pfsense mode opera to ire

5/13/2018 PfSense Mode Opera to Ire - slidepdf.com

http://slidepdf.com/reader/full/pfsense-mode-opera-to-ire-55a754aba0a06 1/37

Etablissement Public Local d’Enseignement et de FormationProfessionnelle Agricole

B O R D E A U X - B L A N Q U E F O R TP O L E I N F O R M A T I Q U E

Mise en place d'un cluster de

firewall avec basculementsous pfsense 2.0.1

MODE OPERATOIRE

Version 1.4

Auteur : Boutenegre ThomasVersion:

1.4

Diffusion : Restreinte Date : 01/02/2012

EPLEFPA BORDEAUX-BLANQUEFORT – POLE INFORMATIQUE – 84, avenue du Général de Gaulle

BP 113 - 33294 Blanquefort cedex Tel : 05 56 35 56 35 - Fax : 05 56 35 5600



EPLEFPA Bordeaux-Blanquefort

P O L EI N F O R M A T I Q U E

Mode Opératoire Version: 1.4

pfsenseDate: 01/02/201

HISTORIQUE DES REVISIONS

Version Date Auteur Commentaires

1.0 02/01/12 Boutenegre Thomas

Création du document


Ajout de l'installation de Pfsense


Ajout de la configuration géneral


Ajout des option du menu et SSH


Ajout des menu de l'interface

Auteur : Boutenegre Thomas 27/02/2012 sur 37







TABLE DES MATIERES

1 Introduction à Pfsense.....................................................................5

1.1 Présentation......................................................................5

1.2 Prérequis technique...........................................................5

2 Déploiement : INSTALLATION ET CONFIGURATION GENERAL...............7

2.1 Installation........................................................................7

2.2 Configuration général......................................................25

2.3 Configuration des interfaces.............................................26

2.4 Autoriser le Secure Shell (SSH).........................................30

2.5 Connexion via Secure Shell (SSH)......................................30

3 Déploiement : BASCULEMENT ........................................................33

3.1 Objectif...........................................................................33

3.2 Mise en application..........................................................34








1 Introduction à Pfsense

1.1 Présentation

PfSense est un système d'exploitation open source utilisé pourtransformer un ordinateur en un pare-feu, un routeur ou une variétéd'autres appareils réseau avec des applications spécifiques. PfSense estune distribution personnalisée de FreeBSD basé sur le projet m0n0wall,une distribution dédiée au firewalling, puissante mais légère. PfSenses'appuie sur les bases de m0n0wall et va encore plus loin en ajoutant

d'autres services réseau populaires.Cette documentation couvre les paramètres de base nécessaires pour ledéploiement de pfSense. Une fois que pfSense est installé et configuréselon étapes de ce modèle opératoire, vous aurez un pare-feu entièrementfonctionnelle ainsi qu'un routeur. À son niveau le plus élémentaire, unemachine pfSense peut être utilisé pour remplacer le routeur d'unparticulier avec même plusieurs autres fonctionnalités si désirée. Dans desconfigurations plus avancées, pfSense peut être utilisé pour établir untunnel sécurisé vers un bureau distant, repartir la charge du réseau d'une

ferme de serveurs, ou de définir la priorité de l'ensemble du trafic réseau.Il y a des centaines de façons de configurer et de personnaliser uneinstallation pfSense.

Une fois que pfSense est installé, il y a deux façons d'accéder au systèmeà distance : SSH et le WebGUI. Une connexion SSH vous présentera lemenu système de bas niveau, le même que vous verrait à l'écran si votremachine était connectée à un moniteur. Les options du menu SSH sontdes configuration de base et très peu seront utilisées ici. La configurationentière décrite dans ce mode opératoire est fait via l'interface WebGUI quiest accessible par l'adresse IP de n'importe quelle interface que vous avezconfiguré lors de l'installation (comme 192.168.1.1).

1.2 Prérequis technique

Configuration minimum : – CPU : 100 Mhz Pentium – RAM : 120 Mo – 1 Go d'espace de stockage pour l'installation –

3 interfaces réseaux – Lecteur CD/DVD








Si vous avez des besoins de débit inférieurs à 10 Mbps, la configurationminimum devrait vous suffire . Pour des débits supérieurs, il estrecommandé de suivre les propositions exposées ci-dessous :

• 10-20 Mbps • pas de processeur inférieur à266 MHz

• 21-50 Mbps • pas de processeur inférieurà 500 MHz

• 51-200 Mbps • pas de processeur inférieurà 1.0 GHz

• 201-500 Mbps • configuration type applianceou serveur avec unearchitecture type PCI-X ouPCI-e pour les cartes réseau.Processeur de 2.0 GHz.

