Tutorial Pfsense

Embed Size (px)

Citation preview

LAGARDE Yannick Licence R&T Mont de Marsan option ASUR [email protected]

pfSenseManuel dInstallation et dUtilisation du Logiciel

Centre Hospitalier d'Arcachon 5 alle de l'Hpital - BP40140 33164 La Teste de Buch CEDEX Tel +33 05 57 52 90 00 Fax +33 05 57 52 90 20

CH-ARCACHON

pfSense

TABLE DES MATIERES1. CONFIGURATION MATERIELLE : ....................................................................................... 2 1.1. 1.2. 2. 3. 4. MINIMALE : ............................................................................................................................ 2 ACTUELLE : ............................................................................................................................ 2

SCHEMA DU RESEAU : ............................................................................................................ 2 INSTALLATION DE PFSENSE : .............................................................................................. 3 CONFIGURATION DE PFSENSE : ........................................................................................ 11 4.1. 4.2. PREPARATION DE LA CONFIGURATION :............................................................................... 11 MISE EN PLACE DE LA CONFIGURATION DE PFSENSE : ......................................................... 13 System : ....................................................................................................................... 13 Interfaces :................................................................................................................... 14 Firewall : ..................................................................................................................... 15 Services : ..................................................................................................................... 17 VPN : ........................................................................................................................... 18 Status : ......................................................................................................................... 18 Diagnostics : ............................................................................................................... 18

4.2.1. 4.2.2. 4.2.3. 4.2.4. 4.2.5. 4.2.6. 4.2.7.

Manuel dInstallation et dUtilisation du logiciel

1

CH-ARCACHON

pfSense

1. Configuration matrielle :1.1. Minimale :

CPU : 133 Mhz mais 400 Mhz est recommand. Mmoire : 128 Mb. Disque Dur : 1 Gb. Cartes rseaux : 2 ou plus suivant le rseau voulu.

1.2.

Actuelle :

Ordinateur Dell Optiplex GX 270.CPU : 2 GHz. Mmoire : 256 Mb. Disque Dur : 10 Gb. Cartes rseaux : 3 cartes en 100baseTX.

2. Schma du rseau :

Schma rseau 1

Configuration de pfSense : LAN : 193.56.2.224 WAN : 192.168.1.1 OPT1 : 192.168.2.1 Passerelle WAN (adresse du Routeur 1) : 192.168.1.254 Passerelle OPT1 (adresse du Routeur 2) : 192.168.2.254

Manuel dInstallation et dUtilisation du logiciel

2

CH-ARCACHON

pfSense

3. Installation de pfSense :Tlchargez limage de pfSense dans la section Download de pfSense (http://www.pfsense.com) Dmarrez votre ordinateur partir du cd de limage de pfSense ; linstallation va alors commencer. Laissez alors le compte rebours se terminer (10 secondes) ou appuyez directement sur Entre . Le dmarrage par dfaut est choisit.

Ensuite vient la configuration des interfaces rseaux. FreeBSD dtecte le nombre de cartes rseaux, et y attribue des noms (le0, le1, le2 dans notre cas).

Les VLAN ne seront pas utiliss.

Manuel dInstallation et dUtilisation du logiciel

3

CH-ARCACHON

pfSense

Nous allons prsent choisir quelle interface appartient au LAN, au WAN, et au WAN2 (appele aussi OPT1). Il suffit alors de renseigner son nom. Pour connatre avec certitude la carte rseau que lon affecte, il est possible de faire de lauto dtection, cest dire que lorsquune carte rseau est branche, elle devient UP .

Une fois les interfaces assignes, nous arrivons enfin au menu.

Manuel dInstallation et dUtilisation du logiciel

4

CH-ARCACHON

pfSense

Ladresse par dfaut du LAN est 192.168.1.1. Nous allons la modifier en 193.56.2.224 pour que pfSense soit sur le mme rseau. Saisir loption 2 .

Nous voil de nouveau au menu. Nous allons prsent installer rellement pfSense sur le disque dur. Saisir alors le choix 99 .

L'installation qui va suivre se fait en acceptant toutes les options par dfaut. Il suffit d'accepter toutes les demandes (formatage si ncessaire et cration de la partition).

On choisit dinstaller pfSense.

Manuel dInstallation et dUtilisation du logiciel

5

CH-ARCACHON

pfSense

On slectionne le disque dur dans lequel sera install pfSense.

Si ncessaire, slectionnez loption Format this Disk . Cest cela dit plus prudent de formater le disque dur mme sil est cens tre vide.

Ici on peut modifier la gomtrie du disque dur. Cette tape n'est en principe pas ncessaire. En effet, FreeBSD reconnat quasiment tous les disques durs existants. A ne changer donc uniquement si le disque est trop rcent et donc pas reconnu.

Manuel dInstallation et dUtilisation du logiciel

6

CH-ARCACHON

pfSense

Confirmez le formatage du disque dur.

Nous allons maintenant crer les partitions sur le disque dur. Nous pouvons crer autant de partitions que nous le souhaitons dans le cas o plusieurs systmes d'exploitations seraient mis en place.

