Guide PfSense.pdf

Les réseaux des EPLEFPA

Guide « PfSense »
Chantier national DRTIC http://drtic.educagri.fr/ Mai 2010
Les réseau des !"L!#"$ % &uide "f'ense 2
Table des matières
1 Installation de la "f'ense....................................................................................................................................(
'ché)a de principe.............................................................................................................................................(
"réala*le.............................................................................................................................................................(
Installation..........................................................................................................................................................+
2 Configuration de la "f'ense................................................................................................................................,
( Mise en place du -". site/0/site......................................................................................................................1(
'ché)a de "rincipe...........................................................................................................................................1(
Installation de 'la1e/pf'ense............................................................................................................................1(
Configuration de 'la1e/pf'ense.......................................................................................................................1+
Mise en place du ser1eur I"'ec sur Master/pf'ense........................................................................................12
Mise en place du ser1eur I"'ec sur 'la1e/pf'ense..........................................................................................12
+ R3gles du #ire4all.............................................................................................................................................15
Trafic Internet...................................................................................................................................................15
Co))unication entre les interfaces..................................................................................................................16
R3gles du tunnel Ipsec......................................................................................................................................1,
7 Configuration des fonctionnalités de pro8......................................................................................................20
Installation des pac9ages :................................................................................................................................20
Configuration de s:uid.....................................................................................................................................21
Configuration de s:uid&uard...........................................................................................................................21
Mise en place d;$CL........................................................................................................................................22
2 $<out du -". : clients )o*iles =>pen-".?.....................................................................................................2(
'ché)a de l;architecture réseau )ise en @u1re...............................................................................................2(
Configuration de Master/pf'ense pour l;>pen -".........................................................................................2(
5 $nnee 1............................................................................................................................................................2+
Les réseau des !"L!#"$ % &uide "f'ense (
1 Installation de la PfSense
Schéma de principe
$1ant toutA 1oici le sché)a général de l;installation )is en place pour cette docu)entation =*ien entenduA toutes
les adresses I" sont 0 adapter? :
Préalable
$1oir préparé le "C contenant 1A 2A ( ou + cartes réseau en fonction de la configuration choisie.
Il est rappelé :ue les différentes interfaces dBun #ire4all ne doi1ent pas Ctre connectées au )C)e réseau
ph8si:ue ou alors uni:ue)ent sur des ports appartenant 0 des -L$. 602.1: différents.
.ous considérons égale)ent :ue 1otre conneion internet est de t8pe $D'L ou 'D'L et :uBelle se fait 0 lBaide
dBun Routeur !thernetA ce :ui est la )a<orité des cas dans les éta*lisse)ents.
Rele1eD :uel:ues para)3tres clefs co))e lBadresse I" pu*li:ue :ue 1ous alleD utiliser pour la carte E$. de
1otre "f'enseA ainsi :ue les I" :ue 1ous utilisereD pour 1os différentes interfaces locales.
Les réseau des !"L!#"$ % &uide "f'ense +
Installation
TéléchargeD la dernière version stable dans la rubrique « download » du site PfSense
http://444.pfsense.org/
Le )irroir franFais :ui per)et de télécharger la derni3re 1ersion de pf'ense :
http://pfsense.*ol2riD.co)/do4nloads/
&ra1eD l;i)age téléchargé sur un CD *oota*le
Dé*rancheD les cG*les réseau de 1otre futur fire4all pf'ense =ils seront re*ranchés plus tard?.
HooteD l;ordinateur a1ec le CD pf'ense.
-ous alleD ensuite a1oir lBécran de dé)arrage de #reeH'D. -ous a1eD plusieurs choi possi*les.
-ous alleD choisir ici lBoption 1 =défaut? :
$ppu8eD sur I n J au prochain écranA et faites !.TR!R.
Les réseau des !"L!#"$ % &uide "f'ense 7
!nsuite 1ient la configuration des interfaces réseau. ChoisisseD :uelle interface sera le L$. et lBautre le E$..
$ la :uestion I enter the Lan interface na)e or Ka; for auto/detection: JA tapeD I a J. .e faites pas I !ntrer J
pour le )o)entA )ais *rancheD 1otre cG*le réseau sur 1otre carte réseau destinée au L$. =dans notre ee)ple :
lnc0?. !nsuiteA 1ous pou1eD faire I !ntrer J. #aites de )C)e pour la carte réseau :ui sera reliée au E$. =dans
notre ee)ple lnc1? :
L la ligne sui1ante =>ptional interface? ne )etteD rien et appu8eD sur entrer.
-ous aureD ensuite un récapitulatif de la configuration et de1reD la 1alider en tapant I 8 J.
