sysadmin
Pixelabs est un univers de partage administrateur systèmes GNU/Linux et Windows Server.
Merci à tous pour vos messages et votre soutien.
Je suis absent. Je prendrai connaissance de vos messages à mon retour.

Installation & Configuration pfSense sous WorkStation

Le firewall pfSense est un routeur/pare-feu open source basé sur le système d’exploitation FreeBSD. Il a pour but d’assurer la sécurité périmétrique. Il comporte l’équivalent libre des outils et services utilisés habituellement sur des routeurs professionnels propriétaires.

En plus du pare-feu, il offre de nombreuses fonctionnalités comme par exemple :

  • Serveur DHCP
  • Serveur DNS
  • Translation d’adresses (NAT)
  • Portail captif
  • VPN IPsec, OpenVPN
  • Authentification RADIUS
  • Et bien plus…

Pour Oracle VM VirtualBox (WAN, LAN, DMZ), voir l’article : machine-virtuelle-pfsense-virtualbox/

Création de la VM

Préparez le fichier ISO de pfSense et lancez VMware Workstation Pro.

  • « Create a New Virtual Machine »
    • « Custom (Advanced) »
    • Hardware Compatibility : « Workstation 11.x ou Workstation 12.x »
    • Install From : « I will install the operating system later »
    • Select a Guest Operating System : « Other à FreeBSD 64-bit »
    • Virtual Machine Name : « pfSense »
    • Processors :
      • Number of Processors : « 1 »
      • Number of Cores per Processor : « 1 »
    • Memory for this Virtual Machine : « 512 MB »
    • Network Connection : « Use Bridged Networking »
    • SCSI Controller : « LSI Logic (Recommended) »
    • Virtual Disk Type : « IDE ou SCSI »
      • Create a New Virtual Disk
      • Max Disk Size : « 5 GB » « Store Virtual Disk as a single file »
Facultatif 
Désactiver les ports inutiles dans le BIOS. Cliquez sur :
VM > Power > Power On to Firmware / Advanced > I/O Device Configuration
Serial Port A : « Disabled »
Serial Port B : « Disabled »
Parallel Port : « Disabled »
Floppy Disk   : « Disabled »
F10 pour sauvegarder et quitter

Votre VM s’affiche sur l’interface VMware, cliquez sur « Edit virtual machine setting », sélectionnez la ligne « Sound Card » et cliquez sur le bouton « Remove » en bas. Sélectionnez la ligne « USB Controller » et décochez toutes les cases. Sélectionnez la ligne « CD/DVD » puis cochez la case « Use ISO image File », cliquez sur « Browse… » et sélectionnez l’ISO de pfSense que vous avez sans doute téléchargé. On peut maintenant installer pfSense. Au redémarrage, appliquez les paramètres suivant :

  • « Boot Multi User » <Entrée> accepter les conditions <Entrée>
    • Choisir le clavier « French ISO-8859-1 » <Entrée>
    • Montez d’un cran pour continuer avec le clavier «iso.kbd keymap » <Entrée>
    • Partitioning : « Auto (UFS)  Guided Disk Setup » <Entrée>
    • Manual Configuration « No » <Entrée>
    • « Reboot » <Entrée> N’oubliez pas de démontez l’ISO pour éviter de redémarrer dessus.

Configuration de pfSense

Au démarrage, on a droit à une suite de question et nous allons y répondre. Le clavier est en QWERTY, la touche M se trouve à droite de N à la place de <?,>

Should VLANs be set up now [y|n]? n
Enter the WAN interface name or ‘a’ for auto-detection (em0 or a): em0
Enter the LAN interface name or ‘a’ for auto-detection NOTE: This enables full Firewalling/NAT mode. ( a or nothing if finished): <ENTÉE>
The interfaces will be assigned as follows
WAN -> em0
Do you want to proceed [y|n]? y

On ne peut pas définir l’interface LAN pour l’instant, il n’y a qu’une seule carte réseau. Nous allons rajouter 3 autres et configurer les 3 sous-réseaux LAN Segments depuis VMware Workstation. <Alt Gr + Ctrl G> pour sortir la souris.

