la bonne) :
Si l’on souhaite, on peut mettre un mot de passe administrateur qui sera utile dans le cas de
l’utilisation de WebGUI et des services SSH (ça ne nous concerne pas) :
Maintenant on peut redémarrer pfSense pour qu’il mette en place les nouveaux paramètres :
Après le redémarrage, on accède « vraiment » à pfSense, un petit problème existe, les
interfaces ne sont pas bien « nommées ». En effet avec les noms actuels trouvable dans
Interfaces -> Interfaces Assignements, nous n’avons pas de vrai repère sur quel sont les
VLAN et les réseaux liés aux diverses interfaces :
Pour chaque interfaces, il va falloir accéder à ces dernières en appuyant sur leurs noms.
On se retrouve dans une grande page, ce qui nous intéresse est en bleue, c’est le nom
affiché, ici, j’ai mis le VLAN et le nom du réseau :
Après avoir appuyer sur Save un nouvel encart apparait tout en haut de la page il faut
impérativement appuyer sur « Apply Changes » :
Mise en place des règles de filtrage
Pour rappel on souhaite permettre diverses communications :
o LAN R&S > WAN (Internet)
o LAN R&S > DMZ
o LAN R&S > Serveurs
o DMZ > WAN (Internet)
o Serveurs > WAN (Internet)
Pour les mettre en place il va falloir se placer dans la partie Firewall /Rules qui est trouvable
dans les menu déroulant
Nous voici devant les règles appliquées au WAN (c’est un peu vide mais on va remplir ça
rapidement) :
Il nous suffit d’appuyer sur ADD, et on va pouvoir mettre en place la première règle
permettant l’accès à Internet et attention cette page est très grande.
La voici, on ne s’occupe que de certaines parties dans notre cas :
Dans ces deux listes, on peut choisir d’où doit provenir la requête et où elle peut aller. Elle
peut donc provenir du réseau WAN et allez dans tous les réseaux.
Après validation voici le résultat que vous devez obtenir :
Il faut ensuite faire la même manipulation pour toutes les interfaces selon les besoins.
Ici, on indique
l’action de la
règle (dans notre
cas, on veut le
passage.)
Puis on choisit
de quelle
interface doivent
provenir ces
paquets pour la
règle
Ensuite, on
choisit sur quelle
version du
protocole IP, on
souhaite
appliquer cette
règle, mais aussi
sur quel
protocole de
transmission
(TCP, UDP…)
Mise en place du relais DHCP
On souhaite mettre en place un relais DHCP pour pouvoir faire passer les requêtes DHCP.
Il faut donc accéder à l’onglet Services / DHCP Relay, dans celui-ci, on va mettre en place
une configuration :
Maintenant on peut valider et attendre quelques secondes pour que le serveur DHCP
attribue les adresses IP.
On choisit d’activer le relai DHCP
On choisit quelles sont les interfaces qui
peuvent émettre les requêtes DHCP (ici LAN
et SRV), on sélectionne plusieurs interfaces
grâce à CTRL + Clic gauche
Il faut indiquer l’adresse IP
du serveur DHCP
Mise en place de la redirection de port
Désormais, on souhaite mettre en place une règle de redirection de port permettant ainsi
d’accéder au serveur WEB depuis le WAN.
Pour mettre en place cette règle, il faut aller dans Firewall -> NAT ce qui nous fera allez
directement sur Port Forward (c’est ce qu’il nous faut)
Sur cette page, on appuie sur ADD, pour créer la résolution de port ce qui nous amène à une
nouvelle page, seulement quelques données sont à modifier ici dans notre cas :
Interface : On choisit l’interface où arrivera la requête du poste dans notre cas c’est
l’interface WAN (car lié à Internet)
Protocol : On sélectionne le protocole qui fonctionnera avec cette règle (TCP car
c’est ce protocole qui fonctionne avec HTTP)
Destination : Ici c’est : VLAN991_WAN address qui est choisi, car le client va
envoyer sa requête sur l'adresse IP WAN de pfSense
Destination port range : HTTP et HTTPS puisque ceux sont les deux ports que l’on
souhaite rediriger
Redirect target IP : L’adresse IP où sera retransmit la requête ici le serveur Web
Redirect target port : Le port vers lequel sera retransmit la requête (http puisque
c’est un site Web)
Filter rule association : Ici « Pass » qui permettra à toutes les
Depuis ma machine rebond je peux désormais accéder à la page Web de base de mon
serveur Web en « contactant » l’adresse IP de l’interface WAN de pfSense :
Résultat final du filtrage
Voici à la fin de la mise en place des diverses règles de filtrage et de NAT ce qui doit apparaitre dans
les règles de filtrage :
Pour le WAN :
Pour le LAN :
Pour la DMZ :
Pour le SRV :
Jeu de tests pour vérifier le bon fonctionnement
Voici un jeu de tests pour vérifier le bon fonctionnement du relai DHCP puis du filtrage :
Tout d’abord on place un Client W10 (par exemple) dans le VLAN LAN. Puis on met sa carte
réseau sur DHCP, après quelques secondes on fait un ipconfig /all pour vérifier si on reçoit
bien des informations depuis le serveur DHCP :
On remarque que l’IP est bonne, car on a donné comme plage au serveur DHCP :
192.168.11.101 – 192.168.11.199
Puis on le bascule sur le VLAN SRV :
L’IP est aussi bonne, la plage attribué au réseau étant : 172.16.1.201 – 172.16.1.250
Le DHCP est activé
Les informations
récupérées sur le
serveur DHCP
Le DHCP est activé
Les informations
récupérées sur le
serveur DHCP
Maintenant on va s’occuper des tests de filtrage, j’ai mis un petit rappel avant chaque test
pour se rappeler ce qui doit fonctionner
o LAN R&S > WAN (Internet)
Depuis un ordinateur client situé dans le VLAN Réseau & Services, voici un test d’accès à Internet :
On remarque bien que je peux accéder à internet grâce à mon Client Test et que en plus de cela la résolution DNS fonctionne bien en passant par mon serveur AD / DNS (172.16.1.30)
o LAN R&S > DMZ
On peut bien effectuer un ping vers le serveur Web de la DMZ depuis le LAN
o LAN R&S > Serveurs
Le ping depuis le LAN vers l’adresse IP du serveur AD fonctionne parfaitement
o DMZ > WAN (Internet)
On peut bien accéder à www.google.fr depuis la DMZ signe que le DNS et qu’Internet
fonctionnent bien
o Serveurs > WAN (Internet)
Depuis le serveur Annulab j’ai fait un ping vers www.google.fr, le ping réussi et la résolution
DNS aussi.
Fait par Xavier Côte