• 501+ Mbps • configuration type applianceou serveur avec une

architecture type PCI-X ouPCI-e pour les cartes réseau.Processeur de 3.0 GHz.








2 Déploiement : INSTALLATION ET CONFIGURATION GENERAL

2.1 Installation

-Dans l'onglet « Download » du site , télécharger la dernière version.http://www.pfsense.org/-Graver l'image sur un CD.-Booter la machine sur le CD.

L'écran de démarrage apparaît, appuyer sur Entrée :

Un décompte apparaît, ne faites rien :


http://www.pfsense.org/

http://www.pfsense.org/







Nous ne souhaitons pas configurer les Vlan, appuyer sur nNoté aussi que pfsense a listé nos interfaces:

Arrive la configuration des interfaces. Pfsense commence par l'interfacequi gèrera le WAN. Si vous connaissez le nom de l'interface, entrez le,sinon appuyer sur a pour lancer la détection automatique. Si vous








choisissez cette dernière, branchez le câble réseau à l’interface voulue.Pfsense vous indiquera que l'interface est UP. Noter son nom et renseignerla. Faites de même pour le LAN , ainsi que pour OPT1 qui sera le lien entreles deux machine. Pfsense vous fera un récapitulatif de l'assignation desinterface. Appuyer sur a si la configuration vous convient :

Nous voici sur le menu de pfsense. On peut y voir les interfaces ainsi queleur adresse ip. Ici l’interface WAN est en dhcp, la LAN est mis à

192.168.1.1 par défault et OPT1 n'a pas d'adresse. Taper 2 pour continuerla configuration des interfaces réseaux :








Pfsense nous demande de choisir une interface à configurer. OPT1 n'ayantpas d'adresse, appuyer sur 3 pour la sélectionner. Entrer ensuite l'adressedésirée, puis son masque de sous-réseaux. On nous demandes si on veutactiver un serveur dhcp sur l'interface. Nous n'en avons pas besoin ici ,appuyer donc sur n. Pareil pour l'option suivante :

Une fois revenu au menu, entrer 99 pour commencer l'installation sur ledisque dur.Une fois l'installeur lancé, sélectionner Accept these Settings :








Choisisser Quick/Easy Install :

Nous sommes prévenus que le disque dur va être formaté. Si vousacceptez cela , sélectionnez OK :

Nous avons ici le choix du kernel. Choisir le premier :








L'installation touche à sa fin. Choisir Reboot , la machine va alorsredémarrer :

Après redémarrage de la machine, nous voilà devant le menu principal.PfSense est prêt à être configuré via son interface web, il reste cependant

à décrire les option que propose ce menu :

1) Assign InterfacesCela va redémarrer la tâche d'affectation des interfaces, qui a été couvertprécédemment dans l'installation. Vous pouvez créer des interfaces VLAN,réaffecter les interfaces existantes, ou en créer de nouvelles.

2)Set interface(s) IP adressCette option peut être utilisée de manière évidente pour définir l'adresseIP des interfaces mais il y a aussi d'autres tâches utiles qui surviennentlors de l'utilisation de cette option. Par exemple, quand ce paramètre est








choisi, vous obtenez également la possibilité d'activer ou de désactiver leDHCP sur l'interface, et de régler la plage d'adresses IP DHCP.

3) Reset webConfigurator passwordCette option permet de réinitialiser le nom d'utilisateur et mot de passeWebGUI, respectivement à admin et pfsense.

4) Reset to factory defaultCela permet de restaurer la configuration du système aux paramètresd'usine. Cela n'apporte cependant pas de modifications au système defichiers ou aux paquets installés sur le système d'exploitation. Si voussoupçonnez que les fichiers système ont été endommagés ou modifiés, la

meilleure moyen consiste à faire une sauvegarde, et réinstaller à partir duCD ou autre support d'installation.(Également possible dans le WebGUI, onglet Diagnostic puis Factorydefaults)

5) Reboot systemArrête proprement pfSense et redémarre le système d'exploitation.(Également possible dans le WebGUI, onglet Diagnostic puis Reboot).

6) Halt system

Arrête proprement pfSense et met la machine hors tension(Également possible dans le WebGUI, onglet Diagnostic puis Haltsystem).