Voici le nom des interfaces et les sous-réseaux.

em0    = Bridged (WAN)      = 192.168.1.0/24     = Le réseau de ma machine hôte
em1    = LAN-Serveurs       = 172.16.1.1/18      = Le réseau LAN pour les serveurs
em2    = LAN-Users          = 172.16.64.1/18     = Le réseau LAN pour les Utilisateurs
em3    = LAN-DMZ            = 172.16.128.1/18    = Le réseau de la DMZ

Ajout des interfaces LAN-Segments

Éditez les paramètres de la machine virtuelle pfSense. En bas, cliquez sur le bouton « Add » sélectionnez « Network Adapter » et valider. Répétez l’opération 3 fois.

Sélectionnez n’importe quelle carte réseau (Network Adapter) et à droite, cliquez sur le bouton « LAN Segments… » ajoutez ensuite les 3 sous-réseaux comme sur l’image ci-dessus. 👆 Valider les modifications puis retourner dans les paramètres de la VM.

Il faut maintenant affecter chaque carte réseau à un LAN Segments. C’est simple, cliquer sur une carte réseau (Network Adapter), sur la colonne de droite, cocher la case « LAN Segments » et choisir un LAN. Assurez-vous que l’option « Connect at power on » est cochée. Pour moi ça donne : 👇

NetWork Adapter      = Bridged            = 192.168.1.41/24
NetWork Adapter 2    = LAN_Serveurs       = 172.16.1.1/18
NetWork Adapter 3    = LAN_Users          = 172.16.64.1/18
NetWork Adapter 4    = LAN_DMZ            = 172.16.128.1/18

Relancer pfSense pour prendre en compte les nouvelles cartes réseaux qu’on vient de rajouter. Nous allons maintenant les configurer sous pfSense.

Remarque : il est possible de configurer les cartes réseau depuis l’interface Web de pfSense, il suffit de configurer le LAN mais il faut une VM connectée à ce LAN pour accéder à l’interface Web de pfSense. Bon allez quoi… faisons ça en ligne de commande c’est chouette!

Tapez « 1 » pour « Assign Interfaces » <Entrée> pensez à activer le pavé numérique. Les 4 cartes réseaux, (WAN y compris) devrait s’afficher.

Should VLANs be set up now [y|n]? n
Enter the WAN interface name or ‘a’ for auto-detection: em0
Enter the LAN interface name or ‘a’ for auto-detection
NOTE: this enables full Firewalling/NAT mode.
(em1 em2 em3 em4 a or nothing if finished): em1
Enter the Optional 1 interface name or ‘a’ for auto-detection
(em2 em3 em4 a or nothing when finished): em2
Enter the Optional 2 interface name or ‘a’ for auto-detection
(em3 em4 a or nothing when finished): em3
Enter the Optional 4 interface name or ‘a’ for auto-detection
( a or nothing when finished): <ENTER>
The interfaces will be assigned as follows:
WAN  -> em0
LAN  -> em1
OPT1 -> em2
OPT2 -> em3
Do you want to proceed [y|n]? y

Et voilà nos 4 interfaces, easy… vous n’aimez pas ce OPT machin chose ? moi non plus, pas de panique, on pourra modifier le nom depuis l’interface web de pfSense.

Configuration réseau pour chaque interface

On peut maintenant configurer les adresses IP pour chaque carte réseau. Comme vous pouvez le constater, le WAN est en DHCP, c’est normal. Je ne sais pas pour vous, mais moi je vais le mettre en statique et lui donner justement l’adresse IP que le DHCP lui a attribuée ainsi que la passerelle.

