Você está na página 1de 25

Les réseaux des EPLEFPA

Guide « PfSense »

Chantier national DRTIC http://drtic.educagri.fr/ Mai 2010


Les réseaux des EPLEFPA – Guide PfSense 2

Table des matières


1 Installation de la PfSense....................................................................................................................................3
Schéma de principe.............................................................................................................................................3
Préalable.............................................................................................................................................................3
Installation..........................................................................................................................................................4
2 Configuration de la PfSense................................................................................................................................9
3 Mise en place du VPN site-à-site......................................................................................................................13
Schéma de Principe...........................................................................................................................................13
Installation de Slave-pfSense............................................................................................................................13
Configuration de Slave-pfSense.......................................................................................................................14
Mise en place du serveur IPSec sur Master-pfSense........................................................................................16
Mise en place du serveur IPSec sur Slave-pfSense..........................................................................................16
4 Règles du Firewall.............................................................................................................................................17
Trafic Internet...................................................................................................................................................17
Communication entre les interfaces..................................................................................................................18
Règles du tunnel Ipsec......................................................................................................................................19
5 Configuration des fonctionnalités de proxy......................................................................................................20
Installation des packages :................................................................................................................................20
Configuration de squid.....................................................................................................................................21
Configuration de squidGuard...........................................................................................................................21
Mise en place d’ACL........................................................................................................................................22
6 Ajout du VPN : clients mobiles (OpenVPN).....................................................................................................23
Schéma de l’architecture réseau mise en œuvre...............................................................................................23
Configuration de Master-pfSense pour l’Open VPN........................................................................................23
7 Annexe 1............................................................................................................................................................24
Les réseaux des EPLEFPA – Guide PfSense 3

1 Installation de la PfSense

Schéma de principe

Avant tout, voici le schéma général de l’installation mis en place pour cette documentation (bien entendu, toutes
les adresses IP sont à adapter) :

Préalable

Avoir préparé le PC contenant 1, 2, 3 ou 4 cartes réseau en fonction de la configuration choisie.


Il est rappelé que les différentes interfaces d'un Firewall ne doivent pas être connectées au même réseau
physique ou alors uniquement sur des ports appartenant à des VLAN 802.1q différents.
Nous considérons également que votre connexion internet est de type ADSL ou SDSL et qu'elle se fait à l'aide
d'un Routeur Ethernet, ce qui est la majorité des cas dans les établissements.
Relevez quelques paramètres clefs comme l'adresse IP publique que vous allez utiliser pour la carte WAN de
votre PfSense, ainsi que les IP que vous utiliserez pour vos différentes interfaces locales.
Les réseaux des EPLEFPA – Guide PfSense 4

Installation

Téléchargez la dernière version stable dans la rubrique « download » du site PfSense


http://www.pfsense.org/

Le mirroir français qui permet de télécharger la dernière version de pfSense :


http://pfsense.bol2riz.com/downloads/

Gravez l’image téléchargé sur un CD bootable

Débranchez les câbles réseau de votre futur firewall pfSense (ils seront rebranchés plus tard).
Bootez l’ordinateur avec le CD pfSense.
Vous allez ensuite avoir l'écran de démarrage de FreeBSD. Vous avez plusieurs choix possibles.
Vous allez choisir ici l'option 1 (défaut) :

Appuyez sur « n » au prochain écran, et faites ENTRER.


Les réseaux des EPLEFPA – Guide PfSense 5

Ensuite vient la configuration des interfaces réseau. Choisissez quelle interface sera le LAN et l'autre le WAN.
A la question « enter the Lan interface name or ‘a’ for auto-detection: », tapez « a ». Ne faites pas « Entrer »
pour le moment, mais branchez votre câble réseau sur votre carte réseau destinée au LAN (dans notre exemple :
lnc0). Ensuite, vous pouvez faire « Entrer ». Faites de même pour la carte réseau qui sera reliée au WAN (dans
notre exemple lnc1) :

À la ligne suivante (Optional interface) ne mettez rien et appuyez sur entrer.