7) Ping hostJoint une adresse IP, à qui sera envoyé trois demandes d'écho ICMP. Lerésultat du ping sera montré, y compris le nombre de paquets reçus, lesnuméros de séquence, les temps de réponse et le pourcentage de pertede paquets.

8) ShellDémarre une ligne de commande shell. Très utile, et très puissant, mais aaussi le potentiel d'être très dangereux. Certaines tâches de configurationcomplexes peuvent nécessiter de travailler dans le shell, et certainestâches de dépannage sont plus faciles à accomplir du shell, mais il y atoujours une chance de provoquer des préjudices irréparables au systèmes'il n'est pas manipulé avec soin. La majorité des utilisateurs pfSense netoucheront peut-être jamais au shell, ou même ignoreront qu'il existe. Lesutilisateur de FreeBSD pourront se sentir à l'aise, mais il y a beaucoup decommandes qui ne sont pas présentes sur le système pfSense, puisque les

parties inutiles de l'OS ont été supprimées pour des contraintes desécurité ou de taille.








9) pfTopPftop vous donne une vue en temps réel des connexion du pare-feu, et laquantité de données qu'ils ont envoyé et reçu. Il peut aider à identifier lesadresses IP qui utilisent actuellement de la bande passante et peut aussiaider à diagnostiquer d'autres problèmes de connexion réseau.

10) Filter LogsEn utilisant cette option vous verrez toutes les entrées du journal defiltrage apparaissant en temps réel, dans leur sous forme brute. Il estpossible de voir ces informations dans le WebGUI (onglet Status puisSystem Logs et enfin onglet Firewall), avec cependant moins derenseignement par lignes.

11) Restart webConfiguratorRedémarre le processus du système qui exécute le WebGUI. Dans derares occasions, un changement sur ce dernier pourrait avoir besoin decela pour prendre effet, ou dans des conditions extrêmement rares, leprocessus peut avoir été arrêté pour une raison quelconque, et leredémarrer permettrait d'y rétablir l'accès.

12) pfSense Déveloper ShellLe shell du développeur est un utilitaire très puissant qui permet

d'exécuter du code PHP dans le contexte du système en cours d'exécution.Comme avec le shell normal, il peut aussi être très dangereux à utiliser, etles choses peuvent rapidement mal tourner. Ce shell est principalementutilisé par les développeurs et les utilisateurs expérimentés qui sontfamiliers avec à la fois le code PHP et le code de base de pfSense.

13) Upgrade from consoleEn utilisant cette option, il est possible de mettre à niveau le firmware depfSense, et ce en entrant l'URL de l'image pfSense à mettre à niveau, ougrâce à un chemin d'accès locale vers une image téléchargée d'une autre

manière.

14) Enable Secure Shell (sshd)Cette option vous permettra de changer le statut du démon Secure Shell,sshd. Son activation par le WebGUI est détaillée dans la suite de cedocument.

Il est maintenant possible de se connecter à l'interface web en prenantcomme URL l'adresse LAN de la machine.








Par défaut, les éléments d'authentification sont :login:adminmot de pass:pfsense

Voyons maintenant les possibilité qu'offre l'interface du WebGUI ongletpar onglet :

• System

- AdvancedParamètres système avancés pour le pare-feu, le matériel, SSH, les certificats SSL etbeaucoup d'autres.

- Cert ManagerCe gestionnaire de certificats centralise et prend la place de plusieurs autres processus àl'intérieur de pfSense qui exigeaient des certificats pour être utilisés et qui serontmaintenant entrés directement dans leurs configurations

- FirmwareMet à jour ou modifie la version du firmware du système

- General SetupParamètres généraux du système tels que le nom d'hôte, les serveurs de domaine DNS,etc .

- LogoutRetour à la page d'identification du WebGUI.

- PackagesAdd-ons supplémentaires pour pfSense permettant d'étendre ses fonctionnalité.

- RoutingPermet la gestion des routes statiques et des passerelles.

- Setup WizardL'assistant d'installation vous guide à travers le processus d'exécution de la configuration

initiale de base.

- User Manager








Permet la gestion des utilisateurs ainsi que les paramètres d’accès aux serveurs.• Interfaces

- (assign)Permet d'attribuer des interfaces à des rôles logiques (par exemple LAN, WAN, OPT) etde créer / configurer les VLAN.- LANParamétrage de l'interface LAN.- OPTxParamétrage des interfaces additionnelles.- WANParamétrage de l'interface WAN.

