projet personnalisé encadrée n°6 -...
TRANSCRIPT
NATHAN VIDAL--FAGES
SESSION 2019
Projet personnalisé encadrée n°6
INSTALLATION ET CONFIGURATION D’UN ROUTEUR LIBRE « OPNSENSE ».
NATHAN VIDAL--FAGES
BTS Service Informatiques aux Organisations
Option Solution d’Infrastructure, Systemes et Reseaux
NATHAN VIDAL--FAGES
Table des matières
Tableau descriptif de la solution ........................................................................................ 4
Introduction ...................................................................................................................... 6
Déroulement de l’activité .................................................................................................. 8
Téléchargement et préparation du système .............................................................................. 8
Installation de OpnSense .......................................................................................................... 9
Configuration des interfaces ................................................................................................... 14
Présentation du tableau de bord ............................................................................................ 16
Conclusion ...................................................................................................................... 22
NATHAN VIDAL--FAGES
Tables des illustrations :
Figure 1 – Téléchargement du système................................................................................................................... 8 Figure 2 – Création d’une clef USB .......................................................................................................................... 8 Figure 3 – Installation CentOS ................................................................................................................................. 9 Figure 4 – Utilisateur installer ................................................................................................................................. 9 Figure 5 – Démarrage de l’installation .................................................................................................................. 10 Figure 6 – Choix du clavier et de la vidéo .............................................................................................................. 10 Figure 7 – Choix du type d’installation .................................................................................................................. 11 Figure 8 – Choix du disque..................................................................................................................................... 11 Figure 9 – Choix du système de démarrage .......................................................................................................... 12 Figure 10 - Installation en cours ............................................................................................................................ 12 Figure 11 - Mot de passe ROOT ............................................................................................................................. 13 Figure 12 - redemarrage du système .................................................................................................................... 13 Figure 13 - Démarrage après installation ............................................................................................................. 14 Figure 14 - inverssement des interfaces ................................................................................................................ 14 Figure 15 - DHCP WAN .......................................................................................................................................... 15 Figure 16 - Configuration réseau LAN ................................................................................................................... 15 Figure 17 - Connexion par l'interface WEB ............................................................................................................ 16 Figure 18 – Première connexion sur l’interface graphique .................................................................................... 16 Figure 19 – Accueil Plan d’accès ............................................................................................................................ 17 Figure 20 – Statistique .......................................................................................................................................... 17 Figure 21 - Menu system ....................................................................................................................................... 18 Figure 22 - Création de l'utilisateur de l'interface graphique ................................................................................ 18 Figure 23 - Menu Interface .................................................................................................................................... 19 Figure 24 – Menu firewall ..................................................................................................................................... 19 Figure 25 – Menu VPN .......................................................................................................................................... 20 Figure 26 – Menu service ...................................................................................................................................... 20 Figure 27 – Menu Power ....................................................................................................................................... 21 Figure 28 – Menu help .......................................................................................................................................... 21
NATHAN VIDAL--FAGES 4
Tableau descriptif de la solution
Solutions envisageables :
- L’achats d’équipements de routages avec des systèmes conçus tels que CISCO, HP ...
- L’achat d’un boitier vierge et l’installation d’un système libre : o Pfsense o Opnsense o Ipfire o Ipcop
Solution retenue :
J’ai retenu la solution de OPNsense car Il dispose d’une grosse communauté et donc d’un support en permanence. Le système de base de l’Open source (gratuit) et français.
Nature de l’activité :
Contexte : Pour ce PPE. J’ai pour objectif d’être capable d’installer et de configurer un routeur libre.
Objectif : - Choisir le système. - Installation du système. - Comprendre tous les outils mis à disposition
Conditions de réalisation :
Matériels nécessaires : - Ordinateur sans système (minimum deux cartes réseaux) - Un écran - Un ordinateur pour la configuration - Une clef USB
NATHAN VIDAL--FAGES 5
Compétences mises en œuvre pour cette activité professionnelle
A1.1.1 Analyse du cahier des charges d'un service à produire
A1.1.2 Étude de l'impact de l'intégration d'un service sur le système informatique
A1.1.3 Étude des exigences liées à la qualité attendue d'un service
A1.2.1 Élaboration et présentation d'un dossier de choix de solution technique
A1.2.2 Rédaction des spécifications techniques de la solution retenue
A1.2.3 Évaluation des risques liés à l'utilisation d'un service
A1.3.1 Test d'intégration et d'acceptation d'un service
A1.4.3 Gestion des ressources
A2.3.2 Proposition d'amélioration d'un service
A3.1.1 Proposition d'une solution d'infrastructure
A3.2.1 Installation et configuration d’éléments d’infrastructure A3.3.1 Administration sur site ou à distance des éléments d’un réseau, de
serveurs A4.1.8 Réalisation des tests nécessaires à la validation d’éléments adaptés ou
développés A4.1.9 Rédaction d’une documentation
A5.1.2 Recueil d'informations sur une configuration et ses éléments
A5.2.4 Etude d’une technologie, d’un composant, d’un outil ou d’une méthode
NATHAN VIDAL--FAGES 6
Introduction
Un routeur est un élément intermédiaire dans un réseau informatique assurant le routage des paquets entre réseaux indépendants. Ce routage est réalisé selon un ensemble de règles formant la table de routage.