#reeH'D se charge ensuite et nous entrons dans le )enu. .ous allons donc passer 0 lBinstallation sur le dis:ue
dur en tapant le choi M,,M :
Les réseau des !"L!#"$ % &uide "f'ense 2
.ous allons 1oir en détail co))ent se déco)pose lBinstallation de pf'ense =le choi 0 faire est celui surligné en
*leu?

Le change)ent de confiiguration du cla1ier en franFais ne fonctionne pasA la )odification pourra Ctre faite
apr3s l;installation.
ChoisisseD le dis:ue dur sur le:uel 1ous souhaiteD installer 1otre pf'ense :
'i nécessaireA nous allons 1oir co))ent for)ater le dis:ue durA pour cela alleD sur I #or)at this Dis9 JA sinon
1ous pou1eD sauter lBétape en allant sur I '9ip this step J :
Ici alleD directe)ent 0 I Nse this geo)etr8 JA I #or)at ad0 JA puis I "artition Dis9 J :

Les réseau des !"L!#"$ % &uide "f'ense 5
-ous pou1eD ici soit garder la taille de la partition =par défaut il utilisera tout le dis:ue dur?A ou *ien lui définir
une taille. $lleD ensuite sur I $ccept and Create JA I Oes partition ad0 JA puis >P:
'électionneD la partition sur la:uelle installer pf'enseA faites >PA puis I $ccept and Create J pour éta*lir le
'4ap :

Les réseau des !"L!#"$ % &uide "f'ense 6
L;installation de pf'ense 1a co))encer :
.ous allons )aintenant créer le MH>>TM du dis:ue dur. Cela 1a per)ettre de dé)arrer la )achine directe)ent
sur pf'ense.
#aites I $ccept and install Hoot*loc9s JA >P et I Nniprocessor 9ernel J :
$ la fin de l;installation de pf'enseA 1ous pou1eD retirer le CD et redé)arrer la )achine en allant sur I re*oot J
Les réseau des !"L!#"$ % &uide "f'ense ,
2 Configuration de la PfSense
"f'ense est en )arche. .ous allons )aintenant passer 0 la configuration.
Dans ce chapitreA nous configurons 0 titre dBee)ple la )achine Master/pf'ense du sché)a de principe.
"our a1oir le cla1ier franFaisA taper 6? shell puis I 9*dcontrol %l fr.iso.9*d J
"our une configuration per)anenteA il faudra placer la ligne dans le ser1ice I shellc)d J :u;il est possi*le
d;a<outer 0 partir des pac9ages disponi*les.
!nsuiteA il faut changer lBI" sur la carte réseau L$. =réseau ad)in? de pf'ense. "our celaA dans le )enuA tapeD
le choi 2 =I 'et L$. I" address J?. !ntreD lBadresse I" correspondante 0 1otre L$. ainsi :ue le )as:ue =2+ en
général? :
$pr3s a1oir configuré les cartes réseauA 1ous de1rieD a1oir une étoile pr3s du no) des interfacesA indi:uant la
*onne conneion des cG*les réseau.
Les réseau des !"L!#"$ % &uide "f'ense 10
.ous allons pou1oir )aintenant configurer pf'ense 1ia lBinterface Ee*.
ConnecteD une )achine sur la carte réseau de pf'ense =cQté L$. : réseau ad)in?. >u1reD ensuite 1otre
na1igateur Ee*A puis entreD http://10.21.201.27+ =dans notre cas?.
!ntreD ensuite le login =par défaut adminA )dp : pfsense?.
$u pre)ier écranA faites .!RTA tapeD ensuite le no) de la )achineA le do)aine et lBI" du D.'A !e)ple :
.o) : pfcnerta S Le no) dBhQte de 1otre s8st3)e
Do)aine : educagri.fr S -otre no) de do)aine
D.' : 212.25.7(.272 S Les adresses D.' générale)ent fournies par 1otre #$I
212.25.7+.272
#useau horaire : !urpoe/"aris S -otre fuseau horaire
!nsuiteA sélectionneD 1otre fuseau horaire :
Les réseau des !"L!#"$ % &uide "f'ense 11
.ous allons )aintenant configurer l;interface E$.. 'électionneD le I 'electedT8pe J I 'tatic JA l;adresse I" de
la carte E$. =en direction d;internet?
I" : 60.60.60.((
DécocheD les deu cases I *loc9T J tout en *as :
-érifieD ensuite la configuration de la carte L$. :ui doit Ctre correcte puis faire .!RT.