Vous aurez ensuite un récapitulatif de la configuration et devrez la valider en tapant « y ».

FreeBSD se charge ensuite et nous entrons dans le menu. Nous allons donc passer à l'installation sur le disque
dur en tapant le choix "99" :
Les réseaux des EPLEFPA – Guide PfSense 6

Nous allons voir en détail comment se décompose l'installation de pfSense (le choix à faire est celui surligné en
bleu)

Le changement de confiiguration du clavier en français ne fonctionne pas, la modification pourra être faite
après l’installation.

Choisissez le disque dur sur lequel vous souhaitez installer votre pfSense :

Si nécessaire, nous allons voir comment formater le disque dur, pour cela allez sur « Format this Disk », sinon
vous pouvez sauter l'étape en allant sur « Skip this step » :

Ici allez directement à « Use this geometry », « Format ad0 », puis « Partition Disk » :
Les réseaux des EPLEFPA – Guide PfSense 7

Vous pouvez ici soit garder la taille de la partition (par défaut il utilisera tout le disque dur), ou bien lui définir
une taille. Allez ensuite sur « Accept and Create », « Yes partition ad0 », puis OK:

Sélectionnez la partition sur laquelle installer pfSense, faites OK, puis « Accept and Create » pour établir le
Swap :
Les réseaux des EPLEFPA – Guide PfSense 8

L’installation de pfSense va commencer :

Nous allons maintenant créer le "BOOT" du disque dur. Cela va permettre de démarrer la machine directement
sur pfSense.
Faites « Accept and install Bootblocks », OK et « Uniprocessor kernel » :

A la fin de l’installation de pfSense, vous pouvez retirer le CD et redémarrer la machine en allant sur « reboot »
Les réseaux des EPLEFPA – Guide PfSense 9

2 Configuration de la PfSense

PfSense est en marche. Nous allons maintenant passer à la configuration.


Dans ce chapitre, nous configurons à titre d'exemple la machine Master-pfSense du schéma de principe.
Pour avoir le clavier français, taper 8) shell puis « kbdcontrol –l fr.iso.kbd »

Pour une configuration permanente, il faudra placer la ligne dans le service « shellcmd » qu’il est possible
d’ajouter à partir des packages disponibles.
Ensuite, il faut changer l'IP sur la carte réseau LAN (réseau admin) de pfSense. Pour cela, dans le menu, tapez
le choix 2 (« Set LAN IP address »). Entrez l'adresse IP correspondante à votre LAN ainsi que le masque (24 en
général) :

Après avoir configuré les cartes réseau, vous devriez avoir une étoile près du nom des interfaces, indiquant la
bonne connexion des câbles réseau.
Les réseaux des EPLEFPA – Guide PfSense 10

Nous allons pouvoir maintenant configurer pfSense via l'interface Web.

Connectez une machine sur la carte réseau de pfSense (côté LAN : réseau admin). Ouvrez ensuite votre
navigateur Web, puis entrez http://10.21.201.254 (dans notre cas).
Entrez ensuite le login (par défaut admin, mdp : pfsense).

Au premier écran, faites NEXT, tapez ensuite le nom de la machine, le domaine et l'IP du DNS, Exemple :

Nom : pfcnerta → Le nom d'hôte de votre système


Domaine : educagri.fr → Votre nom de domaine
DNS : 212.27.53.252 → Les adresses DNS généralement fournies par votre FAI
212.27.54.252
Fuseau horaire : Eurpoe/Paris → Votre fuseau horaire

Ensuite, sélectionnez votre fuseau horaire :


Les réseaux des EPLEFPA – Guide PfSense 11

Nous allons maintenant configurer l’interface WAN. Sélectionnez le « SelectedType » « Static », l’adresse IP de
la carte WAN (en direction d’internet)
IP : 80.80.80.33
Décochez les deux cases « block… » tout en bas :

