You are on page 1of 32

Proxy : PfSense

Installation – Configuration de PfSense

Version : 2.0.3
26/05/2014
M2L
AUDOUY Gauthier

SOMMAIRE
1. Installation

1

2. Configuration des cartes réseau

6

3. Interface WEB

7

I.

Connexion

7

II.

System

10

III.

General SETUP

11

IV.

Interface

11

V.

Firmware

12

VI.

Package Manager

13

VII.

Firewall

14

A. Rules

VIII.

Virtual IP

14
18

A. Serveur Maitre

18

B. Serveur Esclave

20

IX.

Portail Captif

21

X.

Supervision du trafic internet

23

XI.

Filtrage URL

26

XII.

Configuration des postes utilisateurs

28

Schéma Final du réseau

29

XIII.

Installation et configuration de Pfsense

INSTALLATION ET CONFIGURATION DE PFSENSE
I.

Installation
Insérerez le CD d’installation et lancez le démarrage de la machine.

Un premier écran s’affiche :

1

Laissez le choix par défaut ou appuyez sur la touche Entrée ( Boot pfSense [default] )

Lorsque plusieurs choix vous sont proposés, entrez I afin d’installer Pfsense .

Sélectionnez <Accept These Settings >
a l’aides des flèches directionnelles du
clavier et appuyez sur Entrer.

AUDOUY
Gauthier
AU
AUDO
DOUY
UY G
Gau
auth
thier – M2L

Installation et configuration de Pfsense Sélectionnez <Quick/Easy Install> 2 Sélectionnez <OK> Patientez quelques instants jusqu’à la prochaine étape … Sélectionnez <Standard Kernel> AUDOUY Gauthier – M2L .

AUDOUY Gauthier – M2L . em1 et em2 de manière physique et logique avant de procéder à l’étape suivante. Il est important de connaitre la correspondance des cartes em0.Installation et configuration de Pfsense Patientez quelquse instants jusqu’à la prochaine étape … 3 Sélectionnez <Reboot> Saisissez n pour no lorsque vous est demandé la création de VLAN.

dans notre cas : · · · 4 WAN : em0 LAN : em1 Opt1 : em2 Entrez y pour YES afin de valider les paramètres Les divers services vont donc pouvoir se lancer Eteignez la machine et retirez le CD d’installation Relancez la machine.Installation et configuration de Pfsense Entrez les cartes réseaux correspondants à chaque réseau. Appuyez sur F1 ou patientez quelques instants AUDOUY Gauthier – M2L .

Installation et configuration de Pfsense 5 Laissez le choix par défaut ou appuyez sur la touche Entrée ( Boot pfSense [default] ) Le menu Pfsense s’affiche : L’installation de PfSense est donc terminé. AUDOUY Gauthier – M2L .

Configuration des cartes réseau Dans le menu de Pfsense entrez 2 soit l’option : Set Interface(s) IP adress Entrer la valeur 2 correspondant à la carte LAN.255. Si cela est proposé.255. Appuyez sur deux fois Entrée pour ne pas définir de passerelle puis une troisième fois pour ne pas définir d’adresse IPV6. 6 Saisissez l’adresse IP statique de la carte réseau LAN correspondant à l’adresse de PfSense . Entrez y soit YES. Entrez N pour NON afin de ne pas activer le service DHCP. Saisissez la valeur CIDR 24 correspondant au masque 255. AUDOUY Gauthier – M2L . cliquez sur Entrée pour continuer. Activez la redirection du panel de configuration graphique vers un service http.Installation et configuration de Pfsense II. Enfin.0. Effectuez la même manipulation pour la carte réseau WAN et pour la carte Opt1.