• Firewall

- AliasesPermet de gérer les plages d'adresses IP, les réseaux, ou les ports pour simplifier lacréation et la gestion des règles.

- NATConfiguration des règles NAT tels que la redirection de port, le mappage bidirectionnel(1:1) ou le NAT en sortie.

- RulesConfiguration des règles du pare-feu. Il doit y avoir sur cet écran un onglet pour chaqueinterface configurée.

- SchedulesConfiguration des règles basées sur le temps.

-Traffic Shaper

Permet de gérer la régulation de flux ainsi que la qualité de service ( Qos )

- Virtual IPs

Configuration des adresses IP virtuelles pour permettre à pfSense degérer le trafic réseau avec plus d'une adresse IP par interface,généralement avec règles NAT ou de basculement CARP








• Services

- Captive PortalContrôle le service du portail captif, qui permet de diriger les utilisateurs vers unepremière page Web pour l'authentification avant d'autoriser l'accès à Internet.

- DHCP RelayConfigure le service de relais DHCP qui redirigera les requêtes DHCP d'unsegment du réseau à l'autre.

- DHCP ServerConfigure le service DHCP qui fournit automatiquement la configurationd'adressage IP pour les clients sur les interfaces internes.

- DNS ForwarderConfigure l'outil de mis en cache DNS intégré à pfSense.

- Dynamic DNSConfigure le services de DNS dynamiques (DynDNS) qui permet de mettreautomatiquement à jour le serveur DNS quand un changement d'adresseIP d'une interface est détectée.

- IGMP Proxy

Configure le proxy IGMP qui redirigera le trafic IGMP entre les segmentsdu réseau. Internet Group Management Protocol (IGMP) est un protocole








qui permet à des routeurs IP de déterminer de façon dynamique lesgroupes multicast qui disposent de clients dans un sous-réseau.

- Load BalancerConfigure la répartition de charge, qui en mode passerelle permettrad'équilibrer les connexions sortantes à travers de multiples liens WAN, ouen mode serveur sera équilibrer les connexions entrantes sur plusieursserveurs.

- OLSR Configure l'Optimized Link State Routing Protocol , un service de maillagede liaison dynamique, qui prend en charge les réseaux maillés sans fil. Unréseau maillé permet d’éviter d’avoir des points sensibles, qui en cas de

panne, coupent la connexion d’une partie du réseau. Si un hôte est horsservice, ses voisins passeront par une autre route.

- OpensNTPDConfigure le Network Time Protocol Deamon qui offre la possibilité desynchroniser l'horloge locale à des serveurs NTP distants et peut servir lui-même de serveur NTP, redistribuant ainsi l'horloge locale.

- PPPoE ServerConfigure le serveur PPPoE qui permet à pfSense d'accepter et

d'authentifier les connexions des clients PPPoE. PPPoE ( point-to-point protocol over Ethernet ) est un protocole d'encapsulation de PPP ( protocole point à point ) sur Ethernet. Le Point-to-Point Protocol est un protocole detransmission pour l'internet qui permet d'établir une connexion de typeliaison entre deux hôtes sur une liaison point à point.

- Proxy filterPermet de configurer le package Squidgard,. Cette option n'apparaitqu'une fois le package installé.

- Proxy serverPermet de configurer le package Squid. Cette option n'apparait qu'une foisle package installé.

- RIPConfigure le service de routage RIP. Routing Information Protocol ( protocoled'information de routage) est un protocole de routage IP qui permet à chaquerouteur de communiquer aux routeurs voisins la métrique, c’est-à-dire ladistance qui les sépare d'un réseau IP déterminé en termes de nombre desauts.








- SNMPConfigure le service Simple Network Management Protocol (SNMP) pourpermettre la collecte des statistiques de ce routeur sur le réseau.

- UpnP & NAT-PMPConfigure le service Universal Plug and Play (UPnP) qui peut configurerautomatiquement les règles NAT et pare-feu pour les appareils quiprennent en charge la norme UpnP. Le service NAT Port Mapping Protocol ( NAT-PMP ) se configure également par cette option et permet à unordinateur d'un réseau privé (derrière une passerelle NAT) de configurerautomatiquement la passerelle afin que les machines à l'extérieur duréseau privé puissent le contacter. Il automatise principalement leprocessus de redirection de port.

- Wake on LANConfigurer le service de Wake on LAN qui vous permet de réveiller àdistance les PC clients accessibles à partir du système pfSense.