Vérifiez ensuite la configuration de la carte LAN qui doit être correcte puis faire NEXT.
Pour finir, modifier votre mot de passe pour l’accès à pfSense, faites NEXT, puis RELOAD, et relancez ensuite
votre navigateur :
Les réseaux des EPLEFPA – Guide PfSense 12

Une fois l’interface graphique de pfSense chargée, branchez physiquement votre carte réseau reliée au réseau
Pedago.
Allez à l’onglet « Interfaces », puis « assign », et cliquez sur la case « + » à droite.
Sélectionnez la carte réseau correspondant à la nouvelle interface OPT1 et pour finir, cliquez sur « Save ».
Ensuite retournez sur l’onglet « Interface », puis « OPT1 », et configurez l’interface :

Il est possible de la même manière d’ajouter d’autres interfaces pour des réseaux supplémentaires comme une
zone wifi, une zone DMZ, une zone …
Les réseaux des EPLEFPA – Guide PfSense 13

3 Mise en place du VPN site-à-site

Schéma de Principe
Voici le schéma du réseau que nous allons configurer :

Installation de Slave-pfSense

Nous venons de réaliser au chapitre précédent l'installation du Firewall Master-pfSense.


Pour l’installation de Slave-pfSense, le principe est le même.
Reprenez les étapes décrites au chapitre 1 traitant de l’installation.
Les réseaux des EPLEFPA – Guide PfSense 14

Configuration de Slave-pfSense

Nous passons ensuite directement à la configuration :

Connectez une machine sur la carte réseau de pfSense (côté LAN : réseau Admin).
Entrez http://10.21.203.254 (dans notre cas) dans votre navigateur Web.
Entrez ensuite le login (par défaut admin, mdp : pfsense).
Au premier écran, faites NEXT.
Tapez ici le nom de la machine, le domaine et l'IP du DNS:
Les réseaux des EPLEFPA – Guide PfSense 15

Faites de même pour les configurations des cartes WAN, LAN (elle doit être normalement bien configurée) et
Pedago, en l’adaptant selon le paramétrage de votre réseau :
Les réseaux des EPLEFPA – Guide PfSense 16

Mise en place du serveur IPSec sur Master-pfSense

Allez dans l’onglet VPN > IPSec | Tunnels


Cliquez sur la case « + » pour créer un nouveau serveur IPSec en mode Tunnel.
Remplissez les champs généraux suivants (toujours en adaptant avec vos adresses IP) :

 Interface : WAN.
 Local subnet : LAN subnet (sous réseau LAN de Master-pfSense).
 Remote subnet : 10.21.203.0/24 (sous réseau LAN de Slave-pfSense).
 Remote gateway : 8.80.81.33 (@IP WAN Slave-pfSense).
 Description : Ici votre description, par exemple Tunnel Master-Slave pfSense.

 Negociation mode : agressive.


 My identifier : My IP address.
 Encryption algorithm : 3DES.
 Hash Algorithm : SHA1.
 DH Key Group : 2.
 Lifetime : 28800.
 Pre-Shared Key : [votre clé partagée] (utilisez par exemple une clé comme IPSec@pfSense).
 Protocol : ESP (une règle Firewall sera créée pour autoriser en entrée ESP).
 Encryption algorithms : 3DES (décochez les autres possibilités).
 Hash algorithms : SHA1.
 PFS key group : 2.
 Lifetime : 86400.
 Automatically ping host

Mise en place du serveur IPSec sur Slave-pfSense


La configuration du serveur IPsec de Slave-pfSense est similaire à celle de Master-pfSense.
Répétez les étapes énoncées précédemment en changeant bien sûr les paramètres suivants :

 Remote subnet : 10.21.201.0 /24 (sous réseau LAN de Master-pfSense).


 Remote gateway : 80.80.80.33 (@IP WAN Master-pfSense).
 My identifier : My IP address.

Après la configuration du tunnel, la commande « Status : Ipsec » permet de vérifier que la configuration est
correcte.