Installation et configuration de Pfsense III.252 La page de connexion à l’administration du serveur s’affiche : 7 Saisissez les identifiants par défaut : · Username : · Passwords : admin pfsense Un assistant de configuration s’affiche Remplissez les infos comme l’image ci-dessous : · Hostname : pfsense · Domain : m2l · Primary DNS Server : 172. Puis cliquez sur Next .71. AUDOUY Gauthier – M2L .16.71. Vérifiez que RDC1918 Networks et Block bogon networks soient décochés.71.14 · Secondary DNS Server : 172.16.16.45 Cocher la casse Override DNS Cliquez sur Next .224. sélectionner Europe/Paris .253 et 172. Puis cliquez sur Next. Dans le timezone. Interface WEB Connexion Tapez l’adresse WEB du serveur dans le navigateur WEB : 172. I.16.

afin que le serveur prenne en compte les modifications. Cliquez sur Click here to continue on to pfsense webConfigurator pour continuer. les corriger. Si les informations sont incorrectes. Pour des raisons de sécurité. cliquez sur Next. Saisissez le nouveau mot de passe : AdmS$sic31 8 Cliquez sur Reload. il est obligatoire de changer de mot de passe. Autrement. AUDOUY Gauthier – M2L .Installation et configuration de Pfsense L’assistant affiche l’adresse IP et le masque saisi précédemment lors de l’installation.

AUDOUY Gauthier – M2L .Installation et configuration de Pfsense L’interface web de pfsense est donc accessible. 9 Il est possible d’ajouter des modules dit « Widgets » via l’icone Les widgets permettent de visualiser rapidement et facilement l’activité du serveur en tout point.

le port SSH peut être modifié. System Allez dans SYSTEM puis Advanced 10 Pour des raisons de sécurité.Installation et configuration de Pfsense II. Cliquez sur Save. AUDOUY Gauthier – M2L . Pour plus de sécurité. L’accès SSH sera également sécurisé en cochant la case Enable Secure Shell. le protocole d’accès à l’espace d’administration sera HTTPS.

AUDOUY Gauthier – M2L .Installation et configuration de Pfsense III. General SETUP Montez les pfsenses sur le domaine et entrez les adresse IP du serveur DNS principal et des secondaires avec la passerelle d’accès a ces derniers. 11 IV. Donnez le nom de Sync dans Description. Interface ð Opt1 Sur les deux serveurs : Activez l’interface en cochant la case Enable Interface. Puis cliquez sur Save.

Installation et configuration de Pfsense Donnez-lui une adresse IP sur le réseau et un masque (cf.tableau d’adressage en annexe).1 /24 Et cliquez sur Save. Firmware Il est important de vérifier régulièrement les mises à jour du serveur à l’aide du service : Auto Update AUDOUY Gauthier – M2L . V. vérifiez la présence de la passerelle : 172.0. 12 Pour le coté WAN. Puis cliquez sur Save.16.

Les paquets disponibles sont situés dans l’onglet Available Packages et les paquets installés dans Installed Packages. Package Manager L’ajout de nouveau service se fait via l’onglet Package Manager . 13 Installation d’un widget Exemple : LightSquid Cliquez sur le bouton Ajouter[+] . AUDOUY Gauthier – M2L .Installation et configuration de Pfsense VI. Puis OK L’installation des widgets se réalise de manière autonome.

devra autoriser un certain nombre de service dont les plus connus : DNS. Rules Afin de maitriser les flux de données. VII. v v squidGuard : Redirecteur d’URL permettant de bloquer ou d’autoriser l’accès à certains sites. LE FIREWALL BLOQUE TOUTES LES ENTREES ET SORTIES QUI NE SONT PAS EXPLICITEMENT AUTORISER. v v LightSquid : Supervisons du trafic web . Le LAN quant à lui. HTTPS….Installation et configuration de Pfsense Le paquet est par la suite visible dans Installed Packages . il va falloir n’autoriser que certains protocoles bien précis. HTTP. rien n’est à modifier. Au niveau du WAN. AUDOUY Gauthier – M2L 14 . Les Package à télécharger sont les suivants : v Squid: Proxy cache haute performance. Firewall A.

cliquez sur le bouton Ajouter [+ [+]. AUDOUY Gauthier – M2L .Installation et configuration de Pfsense 15 Pour ajouter une route.

entrez le port 1270 . IV. Ajoutez dans description. II. d’être plus précis comme sur le type d’OS pouvant réaliser ses requêtes. III. AUDOUY Gauthier – M2L .Installation et configuration de Pfsense Exemple : Ajout du port 1270 pour le CNES – Vidéo Conférence I. le motif de l’autorisation d’ouverture de ce port. Dans destination port range. 16 Il est également possible. Choisir le protocole TCP/UDP . Cliquez sur Save pour sauvegarder.