C'est un équipement de couche 3 par rapport au modèle OSI. Il ne doit pas être confondu avec un commutateur (couche 2).
La fonction de routage traite les adresses IP en fonction de leur adresse
réseau définie par le masque de sous-réseaux et les redirige selon l'algorithme de routage et sa table associée.
Ces protocoles de routage sont mis en place selon l'architecture de notre réseau et les liens de communication inter sites et inter réseaux.
OPNsense :
OPNsense® a été adoubé par de nombreux utilisateurs experts de la solution logiciel pfSense® et il a aujourd'hui atteint un niveau de maturité suffisant pour pouvoir être déployé en production.
Ses fonctionnalités sont nombreuses et il bénéficie d’une intégration
meilleure dans le système FreeBSD comme rappelé précédemment. La simplicité de sa maintenance dans ce contexte est donc importante.
OPNsense® offre des avancées importantes par rapport à son
homologue le logiciel pfSense® en matière de sécurité, de qualité du code et d’interface.
Figure 2 – OPNsense
L'ensemble de fonctionnalités d'OPNsense inclut des fonctionnalités haut de gamme telles que la mise en cache de proxy, la mise en forme du trafic, la détection d'intrusions et la configuration facile du client OpenVPN. La dernière version est basée sur un support récent de FreeBSD pour le support à long terme et utilise un nouveau framework MVC basé sur Phalcon. La focalisation d'OPNsense sur la sécurité apporte des fonctionnalités uniques telles que la possibilité d'utiliser LibreSSL au lieu d'OpenSSL (sélectionnable dans l'interface graphique) et une version personnalisée basée sur HardenedBSD.
NATHAN VIDAL--FAGES 7
Le mécanisme de mise à jour robuste et fiable permet à OPNsense de fournir des mises à jour de sécurité importantes en temps opportun.
Fonction :
• Traffic Shaper • Portail captif
• Prise en charge des coupons • Gestionnaire de modèles • Support multi zone
• Proxy de mise en cache avant • Mode transparent pris en charge • Soutien de liste noire
• Réseau privé virtuel • Site à site • Guerrier de la route • IPsec • OpenVPN
• Haute disponibilité et basculement de matériel • Comprend la synchronisation de la configuration et les
tables d'état synchronisées • Peut-être combiné avec Traffic Shaping
• Détection d'intrusion et prévention en ligne • Prise en charge intégrée des règles Emerging Treats • Configuration simple à l'aide de catégories de règles • Planificateur pour les mises à jour automatiques
périodiques • Outils de reporting et de surveillance intégrés
• System Health, la prise en charge moderne des graphes RRD
• Capture de paquets • Prise en charge des plugins • DNS Server & DNS Forwarder • Serveur DHCP et relais • DNS dynamique • Restauration de sauvegarde
• Sauvegarde cloud cryptée sur Google Drive • Historique de configuration avec prise en charge des diff
colorés • Sauvegarde et restauration du disque local
• Pare-feu d'inspection dynamique • Contrôle granulaire sur la table d'état • Prise en charge du réseau local virtuel 802.1Q • Et plus...
NATHAN VIDAL--FAGES 8
Déroulement de l’activité Téléchargement et préparation du système
Sur le site officiel, il y plusieurs versions d’installation, dans mon cas. J’utilise la vers VGA pour les installations par USB
Figure 1 – Téléchargement du système
Création d’un clef USB bootable avec l’utilitaire Rufus.
Figure 2 – Création d’une clef USB
NATHAN VIDAL--FAGES 9
Installation de OpnSense
Après avoir booté sur la clef USB, plusieurs choix est possible.
Ici, je sélectionne le 1 car nous n’avons pas encore fait l’installation.
Le système démarre en LIVECD.
Figure 3 – Installation CentOS
Après le démarrage en CDLIVE. Il est nécessaire de l’installer.
Pour cela, il est nécessaire de se connecter avec l’utilisateur « installer » et le mot de passe par défaut « OPNsense »
Figure 4 – Utilisateur installer
NATHAN VIDAL--FAGES 10
L’installation se lance.
Figure 5 – Démarrage de l’installation
Le premier paramètre permet de changer la langue du clavier et les paramètres vidéo.
Dans mon cas, je laisse par défaut.