"our finirA )odifier 1otre )ot de passe pour l;acc3s 0 pf'enseA faites .!RTA puis R!L>$DA et relanceD ensuite
1otre na1igateur :
Les réseau des !"L!#"$ % &uide "f'ense 12
Nne fois l;interface graphi:ue de pf'ense chargéeA *rancheD ph8si:ue)ent 1otre carte réseau reliée au réseau
"edago.
$lleD 0 l;onglet I Interfaces JA puis I assign JA et cli:ueD sur la case I U J 0 droite.
'électionneD la carte réseau correspondant 0 la nou1elle interface >"T1 et pour finirA cli:ueD sur I 'a1e J.
!nsuite retourneD sur l;onglet I Interface JA puis I >"T1 JA et configureD l;interface :
Il est possi*le de la )C)e )ani3re d;a<outer d;autres interfaces pour des réseau supplé)entaires co))e une
Done 4ifiA une Done DMVA une Done T
Les réseau des !"L!#"$ % &uide "f'ense 1(
3 Mise en place du VPN site--site
Schéma de Principe
-oici le sché)a du réseau :ue nous allons configurer :
Installation de Slave-pfSense
.ous 1enons de réaliser au chapitre précédent lBinstallation du #ire4all Master/pf'ense.
"our l;installation de 'la1e/pf'enseA le principe est le )C)e.
RepreneD les étapes décrites au chapitre 1 traitant de l;installation.
Les réseau des !"L!#"$ % &uide "f'ense 1+
Configuration de Slave-pfSense
.ous passons ensuite directe)ent 0 la configuration :
ConnecteD une )achine sur la carte réseau de pf'ense =cQté L$. : réseau $d)in?.
!ntreD http://10.21.20(.27+ =dans notre cas? dans 1otre na1igateur Ee*.
!ntreD ensuite le login =par défaut adminA )dp : pfsense?.
$u pre)ier écranA faites .!RT.
TapeD ici le no) de la )achineA le do)aine et lBI" du D.':
Les réseau des !"L!#"$ % &uide "f'ense 17
#aites de )C)e pour les configurations des cartes E$.A L$. =elle doit Ctre nor)ale)ent *ien configurée? et
"edagoA en l;adaptant selon le para)étrage de 1otre réseau :
Les réseau des !"L!#"$ % &uide "f'ense 12
Mise en place du serveur IPSec sur Master-pfSense
$lleD dans l;onglet -". W I"'ec X Tunnels
Cli:ueD sur la case I U J pour créer un nou1eau ser1eur I"'ec en )ode Tunnel.
Re)plisseD les cha)ps générau sui1ants =tou<ours en adaptant a1ec 1os adresses I"? :
 Interface : E$..
 Local su*net : L$. su*net =sous réseau L$. de Master/pf'ense?.
 Re)ote su*net : 10.21.20(.0/2+ =sous réseau L$. de 'la1e/pf'ense?.
 Re)ote gate4a8 : 6.60.61.(( =YI" E$. 'la1e/pf'ense?.
 Description : Ici 1otre descriptionA par ee)ple Tunnel Master/'la1e pf'ense.
 .egociation )ode : agressi1e.
 M8 identifier : M8 I" address.
 !ncr8ption algorith) : (D!'.
 Zash $lgorith) : 'Z$1.
 DZ Pe8 &roup : 2.
 Lifeti)e : 26600.
 "re/'hared Pe8 : [1otre clé partagée\ =utiliseD par ee)ple une clé co))e I"'ecYpf'ense?.
 "rotocol : !'" =une r3gle #ire4all sera créée pour autoriser en entrée !'"?.
 !ncr8ption algorith)s : (D!' =décocheD les autres possi*ilités?.
 Zash algorith)s : 'Z$1.
 "#' 9e8 group : 2.
 Lifeti)e : 62+00.
 $uto)aticall8 ping host
Mise en place du serveur IPSec sur Slave-pfSense
La configuration du ser1eur I"sec de 'la1e/pf'ense est si)ilaire 0 celle de Master/pf'ense.
RépéteD les étapes énoncées précéde))ent en changeant *ien s]r les para)3tres sui1ants :
 Re)ote su*net : 10.21.201.0 /2+ =sous réseau L$. de Master/pf'ense?.
 Re)ote gate4a8 : 60.60.60.(( =YI" E$. Master/pf'ense?.
 M8 identifier : M8 I" address.
$pr3s la configuration du tunnelA la co))ande I 'tatus : Ipsec J per)et de 1érifier :ue la configuration est
correcte.
L;onglet I '$D J per)et de 1érifier le *on fonctionne)ent du tunnel apr3s a1oir tenté un ping sur une )achine
du réseau distant.