Installation et configuration de Pfsense Il est important de cliquer sur Apply changes. AUDOUY Gauthier – M2L . La route insérée est donc désormais visible : Services : 17 La carte SYNC comportera une seule règle autorisant tout trafic de circuler. afin que l’ajout soit pris en compte.

Serveur Maitre Appuyez sur le bouton [+] sur la droite. A.Installation et configuration de Pfsense VIII. Virtual IP Le protocole CARP permet d’effectuer la fonction de Failover-Failback en cas d’interruption de service d’un proxy pfsense. AUDOUY Gauthier – M2L . 18 ð Pour l’adresse virtuelle WAN Réalisez la configuration suivante et sauvegardez en cliquant sur Save.

AUDOUY Gauthier – M2L . 19 ð Dans l’onglet CARP Setting. · · · · · Cochez la case Synchronize states. Puis dans Remote system password entrez le mot de passe administrateur du Pfsense esclave. Selectionnez l’interface de Synchronisation : SYNC Dans Synchronise config to IP entrez l’adresse IP de l’inteface SYNC du Pfsense esclave. Dans remote system username entrez le nom d’utilisateur de l’administrateur du Pfsense esclave.Installation et configuration de Pfsense ð Pour l’adresse virtuelle LAN Réalisez la configuration suivante et sauvegardez en cliquant sur Save.

ð Visualisation 20 Allez dans l’onglet Status /CARP On constate que le serveur est devenu Maitre et Actif sur les deux ports. soit Backup. B.Installation et configuration de Pfsense Cocher les cases : · · · Synchronize rules Synchronize NAT Synchronize virtual IPs Et cliquez sur Save. Serveur Esclave Ce dernier est passé en attente. AUDOUY Gauthier – M2L .

Sélectionnez l’interface LAN. Portail Captif Pour créer le portail captif.Installation et configuration de Pfsense IX. 21 Entrez la zone name « m2l » et la description « Portail Cpatif de la M2L ». Ø Ø Ø Ø Cochez la case Enable captive portal. Entrez la valeur 720 pour le Hard Timeout sois 12H. cliquez sur le bouton [+]. Entrez la valeur 60 pour le Idle Timeout. AUDOUY Gauthier – M2L . Le portail CAPTIF de la M2L devra n’autoriser l’accès à internet qu’à certains utilisateurs autorisés venant du réseau LAN.

le coté WAN. cochez le bouton RADIUS Authentification et le protocole MSCHAPv1. Afin de pouvoir autoriser l’accès au web aux utilisateurs présents dans le groupe user_m2l de l’active directory. AUDOUY Gauthier – M2L . dans notre cas.16.14 Le mot secret : pfsense Saisir l’URL de redirection après authentification de l’utilisateur dans After Authentification - Redirection URL. Dans RADIUS Options cliquez sur Reauthetification connected user every . Sélectionnez l’adresse permettant d’accéder au serveur RADIUS.Installation et configuration de Pfsense 22 Dans Authentification. · · Entrez l’adresse IP du serveur RADIUS : 172.72.

Supervision du trafic internet 23 Télécharger-installer le package Squid comme vu précédemment. Cocher les cases : · · · Allow user on interface Transparent proxy Bypass proxy … Et laissez les paramètres par défaut. AUDOUY Gauthier – M2L .Installation et configuration de Pfsense X. Aller dans l’onglet Service puis Proxy Server.