L’onglet « SAD » permet de vérifier le bon fonctionnement du tunnel après avoir tenté un ping sur une machine
du réseau distant.
Les réseaux des EPLEFPA – Guide PfSense 17

4 Règles du Firewall

La logique de fonctionnement du pare-feu peut différer suivant les objectifs de l’administrateur réseau de
l’établissement. Dans le cas où la simplicité de mise en place est recherchée, il est possible d’autoriser tous les
ports en sortie pour les protocoles TCP et UDP pour la navigation vers Internet. Pour un fonctionnement plus
sûr et mieux maitrisé, seuls les ports nécessaires seront ouverts. Il sera alors nécessaire de faire l’inventaire
exhaustif de tous les services nécessaires, ce qui représente un travail important.

Les règles permettent de mettre en place les différents services autorisés sur chaque interface.
Il est possible d’autoriser tout le trafic en sortie dans le cas où les contraintes d’ouverture de ports
La logique de création consiste à les créer sur l’interface qui représente la source du traffic. Par exemple pour la
navigation sur internet d’un poste du LAN sur le port 80, le trafic part du poste puis passe par l’interface LAN
avant de sortir par l’interface Wan. La règle permettant ce service sera écrite sur l’interface LAN.
Pour créer une règle, il suffit de cliquer sur Firewall -> Rules, puis sur l’onglet voulu par exemple LAN.

Trafic Internet

Pour naviguer sur Internet, il faudra créer les règles de base pour les ports 53 (DNS), 80 (http), 443 (HTTPS),
21 (FTP). Le protocole ICMP permettra d’utiliser la commande « Ping » pour des tests de certaines adresses IP.

Par la suite, il sera certainement nécessaire d’ajouter des ports correspondants aux autres services nécessaires
( serveur de messagerie, FirstClass, Nocia, ….). Ce point sera abordé dans un document annexe indépendant, le
travail de configuration des ports n’est pas spécifique à Pfsense.

Après avoir déclaré les ports ouverts pour la zone admin (LAN), il sera nécessaire de faire la même chose pour
la zone PEDAGO (OPT1) en modifiant la liste des ports pour l’adapter aux nécessités de la zone pédagogique.
L’accès aux serveurs de messagerie, à FirsClass, à nocia ne sera peut-être pas nécessaire alors que l’accès à
MSN pourra l’être.
Les réseaux des EPLEFPA – Guide PfSense 18

Pour autoriser l’accès depuis l’extérieur, il est nécessaire de mentionner les ports à ouvrir suivant les services
concernés. Ainsi, l’accès depuis des clients nomades OpenVpn, le port 1194 devra être ouvert pour l’interface
WAN vers le réseau Admin.

Communication entre les interfaces

Suivant la configuration de l’établissement, il sera peut-être nécessaire d’autoriser des liaisons entre les réseaux.
Par exemple, l’accès aux partages de fichier ou d’imprimantes peut-être établi de la zone « Admin » vers la
zone « PEDAGO ».
Les réseaux des EPLEFPA – Guide PfSense 19

Règles du tunnel Ipsec

Pour une utilisation courante, les services TSE (3389 MS RDP) et partage de fichiers (445MS DS) sont
nécessaires pour accéder aux serveurs LGA du site principal. L’accès au ping (ICMP echo) est également une
bonne précaution en cas de doute sur l’accès. Pour autoriser ces services, il est nécessaire de les mentionner au
niveau de l’interface LAN de la Slave Pfsense (interface source du trafic).
Au niveau de l’interface Ipsec de la Master Pfsense ils seront également nécessaires. Pour des raisons de
sécurité, il est préférable de n’autoriser que ce qui est strictement nécessaire, donc ces services seront
configurés des adresses de l’interface LAN vers l’adresse du serveur de traitement. Il peut être nécessaire
détendre les autorisations vers le serveur de données si des postes du site distant ont besoin d’accéder aux
données en utilisant le driver ODBC.