Les réseau des !"L!#"$ % &uide "f'ense 15
! "ègles du #ire$all
La logi:ue de fonctionne)ent du pare/feu peut différer sui1ant les o*<ectifs de l;ad)inistrateur réseau de
l;éta*lisse)ent. Dans le cas o^ la si)plicité de )ise en place est recherchéeA il est possi*le d;autoriser tous les
ports en sortie pour les protocoles TC" et ND" pour la na1igation 1ers Internet. "our un fonctionne)ent plus
s]r et )ieu )aitriséA seuls les ports nécessaires seront ou1erts. Il sera alors nécessaire de faire l;in1entaire
ehaustif de tous les ser1ices nécessairesA ce :ui représente un tra1ail i)portant.
Les r3gles per)ettent de )ettre en place les différents ser1ices autorisés sur cha:ue interface.
Il est possi*le d;autoriser tout le trafic en sortie dans le cas o^ les contraintes d;ou1erture de ports
La logi:ue de création consiste 0 les créer sur l;interface :ui représente la source du traffic. "ar ee)ple pour la
na1igation sur internet d;un poste du L$. sur le port 60A le trafic part du poste puis passe par l;interface L$.
a1ant de sortir par l;interface Ean. La r3gle per)ettant ce ser1ice sera écrite sur l;interface L$..
"our créer une r3gleA il suffit de cli:uer sur #ire4all /W RulesA puis sur l;onglet 1oulu par ee)ple L$..
Trafic Internet
"our na1iguer sur InternetA il faudra créer les r3gles de *ase pour les ports 7( =D.'?A 60 =http?A ++( =ZTT"'?A
21 =#T"?. Le protocole ICM" per)ettra d;utiliser la co))ande I "ing J pour des tests de certaines adresses I".
"ar la suiteA il sera certaine)ent nécessaire d;a<outer des ports correspondants au autres ser1ices nécessaires
= ser1eur de )essagerieA #irstClassA .ociaA T.?. Ce point sera a*ordé dans un docu)ent annee indépendantA le
tra1ail de configuration des ports n;est pas spécifi:ue 0 "fsense.
$pr3s a1oir déclaré les ports ou1erts pour la Done ad)in =L$.?A il sera nécessaire de faire la )C)e chose pour
la Done "!D$&> =>"T1? en )odifiant la liste des ports pour l;adapter au nécessités de la Done pédagogi:ue.
L;acc3s au ser1eurs de )essagerieA 0 #irsClassA 0 nocia ne sera peut/Ctre pas nécessaire alors :ue l;acc3s 0
M'. pourra l;Ctre.
Les réseau des !"L!#"$ % &uide "f'ense 16
"our autoriser l;acc3s depuis l;etérieurA il est nécessaire de )entionner les ports 0 ou1rir sui1ant les ser1ices
concernés. $insiA l;acc3s depuis des clients no)ades >pen-pnA le port 11,+ de1ra Ctre ou1ert pour l;interface
E$. 1ers le réseau $d)in.
Communication entre les interfaces
'ui1ant la configuration de l;éta*lisse)entA il sera peut/Ctre nécessaire d;autoriser des liaisons entre les réseau.
"ar ee)pleA l;acc3s au partages de fichier ou d;i)pri)antes peut/Ctre éta*li de la Done I $d)in J 1ers la
Done I "!D$&> J.
Les réseau des !"L!#"$ % &uide "f'ense 1,
Règles du tunnel Ipsec
"our une utilisation couranteA les ser1ices T'! =((6, M' RD"? et partage de fichiers =++7M' D'? sont
nécessaires pour accéder au ser1eurs L&$ du site principal. L;acc3s au ping =ICM" echo? est égale)ent une
*onne précaution en cas de doute sur l;acc3s. "our autoriser ces ser1icesA il est nécessaire de les )entionner au
ni1eau de l;interface L$. de la 'la1e "fsense =interface source du trafic?.
$u ni1eau de l;interface Ipsec de la Master "fsense ils seront égale)ent nécessaires. "our des raisons de
sécuritéA il est préféra*le de n;autoriser :ue ce :ui est stricte)ent nécessaireA donc ces ser1ices seront
configurés des adresses de l;interface L$. 1ers l;adresse du ser1eur de traite)ent. Il peut Ctre nécessaire
détendre les autorisations 1ers le ser1eur de données si des postes du site distant ont *esoin d;accéder au
données en utilisant le dri1er >DHC.