Vous pouvez ici soit garder la taille de la partition (par dfaut il utilisera tout le disque dur) ou lui dfinir une taille.

Manuel dInstallation et dUtilisation du logiciel

7

CH-ARCACHON

pfSense

Confirmez la cration de la partition.

Slectionnez prsent la partition o vous allez installer pfSense.

Ce message averti seulement que les donnes existantes sur la partition vont tre crases.

Manuel dInstallation et dUtilisation du logiciel

8

CH-ARCACHON

pfSense

Sur tout systme Linux, il existe une partition swap (partition dchange). Cest un espace rserv pour rajouter de la mmoire. La taille de la partition swap dpend gnralement de la RAM prsente sur lordinateur.

Slectionnez le type du kernel (noyau) installer.

Nous allons maintenant crer le boot du disque dur. Cela va permettre de dmarrer la machine directement sur pfSense.

Manuel dInstallation et dUtilisation du logiciel

9

CH-ARCACHON

pfSense

Si pfSense s'est install correctement, vous pouvez retirer le cd et redmarrer la machine en allant sur reboot .

Manuel dInstallation et dUtilisation du logiciel

10

CH-ARCACHON

pfSense

4. Configuration de pfSense :PfSense est dsormais disponible ladresse du LAN : http://193.56.2.224 login : admin ; mdp : pfsense (par dfaut)Cest partir de cette adresse que toutes les manipulations vont se drouler.

4.1.

Prparation de la configuration :

Lors de la connexion ladresse de pfSense, une aide la configuration apparat. Elle permet de configurer la base de pfSense. Il est conseill de lutiliser mme si par la suite les informations renseignes peuvent tre changes.

Dans notre cas, nous renseignons les DNS primaires des deux connexions.

Ce logiciel utilise le protocole NTP (Network Time Protocol) qui permet de synchroniser les horloges des systmes informatiques travers un rseau dont la latence est variable.

Manuel dInstallation et dUtilisation du logiciel

11

CH-ARCACHON

pfSense

Ceci correspond la configuration de linterface WAN. Pour tre sr dutiliser la bonne carte rseau, il est conseill dy rentrer son adresse MAC. Il ne faut galement pas oublier de dcocher la case Block private networks from entering via WAN . Ensuite, en ce qui concerne linterface LAN, il faut simplement sassurer de la bonne adresse et du bon masque de sous-rseau.

Enfin, le mot de passe daccs linterface graphique de pfSense est modifier. Cela permettra de restreindre laccs cette interface qui doit tre confidentielle.

Manuel dInstallation et dUtilisation du logiciel

12

CH-ARCACHON

pfSense

Nous voil enfin sur la page par dfaut dadministration de pfSense.

4.2.

Mise en place de la configuration de pfSense :System :

4.2.1. Advanced :

Cette section reprsente les options avances de pfSense comme laccs SSH, les cls SSL, etc. Pour la ralisation du projet, les sticky connections (connexions persistantes) ont t acceptes.

Cette option permet dviter la rengociation inutile des cls SSL pour le protocole HTTPS. Firmware : Cela permet de mettre jour pfSense. General Setup : Ce sont les configurations de base de pfSense rentres lors du guide dinstallation. Il faut vrifier que Allow DNS server list to be overridden by DHCP/PPP on WAN est bien dcoch.

Manuel dInstallation et dUtilisation du logiciel

13

CH-ARCACHON

pfSense

Packages : Il est possible dinstaller de nouveaux paquets tels que MRTG (interface graphique SNMP), Squid (serveur mandataire), etc. Setup Wizard : Le Setup Wizard est le guide rencontr au dbut de linstallation de pfSense. Il est possible de le refaire. Static Route : Les routes statiques sont importantes lorsquune adresse rseau nest pas vue par la passerelle.

Linterface WAN est notre interface par dfaut. OPT1 nest pas forcment utilise et va pointer vers linterface WAN (ce quon ne veut pas). Il est alors judicieux dajouter une route statique pour le DNS. 4.2.2. (assign) : Il est possible de modifier lattribution dune interface une carte rseau laide de ladresse MAC. Les VLANs peuvent galement y tre grs. Interfaces :

WAN : Cette interface a t configure lors du guide dinstallation de pfSense. LAN : Celle-ci a galement t configure dans le guide dinstallation de pfSense.

Manuel dInstallation et dUtilisation du logiciel

14

CH-ARCACHON OPT1 :

pfSense

Cette interface correspond notre liaison de secours. Elle porte le nom de Optional 1 (OPT1). Sa configuration est proche de celle de linterface WAN.

4.2.3. Aliases :

Firewall :

Les alias permettent principalement dassocier un nom une adresse dhte, un port, ou un rseau. Un nom peut comprendre plusieurs lments, ce qui facilite et simplifie les rgles appliquer aux htes spcifis. NAT : Le NAT (Network Address Translation) permet notamment de faire correspondre une seule adresse externe publique visible sur Internet toutes les adresses dun rseau priv. Dans notre cas, le NAT sera utilis pour les deux connexions Internet.