Sur votre PC (machine hôte), lancez une invite de commande (CMD) et tapez « ipconfig /all ». Il faut donc identifier l’adresse IP de votre PC et la passerelle. Exemple avec mon propre PC :

  • Adresse IP : 192.168.1.56
  • Masque : 255.255.255.0 qui correspond à 24
  • Passerelle par défaut : 192.168.1.254
C:\Windows\system32>ipconfig /all

Configuration IP de Windows

   Nom de l’hôte . . . . . . . . . . : PIXELABS
   Suffixe DNS principal . . . . . . :
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: lan

Carte Ethernet Ethernet :

   Suffixe DNS propre à la connexion. . . : ...
   Description. . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Adresse physique . . . . . . . . . . . : ...
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv6 de liaison locale. . . . .: ...
...
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.1.56(préféré)
...
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
...
   Passerelle par défaut. . . . . . . . . : 192.168.1.254
...

L’adresse de mon PC est donc 192.168.1.56. Vous ne pouvez pas utiliser cette adresse pour l’interface WAN de pfSense car votre PC l’utilise déjà. Il faut donc choisir une autre adresse.

  • J’ai donc choisi : 192.168.1.41
  • Le masque ne change pas : 255.255.255.0 = 24
  • La passerelle ne change pas également : 192.168.1.254 

Remarque : si cette adresse est utilisée par un autre PC ou votre smartphone/tablette via le Wifi, il faut donc en choisir une autre (0-254).

Retourner sur la console pfSense :

Tapez « » pour « Set interface(s) IP address » <Entrée>

Enter the number of the interface you wish to configure: 1
Configure IPv4 address WAN interface via DHCP? (y/n) n
Enter the new WAN IPv4 address. Press <ENTER> for none:
> 192.168.1.41
Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
255.255.255.0 = 24
255.255.0.0   = 16
255.0.0.0     = 8
Enter the new WAN IPv4 subnet bit count (1 to 31):
> 24
For a WAN, enter the new WAN IPv4 upstream gateway address.
For a LAN, press <ENTER> for none:
> 192.168.1.254
Configure IPv6 address WAN interface via DHCP6? (y/n) n
Enter the new WAN IPv6 address. Press <ENTER> for none:
> <ENTÉE>
Do you want to revert to HTTP as the webConfigurator protocol? (y/n) y
Please wait while the changes are saved to WAN…
Reloading filter…
Reloading routing configuration…
DHCPD…
Restarting webConfigurator…
The IPv4 address has been set to 192.168.1.41/24
Press <Enter> to continue. <ENTÉE>

L’interface WAN est prête, vous pouvez même faire un test avec la commande PING.

  • Tapez « 7 » pour « Ping host » <Entrée>
  • Tapez en minuscule : google.fr <Entrée>
  • Ou : 8.8.8.8 <Entrée>

Alors ? ça fonctionne ou pas ? il le faut sinon, on ne peut pas continuer. Nous allons maintenant répéter l’opération pour l’interface LAN, OPT1, OPT2.

Tapez « » pour « Set interface(s) IP address » <Entrée>

Enter the number of the interface you wish to configure: 2
Enter the new LAN IPv4 address. Press <ENTER> for none:
> 172.16.1.1
Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new LAN IPv4 subnet bit count (1 to 31):
> 18
For a WAN, enter the new LAN IPv4 upstream gateway address.
For a LAN, press <ENTER> for none:
> <ENTER>
Enter the new LAN IPv6 address. Press <ENTER> for none:
> <ENTER>
Do you want to enable DHCP server on LAN? (y/n) n
Do you want to revert to HTTP as the webConfigurator protocol? (y/n) y
Please wait while the changes are saved to LAN…
Reloading filter…
Reloading routing configuration…
DHCPD…
The IPv4 LAN address has been set to 172.16.1.1/18
You can now access the webConfigurator by opening the following URL in your web
browser:
http://172.16.1.1/
Press <ENTER> to Continue. <ENTER>

C’est bon pour le réseau LAN (LAN-Serveurs). L’interface web de pfSense est accessible à l’adresse http://172.16.1.1/ avec les ID par défaut suivant :  admin – pfsense 