Installation et configuration de Pfsense Dans l’onglet Cache management . on constate que le service Squid est en service. changer les valeur : · · · Hard disk cache size : 1024 Memory cache size : 32 Maximum object size in : 64 24 Puis redémarrer le serveur via l’onglet Diagnostic puis Reboot. Sur le tableau de bord du Pfsense. AUDOUY Gauthier – M2L .

windowsupdate. d’accéder au rapport en cliquant sur l’onglet Lighsquid Report. allez dans Service puis Proxy Reports et effectuer les paramètres suivant : · Language : French · Refresh : 2H · Skip Url : au. il est désormais possible.Installation et configuration de Pfsense Par la suite.download.com Puis cliquez sur Refresh Now et Refresh Full et cliquer sur Save. AUDOUY Gauthier – M2L 25 . Après quelque minute.

ð Téléchargement et installation de la black List Allez dans l’onglet BlackList et cliquez sur Download.Installation et configuration de Pfsense XI. celle très complète de l’IUT du capitole de Toulouse disponible à l’adresse : http://dsi. Puis allez dans démarrer le proxy. par exemple. copier l’url d’une blackList. allez dans l’onglet General Settings et cochez la case Enable. cochez la case : Blacklist Dans Blacklist URL. AUDOUY Gauthier – M2L .fr/blacklists/ · Cliquez sur Save pour sauvegarder et appliquer les paramètres. 26 Puis : · · Dans Blacklist options. La BlackList se téléchargera et s’installera automatiquement. Filtrage URL Installez SquidGuard comme vu précédement. cliquez sur Apply pour démarrer le service.ut-capitole.

Saisissez un ou des domaines. Mots clés. deny catégories non autorisées 4. Pour décider si il s’agit d’une WhiteList ou BlackList. AUDOUY Gauthier – M2L . Cliquez sur le bouton pour afficher en détails les différentes listes regroupées par « catégorie ». il est possible de bloquer des sites autorisés ou encore d’incorporer des White Liste permettant d’autoriser des sites interdits par une BlackList . REDEMARRER LE PROXY. . Cliquer sur pour masquer celles-ci. URL. allez dans Target Categories.Installation et configuration de Pfsense Pour configurer la BlackList. allow catégories autorisées sauf les sites appartenant à une autre catégorie Le choix de configuration des catégories est la suivante : Ø En plus de ces Black Liste pré-definis.- paramètre par défaut catégorie non prise en compte 2. il faut aller modifier le choix dans Common ACL . Cliquez sur Save pour enregistrer les modifications. cliquez sur l’onglet Common ACL . 27 Pour chaque catégorie 4 configurations sont permises : 1. Cliquez sur Ajouter [+]. White catégories autorisées 3. il faut : OBLIGATOIREMENT. Pour cela. Pour appliquer les modifications effectuées.

2. 6. 28 Ø Internet Explorer : 1. Configuration des postes utilisateurs · Configuration des navigateurs WEB [Firefox – IE] Voici la configuration à suivre avec les navigateurs installéz sur les postes de travail du parc informatique de la M2L. 2. 5. 5. 4.Installation et configuration de Pfsense XII. 3. 4. Ouvrir Internet Explorer Aller dans les options Cliquer sur l’onglet Connexion Cliquer sur paramètres réseaux Cocher la case « Détecter automatiquement les paramètres de connexion » Ø Firefox : 1. Ouvrir Firefox Cliquer sur outils Cliquer sur option Onglet Avancé Onglet réseau Cliquer sur Paramètre Cocher la case « Détection Automatique » AUDOUY Gauthier – M2L . 7. 3.

Installation et configuration de Pfsense XIII. Schéma réseau 29 AUDOUY Gauthier – M2L .

16 .16.72.245 De0 WAN 172.254 Adresse virtuelle WAN WAN 172.16.252 De2 PfSync 172.72.16.72.0.Esclave S2 Windows Serveur Eth0 LAN 172.16.16.72.72.16.10 Pfsense .254 Pfsense-Maitre S1 De2 PfSync 172.8 /16 172.9 De1 LAN 172.72.16.ANNEXE Plan d’adressage Nom de la carte Position carte Adresse Masque Passerelle De0 WAN 172.16.16.14 STA-1 Eth0 LAN 172.72.16.16.1 /24 172.254 /16 172.253 /24 172.16.0.72.72.72.72..72.16.16.1 De1 LAN 172.246 Adresse vrtuelle LAN LAN 172.