• VPN

- IpsecPermet de configurer les tunnels VPN IPsec, les options d'IPsec mobile ainsi que lesutilisateurs et les certificats. IPsec (Internet Protocol Security ) est un ensemblede protocoles utilisant des algorithmes permettant le transport de donnéessécurisées sur un réseau IP.

- L2TPCette option va gérer le Layer 2 Tunneling Protocol (L2TP) qui signifieprotocole de tunnellisation de niveau 2. Il s'agit d'un protocole réseauutilisé pour créer des réseaux privés virtuels (VPN)

- OpenVPN

Configure les serveurs et les clients OpenVPN. OpenVPN est un logiciellibre permettant de créer un réseau privé virtuel (VPN) et offrant ainsi la








possibilité à des pairs de s'authentifier entre eux à l'aide d'une clé privéepartagée à l'avance, de certificats ou de couples de noms d'utilisateur/motde passe.

- PPTPConfigure les services du protocole PPTP ainsi que les utilisateurs etrelais. PPTP (Point-to-point tunneling protocol ), protocole de tunnel point-à-point, est un protocole d'encapsulation PPP sur IP. Il permet de mettreen place des réseaux privés virtuels (VPN) au-dessus d'un réseau public.L2TP et IPsec sont des protocoles inspirés de PPTP et chargés de leremplacer.

• Status

- CARP (failover)Permet de voir le statut des adresses IP CARP sur ce système. Peut aussi montrer lesstatuts MASTER / BACKUP.

- Dashboard

Affiche un tableau de bord personnalisable pour afficher les informations qui vousintéresse. S'il est correctement configuré, le tableau de bord peut être la seule page oùl'on ait besoin de se rendre pour accomplir de nombreuses tâches courantes.

- DHCP Leases

Affiche une liste de tous les baux DHCP attribués par ce routeur. Il peut égalementsupprimer des baux hors ligne, envoyer des demandes Wake on LAN à des systèmes hors








ligne, ou de créer des baux-statiques à partir des entrées actuelles.

- Filter Reload

Indique l'état de toutes les demandes de rechargement de filtrage qui sont (ou étaient)en attente. Le filtre est rechargé à chaque fois que des modifications sont appliquées. Siaucune modification n'a été apportée, cet écran devrait tout simplement rendre compted'une mise à jour qui a été achevée.

- Gateways

Visualise le statut des passerelles connues du système. Permet de les éditer ainsi qued'en créer des nouvelles.

- Interfaces

Montre l'état matériel des interfaces réseaux, ces informations sont celles que lacommande ipconfig afficherait sur la console.

- IPsec

Montre le statut de chaque tunnels Ipsec configurés.

- Load Balancer

Visualise le statut des machines impliqué dans la répartition de charge.

- Package Logs

Affiche les journaux de certains packages supportés.

- Queues

Montre les files d'attentes dues a la régulation de flux. Certains flux étantprioritaires par rapport a d'autre, il en résulte une mise en attente des flux

non ou moins prioritaires.

- RRD Graphs

Affiche graphiquement les données pour les statistiques du système comme la bandepassante utilisées, l'utilisation du CPU, les états pare-feu, et ainsi de suite.

- Services

Surveille l’état des services du système et des packages.








- System Logs

Montre les journaux du système et de ces services tels le pare feu, le DHCP, les VPN ,etc.

- Traffic Graph

Affiche un graphe dynamique du traffic en temps réel pour une interface.

- UPnP & NAT-PMP

Montre une liste des ports UpnP actifs.

• Diagnostics

-ARP TablesMontre la liste des tables comme on le voit au niveau local par le routeur.Une table comprend une adresse IP, adresse MAC, le nom d'hôte, etl'interface utilisée.

-AuthenticationPermet de tester la connexion aux différents serveurs.

-Backup/Restore








Gère la sauvegarde/restauration du système.

-Command Prompt

Affiche un invité de commande ou un exécuteur de code PHP. Permet aussi detélécharger ou d'uploader des fichiers au système.

-DNS LookupPermet de trouver le nom de domaine à partir de l'adresse Ip, etinversement.

-Edit FileÉditer un fichier du système pfSense.

-Factory DefaultsRéinitialise la configuration à celle par défaut. Soyez conscient toutefoisque cette option ne modifie pas le système de fichiers ou ne désinstallepas les fichiers des packages, il ne change que les paramètres deconfiguration.

-Halt SystemArrêtez le routeur et le met hors tension lorsque cela est possible.