Tapez « 2 » pour « Set interface(s) IP address » <Entrée>

Enter the number of the interface you wish to configure: 3
Enter the new OPT1 IPv4 address. Press <ENTER> for none:
> 172.16.64.1
Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new OPT1 IPv4 subnet bit count (1 to 31):
> 18
For a WAN, enter the new OPT1 IPv4 upstream gateway address.
For a LAN, press <ENTER> for none:
> <ENTER>
Enter the new OPT1 IPv6 address. Press <ENTER> for none:
> <ENTER>
Do you want to enable DHCP server on OPT1? (y/n) n
Please wait while the changes are saved to OPT1…
Reloading filter…
Reloading routing configuration…
DHCPD…
The IPv4 OPT1 address has been set to 172.16.64.1/18
Press <ENTER> to Continue. <ENTER>

Okay pour l’interface LAN-Users.

Tapez « 2 » pour « Set interface(s) IP address » <Entrée>

Enter the number of the interface you wish to configure: 4
Enter the new OPT2 IPv4 address. Press <ENTER> for none:
> 172.16.128.1
Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new OPT2 IPv4 subnet bit count (1 to 31):
> 18
For a WAN, enter the new OPT2 IPv4 upstream gateway address.
For a LAN, press <ENTER> for none:
> <ENTER>
Enter the new OPT2 IPv6 address. Press <ENTER> for none:
> <ENTER>
Do you want to enable DHCP server on OPT2? (y/n) n
Please wait while the changes are saved to OPT2…
Reloading filter…
Reloading routing configuration…
DHCPD…
The IPv4 OPT2 address has been set to 172.16.128.1/18
Press <ENTER> to Continue. <ENTER>

C’est terminé. Il reste quelques manipulations à faire depuis l’interface Web, mais le plus important est fait. Je vais en profiter pour installer Windows Server 2012 et le configurer sur le réseau LAN-Serveurs, je pourrais ensuite me connecter à l’interface web de pfSense.

Connexion à l’interface Web pfSense

Avant d’accéder à l’interface pfSense, j’ai dû configurer le réseau de ma VM Windows Server 2012. La procédure est ici configuration post-installation, je ne veux pas mélanger les deux chapitres.

Se connecter à l’interface pfSense à l’adresse suivante (dans mon cas) : http://172.16.1.1user : admin | password : pfsense

Une fois connecté, cliquez sur <Next> pour procéder à une configuration initiale. C’est facultatif, vous pouvez aussi cliquer sur le logo pfSense pour atteindre le tableau de bord.

  • À l’étape 3/9, « Time Server Information », sélectionnez Europe/Paris dans « Timezone » laissez le reste par défaut.
  • À l’étape 6/9, mettez un mot de passe pour le compte admin <Next>. C’est terminé.
  • Vous pouvez mettre pfSense en Français depuis le menu < System / General Setup >.
  • On peut également installer les VM-Tools via le menu < Système / Gestionnaire de paquets / Paquets disponibles >
    • CTRL+F et chercher « Open-VM-Tools »
    • Cliquez sur « install » puis confirmer et patientez. C’est beau hein. 😋

  • Vérifiez les mises à jour depuis le menu < Système / Mettre à jour >
  • Si oui, cliquez sur « Confirmer » et laissez-le faire, à la fin, il redémarre automatiquement comme un grand.
  • Et pour finir, renommer les interfaces depuis le menu < Interfaces / Affectations >.
    • Cliquer sur le nom d’une interface pour changer le nom.
    • Si vous avez une erreur de conflit d’adresse IP, il faut revoir vos sous-réseaux.

Je prends mon réseau pour exemple, mais je vous préviens, je ne rentre pas dans les détails !

C’est une adresse de Class B (16 bits de réseau) 172.16.0.0/16 > 255.255.0.0 il faut donc le diviser en 3 sous-réseaux, on commence par calculer le masque de sous-réseau.