Manuel dInstallation et dUtilisation du logiciel

15

CH-ARCACHON Rules : Rgle par dfaut : Tout est bloqu. Elle nest pas explicitement crite mais est applique. LAN :

pfSense

La passerelle FailOver correspond au changement de connexion en cas de crash (vu dans la partie Services ). WAN :

OPT1 :

Schedules : Schedule (planifier) correspond un intervale de temps dans le mois ou dans la journe. Ces planifications sont attribuer des rgles de Firewall. Ces rgles sont alors actives en fonction dune plage dhoraire prcise. Par exemple, laccs Internet ne sera autoris que de 9h 19h. Traffic Shaper : Le Traffic Shaping permet de contrler lutilisation de la bande passante. On peut par exemple limiter la bande passante dun hte ou dun port. Cependant, le Traffic Shaping ne peut tre ralis quavec une seule interface Internet et non deux comme dans notre cas. Nous ne pourrons donc pas lutiliser correctement. On peut toutefois lactiver sur une des deux interfaces.

Manuel dInstallation et dUtilisation du logiciel

16

CH-ARCACHON Virtual IPs :

pfSense

Il est possible dassigner des adresses IP virtuelles. Ceci permet davoir un hte avec plusieurs adresses IP. Dans cette partie, on peut aussi configurer le CARP (Common Address Redundancy Protocol). L'objectif premier de ce protocole est de permettre un groupe d'htes sur un mme segment rseau de partager une adresse IP. Lutilisation principale de CARP est la cration d'un groupe de pare-feu redondants. L'adresse IP virtuelle attribue au groupe de redondance est dsigne comme l'adresse du routeur par dfaut sur les machines clientes. Dans le cas o le pare-feu matre rencontrerait une panne ou est dconnect du rseau, l'adresse IP virtuelle sera prise par un des pare-feu esclaves et le service continuera tre rendu sans interruption. 4.2.4. Services :

Plusieurs services peuvent tre grs par pfSense. Ils peuvent tre arrts ou activs depuis cette interface. Voici la liste des services : - Captive Portal (portail captif) - DNS Forwarder (transporte les DNS) - DHCP relay (agent relais DHCP) - DHCP server (serveur DHCP) - Dynamic DNS (permet de rendre statique un DNS dynamique grce un nom) - Load Balancer (rpartition de charges) - OLSR (protocole de routage) - PPPoE server (permet de bnficier des avantages de PPP sur Ethernet) - RIP (protocole de routage) - SNMP (grer des quipements rseaux distance) - UpnP (facilite la mise en rseau) - OpenNTPD (gestion de lhorloge) - Wake on LAN (permet un ordinateur teint dtre dmarr distance) Nous ne nous intresserons quau service Load Balancer. Cest celui-ci qui nous permettra de configurer le FailOver et donc la redondance des connexions Internet. Le principe du FailOver est dutiliser le protocole ICMP afin de pinguer une passerelle (le DNS tant lidal pour savoir si une connexion Internet fonctionne ou non). Notre passerelle principale est Internet1 (WAN) et la passerelle de secours correspond Internet2 (OPT1). Si le ping vers la passerelle du WAN ne fonctionne plus, la connexion est alors dirige vers OPT1. Puis lorsque la passerelle WAN redevient active, la connexion est ramene sa passerelle par dfaut (WAN). Pour utiliser correctement cette fonctionnalit, il nous faut crer le pool dadresses ci-aprs.

Manuel dInstallation et dUtilisation du logiciel

17

CH-ARCACHON

pfSense

4.2.5.

VPN :

Plusieurs catgories de VPN sont supportes par pfSense. Le VPN IPSec peut tre utilis en mode transport (hte rseau ou hte hte) ou en mode tunnel (rseau rseau). Il sait grer le protocole AH (Authentification) et ESP (Cryptage). Il gre galement les autorits de certification. Le VPN OpenVPN gre les serveurs et les clients VPN. Il gre galement les autorits de certification. Le VPN PPTP gre aussi les serveurs et les clients. Il prend en compte un serveur RADIUS pour lauthentification. Du ct client, un simple login/mot de passe est renseigner. 4.2.6. Status :

Longlet Status permet de voir ltat de pfSense. Nous pouvons par exemple vrifier si les interfaces sont actives, leurs adresses, etc. Cela dit, quelques status sont plus importants que dautres : Interfaces pour voir ltat des connexions ; Load Balancer pour vrifier si le FailOver fonctionne ; Services pour arrter ou lancer un service ; System qui est la page daccueil et nous permet de voir ltat du systme ; et pour finir, le plus important : System Logs qui sont les logs de tous les services. 4.2.7. Diagnostics :

Ceci correspond quelques fonctionnalits supplmentaires servant rendre quasi-complte ladministration du serveur distance. Nous pouvons donc arrter ou redmarrer pfSense, visualiser la table de routage, effectuer un ping , modifier des fichiers, revenir une installation de pfSense neuve, etc.

Manuel dInstallation et dUtilisation du logiciel

18