-Limiter InfoAffiche les informations des limitations de bande passante mises en place.

-Packet CaptureEffectue une capture de paquets pour inspecter le trafic, avec la possibilitéde la consulter ou télécharger les résultats.

-pfInfoAffiche différentes informations relatives au filtrage de paquets tel que les statistiquesdes interfaces, l'état des tables de routage ainsi que des règles de filtrage, un compteurde bytes, etc.

-pfTopAffiche des informations relatives à la bande passante et au trafic. Ces informationspeuvent être triées selon plusieurs critères tel que le nombre de bytes, l'age, ladestination, le port de destination, l'expiration, la source, etc.

-PingEnvoie trois requêtes ICMP à une adresse donnée, et ce depuis uneinterface choisie.

-RebootRelance le système pfSense.

-Routes








Affiche le contenu de la table de routage du système.

-SMART StatusSelf-Monitoring, Analysis, and Reporting Technology , ou S.M.A.R.T.(littéralement Technique d’Auto-surveillance, d’Analyse et de Rapport) estun système de surveillance du disque dur d’un ordinateur. Cette optionpermet donc de tester l’état du disque dur.

-StatesAffiche les états actifs du pare feu.

-System ActivitySurveille l'activité du système de base de pfSense, y compris d'autres

informations comme l'ID du dernier processus, les statistiques desprocessus ou les statistiques de la mémoire.

-TracerouteTrace l'itinéraire emprunté par les paquets entre le routeur pfSense et unsystème distant.

• Help

- About this PageRedirige vers la documentation officielle en ligne de la page que l'on visiteactuellement.

- Bug DatabaseRedirige vers le site dédié au bug de pfSense.

- Developers Wiki

Anciennement le wiki des développeurs. Toutes les documentations ontété transférées sur la documentation en ligne.








- DocumentationRedirige vers la documentation officielle en ligne.

- FreeBSD HandbookRedirige vers le site de la documentation de FreeBSD.

- Paid SupportRedirige vers le site de support payant de pfSense.

- pfSense BookRedirige vers le site vendant le livre pfSense: The Definitive Guide.

- Search portalRedirige vers un moteur de recherche pfSense cherchant sur des sites telsle forum pfSense, la documentation officielle ou le site freeBSD.

- User ForumRedirige vers le forum officiel pfSense.

2.2 Configuration général

- Dans l’onglet System choisir General Setup- Nommer la machine ( Hostname ). Ce nom sera utilisé pour accéder à la machine parson nom, au lieu de l'adresse IP. Par exemple, on peut parcourir à http://pfSense au lieude http://192.168.1.1 :








- Entrer le Domaine :

- Les serveur DNS à renseigner ici :

- L'option suivante va garantir que toutes les requêtes DNS qui ne peuvent pas êtreréglées par les serveurs DNS internes seront transmises et traitées par les serveurs DNSexternes fournis par votre FAI.

- Choisir l'endroit le plus proche de vous pour la time zone. Laisser0.pfsense.pool.net.org comme serveur de temps NTP

- Il est possible de changer le thème de pfsense, l'interface graphique sera modifiée. Ilest cependant conseillé de laisser le thème pfsense_ng par défaut, ce dernier étantoptimisé pour une navigation simple et efficace.

2.3 Configuration des interfaces

• WANL'interface WAN est votre connexion vers l’extérieur.

- Dans l’onglet Interfaces choisir WAN- Cocher enable interface- Choisir un type pour l'interface.

- Si Static a été choisi, remplir l'adresse statique de l'interface, son masque de sousréseau ainsi que sa passerelle.- Laisser le reste vide.








- Cocher Block private network ainsi que Block bogon networks. Ces options ne

seront cochées le plus souvent seulement sur l'interface WAN :

- Cliquer sur save pour enregistrer les modifications.

Il est possible de vérifier l'état de notre interface dans l’onglet Status puis Interfaces :








• LANL'interface LAN est utilisée pour connecter vos postes sur un réseau interne sécurisé.

- Dans l’onglet Interfaces choisir LAN- Cocher enable interface- Choisir un type pour l'interface.

- Si Static a été choisi, remplir l'adresse statique de l'interface ainsi que son masque desous réseau. Laisser la passerelle vide.- S'assurer que Block private network ainsi que Block bogon networks sont biendécochés :

- Cliquer sur Save

• OPTL'interface optionnelle que nous allons créer est communément utilisée dans le cadred'un DMZ. Elle peut aussi être utilisée pour relier deux machines entre elles pour dubasculement ou de la répartition de charge.