"orts ou1erts sur la Done L$. de la 'la1e "fsense :
"orts ou1erts sur la Done I"'!C de la Master "fsense :
"our autoriser des acc3s de la Done L$. du site principal 1ers le site distantA il sera nécessaire d;a<outer des
ports dans la Done L$. de la Master pfsense et dans la Done I"'!C de la 'la1e "fsense. Ce sens de
co))unication est asseD rare)ent utiliséA il est donc préféra*le de ne le configurer :u;en cas de nécessité.
Les réseau des !"L!#"$ % &uide "f'ense 20
% Configuration des fonctionnalit&s de pro'(
"our pou1oir utiliser les fonctionnalités de pro8A il faut a<outer les pac9ages I s:uid J et I s:uidgard J puis
configurer les *lac9listA les différentes restrictions et é1entuelle)ent des r3gles d;acc3s supplé)entaires =$CL?
Installation des packages
Cli:uer sur le signe U pour a<outer le pac9age ':uid
Installer ensuite ':uidguard de la )C)e faFon
$pr3s l;installation l;onglet Installed"ac9ages per)et de 1érifier :ue les deu )odules sont *ien installés.
Les réseau des !"L!#"$ % &uide "f'ense 21
Configuration de s!uid
Cli:uer sur 'er1ices S "ro8 ser1er.
Dans l;onglet &énéralA configurer les options sui1antes :
 "ro8 interface : "!D$&> =dans notre cas?. Pour sélectionner plusieurs interfaces utiliser la touche control
 $llo4 user on interface : 1alider.
 Transparent pro8 : 1alider.
 Log store director8 : /1ar/log : dossier contenant d3<0 les autres logs.
 "ro8 port : (126 : port classi:ue pour pro8.
 Language : #rench
Cli:uer ensuite sur 'a1e pour enregistrer la configuration.
$u ni1eau de l;onglet $ccess control /W Hlac9listA il est possi*le d;indi:uer des sites en co)plé)ent des
Hlac9list de s:uid&uard.
Configuration de s!uid"uard
Cli:uer sur 'er1ices S "ro8 filter.
 !na*le : 1alider.
 Hlac9list : 1alider.
 Hlac9list url : http://444.shallalist.de/Do4nloads/shallalist.tar.gD
Actuellement, les listes de l’université de oulouse ne fonctionnent pas correctement avec la pfSense!
Cli:uer ensuite sur sau1egarder puis sur Npload url pour charger la *lac9list.
Les réseau des !"L!#"$ % &uide "f'ense 22
La liste co))ence 0 se chargerA le )essage dispara_t lors:ue le télécharge)ent est ter)iné.
Il faut ensuite cli:uer sur l;onglet I Default J puis sur le triangle 1ert pour afficher la *lac9list.
'ur cha:ue élé)ent :ue 1ous souhaiteD autoriserA choisisseD allo4A et den8 pour ceu :ue 1ous 1ouleD interdire
 .ot to allo4 I" addresses in NRL : cocher si 1ous souhaiteD interdire les adresses I" tapées directe)ent
dans l;NRL.
 Redirect )ode : laisser l;option par défaut int error page
 Redirect info : entrer un )essage d;erreur personnaliséA par ee)ple I $cc3s interditA contacter 1otre
ad)inistrateur J
 !na*le log : cocher la case pour enregistrer l;acti1ité du ser1ice
 Cli:uer enfin sur 'a1e pour enregistrer la configuration. $ noter :u;il faut égale)ent cli:uer sur $ppl8
au ni1eau de l;onglet &eneral settings pour )ettre en @u1re les options para)étrées .
Mise en place d#$C%
Nne $CL =$ccess Control List? per)et de définir des r3gles d;acc3s pour certaines adresses I".
'électionner 'er1ices /W "ro8 filter /W $CL puis cli:uer sur U.
 .a)e : donner un no) 0 1otre $CL.
 'ource I" adresses and do)ains : !ntrer une plage d;adresses I" e 10.21.201.120/10.21.201.170
 Destination : cli:uer sur le triangle 1ert et sélectionner les do)aines 0 *lo:uer.
Les réseau des !"L!#"$ % &uide "f'ense 2(
) *+out du VPN , clients mobiles -.penVPN/
Schéma de l#architecture réseau mise en &uvre
Configuration de Master-pfSense pour l#'pen (P)
La suite de la configuration du ser1eur et des ses clients est détaillée dans le guide I Les réseau des !"L!#"$
/ Clients >pen-". J au chapitre traitant de la pfsense.
Les réseau des !"L!#"$ % &uide "f'ense 2+
0 *nne'e 1
'ché)a 1ierge :
Les réseau des !"L!#"$ % &uide "f'ense 27

Sign up to vote on this title
UsefulNot useful