Ports ouverts sur la zone LAN de la Slave Pfsense :

Ports ouverts sur la zone IPSEC de la Master Pfsense :

Pour autoriser des accès de la zone LAN du site principal vers le site distant, il sera nécessaire d’ajouter des
ports dans la zone LAN de la Master pfsense et dans la zone IPSEC de la Slave Pfsense. Ce sens de
communication est assez rarement utilisé, il est donc préférable de ne le configurer qu’en cas de nécessité.
Les réseaux des EPLEFPA – Guide PfSense 20

5 Configuration des fonctionnalités de proxy

Pour pouvoir utiliser les fonctionnalités de proxy, il faut ajouter les packages « squid » et « squidgard » puis
configurer les blacklist, les différentes restrictions et éventuellement des règles d’accès supplémentaires (ACL)

Installation des packages :

Cliquer sur le signe + pour ajouter le package Squid

Installer ensuite Squidguard de la même façon

Après l’installation l’onglet InstalledPackages permet de vérifier que les deux modules sont bien installés.
Les réseaux des EPLEFPA – Guide PfSense 21

Configuration de squid

Cliquer sur Services → Proxy server.


Dans l’onglet Général, configurer les options suivantes :

 Proxy interface : PEDAGO (dans notre cas). Pour sélectionner plusieurs interfaces utiliser la touche control
 Allow user on interface : valider.
 Transparent proxy : valider.
 Log store directory : /var/log : dossier contenant dèjà les autres logs.
 Proxy port : 3128 : port classique pour proxy.
 Language : French

Cliquer ensuite sur Save pour enregistrer la configuration.

Au niveau de l’onglet Access control -> Blacklist, il est possible d’indiquer des sites en complément des
Blacklist de squidGuard.

Configuration de squidGuard

Cliquer sur Services → Proxy filter.

 Enable : valider.
 Blacklist : valider.
 Blacklist url : http://www.shallalist.de/Downloads/shallalist.tar.gz

Actuellement, les listes de l’université de Toulouse ne fonctionnent pas correctement avec la pfSense.

Cliquer ensuite sur sauvegarder puis sur Upload url pour charger la blacklist.
Les réseaux des EPLEFPA – Guide PfSense 22

La liste commence à se charger, le message disparaît lorsque le téléchargement est terminé.

Il faut ensuite cliquer sur l’onglet « Default » puis sur le triangle vert pour afficher la blacklist.
Sur chaque élément que vous souhaitez autoriser, choisissez allow, et deny pour ceux que vous voulez interdire

 Not to allow IP addresses in URL : cocher si vous souhaitez interdire les adresses IP tapées directement
dans l’URL.
 Redirect mode : laisser l’option par défaut int error page
 Redirect info : entrer un message d’erreur personnalisé, par exemple « Accès interdit, contacter votre
administrateur »
 Enable log : cocher la case pour enregistrer l’activité du service
 Cliquer enfin sur Save pour enregistrer la configuration. A noter qu’il faut également cliquer sur Apply
au niveau de l’onglet General settings pour mettre en œuvre les options paramétrées .

Mise en place d’ACL

Une ACL (Access Control List) permet de définir des règles d’accès pour certaines adresses IP.
Sélectionner Services -> Proxy filter -> ACL puis cliquer sur +.

 Name : donner un nom à votre ACL.


 Source IP adresses and domains : Entrer une plage d’adresses IP ex 10.21.201.120-10.21.201.150
 Destination : cliquer sur le triangle vert et sélectionner les domaines à bloquer.
Les réseaux des EPLEFPA – Guide PfSense 23

6 Ajout du VPN : clients mobiles (OpenVPN)

Schéma de l’architecture réseau mise en œuvre

Configuration de Master-pfSense pour l’Open VPN

La suite de la configuration du serveur et des ses clients est détaillée dans le guide « Les réseaux des EPLEFPA
- Clients OpenVPN » au chapitre traitant de la pfsense.
Les réseaux des EPLEFPA – Guide PfSense 24

7 Annexe 1

Schéma vierge :
Les réseaux des EPLEFPA – Guide PfSense 25

Você também pode gostar