- Dans l’onglet Interfaces choisir OPT1- Cocher enable interface- Choisir un type pour l'interface.

- Si Static a été choisi, remplir l'adresse statique de l'interface ainsi que son masque desous réseau. Laisser la passerelle vide.

- S'assurer que Block private network ainsi que Block bogon networks sont bien

décochés :- Cliquer sur Save- Il est nécessaire cette fois-ci de cliquer sur Apply changes pour que les modificationsprennent effet.

2.4 Autoriser le Secure Shell (SSH)

SSH est un protocole réseau qui permet la communication chiffrée entredeux appareils.L'activation de SSH permet un accès sécurisé et à distance à la console

pfSense, tout comme si vous étiez en face de la console physique.








- Dans l’onglet System choisir Advanced .

- Cochez la case Enable Secure Shell.

- Vous serez invité à entre vos informations d'identification lorsque vous vousconnecterez (utiliser le même nom d'utilisateur et mot de passe que l'interface graphiqueWeb), mais cocher Disable password login for Secure Shell vous permettra d'utiliserdes clés RSA à la place.

- Laissez vierge le port SSH pour utiliser le port par défaut:

2.5 Connexion via Secure Shell (SSH)

SSH doit être activé et configuré sur notre pfSense. Les utilisateurs Linux et Mac ont unclient SSH installé par défaut. Les utilisateurs de Windows devront télécharger et installerPuTTY

• Se connecter via SSH pour un utilisateur Linux/Mac :

- Ouvrir un terminal de commande et lancer :ssh [email protected] Si la configuration par défaut est utilisée, il sera demandé un mot de passe.- Si l'authentification par clé RSA est utilisée, la connexion se fera automatiquement ou ilsera demandé le mot de passe associé à la clé. Si l'emplacement de la clé est à spécifier,exécuter ceci :

ssh -i /home/Thomas/key/id_rsa [email protected]

- Si la connexion SSH se fait sur un port diffèrent que celui par défaut, il est possible dele renseigner grâce à l'option -p comme ceci :

ssh -p 56789 [email protected]

• Se connecter via SSH pour un utilisateur Windows avec PuTTY :- Ouvrir PuTTY et renseigner l'adresse IP de l’hôte.- Renseigner un port alternatif si besoin est ( port 22 par défaut).- Vérifier que le type de connexion est bien SSH.








- Si l'authentification par clé RSA est utilisée, sélectionner la clé depuis la catégorieConnection puis SSH et enfin Auth.

- PuTTY se connecte à pfSense et demande un login :








- Puis un mot de passe ( ou dans le cas de l'authentification par clé RSA, la connexion sefait automatiquement ou après renseignement du mot de passe lié à la clé):

- Le menu pfSense est maintenant accessible sous PuTTY :








3 Déploiement : BASCULEMENT

3.1 Objectif

Le basculement (en anglais, failover qui se traduit par passer outre à la panne)est la capacité d'un équipement à basculer automatiquement vers un cheminréseau alternatif ou en veille.Cette capacité existe pour tout type d’équipement réseau: du serveur au routeuren passant par les pare-feu et les commutateurs réseau (switch). Le basculementintervient généralement sans action humaine et même bien souvent sans aucunmessage d'alerte. Le basculement est conçu pour être totalement transparent.Source wikipedia.fr

Le basculement est rendu possible grâce au protocole CARP (Common AddressRedundancy Protocol). CARP est un protocole permettant à des hôtes de partager uneadresse IP. Dans ces hôtes, un est désigné comme "maitre". Les autres membres sontappelés "esclaves". Le maitre est celui qui « garde » l'adresse IP partagée. Il répond àtout trafic visant cette adresse.Une utilisation commune de CARP est la création d'un groupe de pare-feu redondants.L'adresse IP virtuelle attribuée à ce groupe de pare-feu sera celle donnée aux machinesclientes et qui désignera l'adresse du routeur par défaut. Si le pare-feu maître rencontreune panne ou est déconnecté du réseau (dans le cas d'une mise à jour), l'adresse IPvirtuelle sera prise par un des pare-feu esclaves et le service continuera à être rendusans interruption.