172.16.0.0/16
25525500
1111 11111111 11110000 00000000 0000
1111 11111111 11111100 00000000 0000
2552551920
  • 214                = 16 384 hôte max
  • 256 – 192   = 64

Mais…c’est quoi ce nombre 256 ! c’est expliqué ici : openclassrooms.com

Voici les 3 sous-réseaux :

LAN-Serveurs

172.16.1.1/18
255.255.192.0

LAN-Users

172.16.64.1/18
255.255.192.0

LAN-DMZ

172.16.128.1/18
255.255.192.0

Note : 128 est un multiple de 64

 

C’est terminé, vous savez maintenant comment mettre en place le Firewall pfSense. Je vous laisse découvrir la bête.

Mise à jour : Conf Multi WAN pfSense.

Configuration Multi WAN/LAN pfSense

Exemple de configuration de deux pfSense (Multi WAN). Voici la configuration des cartes réseau sous VMware WorkStation : (c’est qu’un exemple)

  • pfSense-1 : 3 Interfaces
    • WAN : Mode bridge – em0
      • IP : 192.168.1.20
      • MASK : 255.255.255.0
      • Passerelle : 192.168.1.254
    • LAN : Mode LAN Segment – em1
      • Nom : LAN
      • IP : 10.10.0.1
      • MASK : 255.255.255.0
    • OPT1 : Mode LAN Segment – em2
      • Nom : Route
      • IP : 10.0.2.1
      • MASK : 255.255.255.0
      • Passerelle : 10.0.2.2/24
  • pfSense-2 : 3 Interfaces
    • WAN : Mode bridge – em0
      • IP : 192.168.1.10
      • MASK : 255.255.255.0
      • Passerelle : 192.168.1.254
    • LAN :Mode LAN Segment – em1
      • Nom : LAN
      • IP : 10.20.0.1
      • MASK : 255.255.255.0
    • OPT1 : Mode LAN Segment – em2
      • Nom : Route
      • IP : 10.0.2.2
      • MASK : 255.255.255.0
      • Passerelle : 10.0.2.1/24

Multi LAN and WAN pfSense

Erreur ici : c’est PC2

Configuration pfSense-1 (PC1)

Passerelle : Système > Routage > Passerelles

Route statique : Système > Routage > Routes statiques

Add Route Static pfSense

Configuration pfSense-2 (PC2)

Passerelle : Système > Routage > Passerelles

Add Gateway WAN pfSense

Route statique : Système > Routage > Routes statiques

Route statiques Multi LAN

Autoriser OPT1 à communiquer avec le réseau LAN :

  • Ajoutez la règle suivante :
    • Action : Autoriser (Pass)
    • Interface : OPT1
    • Famille d’adresse : IPv4
    • Protocole : Tous
  • Source
    • Source : OPT1 net
    • Plage de port source : Tout / Tout
  • Destination
    • Destination : Tout
    • Plage de port source : Tout / Tout
  • Options additionnelles
    • Description : Allow OPT1 to any
  • Enregistrer
  • Appliquez

Test MULTI WAN/LAN (Ping)

Depuis PC01 (10.10.0.5) : ping de PC02 (10.20.0.5)

Depuis PC02 (10.20.0.5) : ping de PC01 (10.10.0.5)

Le firewall pfSense est un routeur, il y a plusieurs manière de faire (NAT-Port forwarding, Outbound…).

Mise à jour pfSense

Vous pouvez mettre à jour pfSense directement depuis la console.

Remarque : n’oubliez pas de faire une sauvegarde avant la mise à jour. Soit en exportant la VM soit faire un SnapShot)

  • Choisir l’option 13 : Update from console

C’est terminé. Bonne journée et à bientôt.

Bonne journée et à bientôt.

Besoin d’aide ? des questions ?
Venez sur le forum

logo Forum Pixelabs
***********

La rédaction de cette documentation demande beaucoup de temps, de motivation, mais surtout beaucoup de café 🙂

Vous aimez pixelabs ?
Offrez moi un petit café en cliquant sur la tasse ci-dessous.
pixelans_donation
Merci !
Share
5 1 voter
Évaluation de l'article
30 Commentaires
Inline Feedbacks
View all comments