Figure 6 – Choix du clavier et de la vidéo
NATHAN VIDAL--FAGES 11
Plusieurs choix possibles, dans mon cas, je reste simple et je suis le premier choix, je suis l’installation guidé.
Figure 7 – Choix du type d’installation
Sélection du disque.
Figure 8 – Choix du disque
NATHAN VIDAL--FAGES 12
Choix du système de démarrage de bootage, je sélectionne MBR, l’ordinateur ne supporte pas UEFI.
Figure 9 – Choix du système de démarrage
L’installation s’effectue toute seule.
Figure 10 - Installation en cours
NATHAN VIDAL--FAGES 13
Choix du mot de passe root (administrateur).
Figure 11 - Mot de passe ROOT
Après la fin de l’installation, le système demande à redémarrer.
Figure 12 - redemarrage du système
NATHAN VIDAL--FAGES 14
Configuration des interfaces
Après l’installation et le redémarrage, on peut se connecter avec l’utilisateur ROOT et le mot de passe précédent.
Figure 13 - Démarrage après installation
Dans mon cas, il est nécessaire de changer les interfaces (inversement du wan et lan).
Pour cela, il faut sélectionner l’option 1 et suivre les étapes.
Figure 14 - inverssement des interfaces
NATHAN VIDAL--FAGES 15
Après configuration des interfaces, on peut voir que l’interface WAN à obtenue une adresse IP grâce au DHCP.
Figure 15 - DHCP WAN
Pour configurer la partie LAN, je sélectionne l’option 2 et je renseigne l’adresse IP, le masque.
Figure 16 - Configuration réseau LAN
NATHAN VIDAL--FAGES 16
Présentation du tableau de bord
Après avoir mis une machine derrière le réseau LAN, Grace à l’IP de la passerelle, on peut accéder au panel d’administration.
Figure 17 - Connexion par l'interface WEB
Après la connexion à l’interface web, le panel est découpé en plusieurs parties, en rose la fonction recherche.
En orange, le menu de configuration et en vert, les paramètres des différents menus.
Figure 18 – Première connexion sur l’interface graphique
NATHAN VIDAL--FAGES 17
La page d’accueil d’OPNsense permet d’avoir un point de vue sur notre système :
- Configuration système : Mise à jour, stockages …
- L’états des services : DHCP, DNS , VPN , Pare-feu …
- Les interfaces : Etats, trafics …
Figure 19 – Accueil Plan d’accès
Dans le menu Reporting, il y a différents sous menus qui me permet d’avoir des statistiques et des logs à l’aide de différents graphiques.
Figure 20 – Statistique
NATHAN VIDAL--FAGES 18
Dans le menu Système, je peux paramétrer tout ce qui appartient au système tels que les utilisateurs, les mises à jour, la configuration générale, les routes …
Figure 21 - Menu system
Ajout d’un utilisateur sous le nom de Nathan dans le panel.
Figure 22 - Création de l'utilisateur de l'interface graphique
NATHAN VIDAL--FAGES 19
Dans le menu interfaces, je peux paramétrer chaque interface, LAN, WAN, Wifi …
Il est possible d’effectuer des diagnostiques.
Figure 23 - Menu Interface
Une des forces de OPNsense est son pare-feu. Dans le menu firewall, il y a les règles en fonctions des interfaces, effectuer du NAT, de mettre en place d’IP virtuel, de faire des diagnostics du pare-feu (voir
les requêtes en temps réel et autres …)
Figure 24 – menu firewall
NATHAN VIDAL--FAGES 20
Dans le menu VPN, OPNsense propose l’utilisation de l’IPsec qui permet de faire du LAN to LANet de l OPENVPN qui permet d’effectuer du client to LAN, il est possible de le connecter à l’active directory.
Figure 25 – Menu VPN
Le menu service permet de voir les différents services et d’ajouter de nouvelle fonctionnalité tels qu’un portail captif, un serveur DHCP, serveur DNS, WebProxy …
Figure 26 – Menu service
NATHAN VIDAL--FAGES 21
Le menu power a pour utilité d’éteindre ou de démarrer le routeur.
Cela peut être utile à distance.
Figure 27 – Menu Power
Le menu help est un lien direct vers la documentation en ligne de OPNsense.
Figure 28 – menu help
NATHAN VIDAL--FAGES 22
Conclusion
En résumé OPNsense permet de faire office de firewall et de routeur.
Au-delà de ça, il offre beaucoup de fonctionnalités très poussées comme : le NAT, le VPN, PROXY etc… De plus, l’ajout de plug-ins permet à OPNsense d’être totalement modulable et d’agrandir encore plus son panel de fonctionnalités.
OPNsense peut parfaitement se substituer à un modem/routeur et même pousser plus loin encore les fonctionnalités de celui-ci.
Il est à mettre dans toutes les mains désireuses d’avoir un bon firewall/routeur à moindre cout.