3.2 Mise en application

Créer les règles sur l’interface OPT1

La configuration du Failover débutera sur le Master.Il faut premièrement créer une règle sur l’interface OPT1. Cette dernière autorisera lesflux entre les machines, notamment pour leur synchronisation ainsi que pour le partaged'adresse IP.Dans l’onglet Firewall choisir Rules puis sélectionner l'interface OPT1.Créer une nouvelle règle. ( bouton + )Remplir les champs suivants :

- Cliquer sur Save pour valider.- Cliquer sur Apply Changes pour appliquer votre Rule.La même manipulation est à faire sur la machine esclave.Configuration de CARPSur l’esclave, aller dans l’onglet Firewall puis choisir Virtual IPs puis sélectionner

l'interface CARP Settings.Remplir les champs suivants :

-Cliquer sur Save pour valider.Même paramétrage sur le maître mais avec des avec paramètres supplémentaire :








- Renseigner ici l'adresse de l'interface OPT1 de l'esclave.

-Cocher cette case permettra au maître d'appliquer automatiquement à l'esclave les

changements concernant les règles sur le NAT.-Pareil que précédemment mais cette fois cela concernera la création et modification desIP virtuellesPour ce mode opératoire nous ne changerons que le NAT et les IP virtuelles, c'est pourcela que les autres règles de synchronisations de sont pas cochées. Rien ne vousempêche de les cocher si vous voulez par exemple que les règles du firewall ou encore leportail captif soit synchroniser sur l’esclave si jamais vous appliquez ces fonctionnalitéssur le master.- Cliquer sur Save pour valider.

Créer les IP virtuelles

Sur le maitre , aller dans l’onglet Firewall et choisir Virtual IPs puis selectionnerl'interface Virtual IPs.- Créer une nouvelle IP virtuelle. ( bouton + )Remplir les champs suivants :

- Cliquer sur Save pour valider.- Cliquer de nouveau sur la case + pour créer une nouvelle IP virtuelle LAN.








Remplir les champs suivants :

- Cliquer sur Save pour valider.- Cliquer sur Apply Changes pour appliquer les IP virtuelles.

Vérification du fonctionnement de CARPPour vérifier le fonctionnement de CARP, aller dans l’onglet Status et choisir CARP(Failover)Sur le Master :

Sur le Slave :Si un statut Disabled est présent à la place de master ou backup, cliquer sur le boutonEnable Carp.

Configuration du NAT

Les machines partageant maintenant une adresse WAN, il est intéressant de définir cetteadresse comme destination par défaut. Si le maitre venait à tomber, l'esclaves’appropriait l'adresse et assurerait donc les communications sans coupure.








Sur le maitre, aller dans l’onglet Firewall puis choisir NAT puis sélectionner l'interfaceOutbound

- Cliquer sur la case ≪ Manual Outbound NAT rule generation (AdvancedOutbound NAT (AON)) .≫

Des règles par défaut apparaissent . Éditer celle portant la description ≪ Auto createdrule for LAN to WAN ( bouton «≫ e » pour éditer )

Changer uniquement le champs suivants :

- Cliquer sur Save pour valider.- Cliquer sur Apply Changes pour appliquer votre regle NAT.NB : PfSense, grâce aux règles de synchronisation configurées plus tôt , à donc répliquéautomatiquement cette règle NAT sur l'esclave

Modifier le serveur DHCP

Utilisant pfsense comme serveur DHCP pour le réseau local, des modifications sont aussià prévoir pour assurer un bon basculement.Sur le maitre, aller dans l’onglet Services puis choisir DHCP Server puis sélectionnerl'interface LANChanger les champs suivants :

Sur l'esclave, même cheminement.Changer les champs suivants :

Si ce n'est pas pfsense qui est utilisé pour le DHCP, changer la passerelle par défaut du

serveur DHCP par l'@ IP virtuelle LAN ( ici 192.168.1.253)Si d'autre paramètres doivent êtres changés, comme les DNS, toujours appliquer ceschangements aux deux machines.








Test de fonctionnementCommande PING avec option (-t) d'un PC du LAN vers le firewall de l'établissement ( le

firewall en question bloquant les ping vers l’extérieur )

Le Maitre transite initialement l'information jusqu'à ce qu'on débranche son interfaceWAN. Le basculement commence alors ( quelques secondes seulement ) et lacommunication reprend grâce à l'esclave. J'ai par ailleurs fait le test de rebrancher le

maître dans l'optique ou la panne aurait était trouvée et ce dernier reprend son statut demaître automatiquement.


pfsense mode opera to ire

Documents

pfsense ajout

introduction pfsense

prsentation pfsense

pfsense sappuie sur

ssh et

configuration gnral

mbps auteur

menu et ssh ajout