Installation et Configuration de Pfsense

Génie Réseaux et Télécommunications ENSA Marrakech

Pfsense FreeBSD

2013

- Un Travail de: ISMAIL RACHDAOUI – GRT5

- Proposé Par: MR.ANAS ABOU EL KALAM - ENSAM

Pour Toute question contactez moi sur :

[email protected] ou via Facebook

FB.com/ismael.rachdaoui

1

ISMAIL RACHDAOUI – GRT5 2013

Plan :

I. Introduction Générale – P.3

II. Installation de Pfsense – P.4

III. Configuration basique – P.11

IV. Pfsense Firewall – P.15

a. Découvrir l’interface de Gestion.

b. Ajouter un rule

c. Les Alias

d. Time Based Rules

e. Firewall rules Best Practices

V. OpenVPN sous Pfsense – P.22

VI. Hotspot – Portail captif – P.25

2


I. Introduction Générale:

PfSense est un routeur / pare-feu opensource basé sur FreeBSD. PfSense peut être installé sur un simple ordinateur personnel comme sur un serveur. Basé sur PF (packet filter), comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Après une installation en mode console, il s'administre ensuite simplement depuis une interface web et gère nativement les VLAN (802.1q).

Les avnatges de PFSense que :

Il est adapté pour une utilisation en tant que pare-feu et routeur

Il comprend toutes les fonctionnalités de pare-feu coûteux commerciales, et plus encore

dans de nombreux cas ;

il peut être installé sur un simple ordinateur personnel comme sur un serveur ;

il est basé sur P0F (Packet Filter), comme iptables sur GNU/Linux généralemet

Il permet d’intégrer de nouveaux services tels que l’installation d’un portail captif, la mise

en place d’un VPN, DHCP et bien d’autres.

Il offre des option de firewalling /routage plus évoluée qu’IPCop

Il permet en autre de réaliser :

un portail captif (Lorsqu’un utilisateur ouvre son navigateur internet il est redirigé

vers une page lui proposant de s’identifier pour se connecter) : solution proposée

par les hotspot.

Un serveur VPN

De réaliser du Load Balancing MultiWAN (utiliser deux connexion Internet avec 2

FAI différents pour avoir une redondance et ainsi éviter les pannes ADSL).

La configuration se fait dans l'interface web, sans rien toucher à la ligne de commande.

cela implique une intervention minimum sur les machines sauf pour des maintenances

matériels ou de grosse mise à jour qu'il est préférable de faire sur les machines.

Pour plus d’informations sur les fonctionnalités de Pfsence visitez

http://pfsense.org/index.php@option=com_content&task=view&id=40&Itemid=43.html

3


II. Installation de pfSense :

Version de Pfsence Pfsence 2.0.3

Platforme d’instalaltion Vmware Workstation 9

Si vous êtes habitué à l’installation des OS, cette partie n’est pas faites pour vous. Bien évidement

il faut disposer d’une image ISO pour procèder à l’instalaltion, les images sont en libre

téléchargement depuis

http://pfsense.org/index.php@option=com_content&task=view&id=58&Itemid=46.html , de

même cette section de téléchargement offre des images VMware prêtes.

Notre lab va se baser sur la version 2.0.3 de Pfsence, il sera installé sur une machine virtuel

VMware Workstation 9.

Les pré-requis materiels pour l’installation sont :

RAM : 512M (256 min).

HDD : 1Gb

Processor : 100Mhz min.

2 cartes réseaux.

4


L’architecture de base d’une installation Pfsence est la suivante :

Avant de commencer l’installation, votre PC doit être équipé en minimum de deux cartes réseaux, pour ce TP on va utiliser deux interfaces, une de Loopback pour qu’on puisse communiquer localement avec le serveur Pfsence et la deuxième à votre choix. Voilà les étapes à suivre pour créer une interface de loopback :

Poste de Travail > Propriété > géstionnaire de péréphriques puis « Ajouter un Matériel d’ancienne génération ».

5


6


Suivant …

Puis le deuxième choix …

7


Vous choisissez Microsoft > Carte de Bouclage Microsoft

Vous attendez la fin de l’instalaltion …

Et voilà ! votre carte réseau de bouclage (loopback) est prêt à être utiliser.

8


On commnce l’instalaltion de Pfsence sous Vmware 9 …

On crée une Machine Virtuelle sous VMware avec les spécifications suivantes :

On click sur finish, puis l’instalaltion va commencer …

9


La fenêtre suivante va s’aficher et choisit le 1ère choix.

Durant l’installation Pfsence va detecter automatiquement les listes des cartes réseaux

disponibles, et va y attribuer respectivemetn les noms le0, le1 et le2 Notez bien qu’il

necessite au moins deux cartes pour qu’il fonctionne correctement.

La première question que nous rencontrons durant l’installation est la suivante :

On va répondre tout simplement par n (No) car on aura pas besoin des Vlan.

Si tout passe très bien, Pfsence va nous demander d’affecter chaque interface ( ici le0,le1

ou le2) à une interface WAN ou bien LAN (revoir l’architecture de base de Pfsence fig1).

10


La figure ci-dessus montre qu’on a affecter le0 au LAN, le1 au WLAN et le2 à l’interface OPT1.

Astuce ! utiliser la lettre ‘a’ pour l’auto affectation des interfaces.

Et voilà ! l’installation se termine ici, vous avez devant vous plein d’options à exploer…Par

la suite toutes les configurations se font par l’intermediare d’une intuitive interface web.

Pour se conncter à l’interface de configuration on utilisera l’adresse ip de l’interface LAN

http://192.168.2.1, le couple login/pass par défaut est admin/pfsence.

11


III. Configuration Basique de Pfsence :

A ce stade là, on doit configurer basiquement notre serveur, pour faire cela on choisit Setup

Wizard du menu System, puis on tape Next.

12


Eclaircicement des champs demandés :

Hostname : le nom du Host

Domain : le domaine si c’est déjà établis si non on laisse le choix par défaut.

Primary (Secondary) DNS Server : l’adresse primaire (secondaire) du serveur DNS

à utiliser.

NB : vous pouvez très bien utiliser des serveurs DNS distant.

Next …

Ici on déclare le serveur d’horloge avec lequel on doit se sychroniser, par défaut c’est

0.pfsence.pool.ntp.org

Puis Next …

Là, on arrive à une étape très importante, on doit configurer notre interface WAN.

13


Ici il est demandé de choisir le type de configuration de l’interface WAN, différent choix

sont disponibles, soit Static,DHCP,PPoE ou PPTP, le choix est basé sur la manière avec

laquelle notre interface va être utiliser.

Le champs MAC Address c’est pour définir une adresse MAC pour l’interface, Pfsence lui

affecte une adresse par défaut si on le laisse vide.

MTU c’est pour la taille du fragement qui doit traverser le réseau.

La suite de configuration est basé sur le type de l’interface WAN (Static,DHCP,PPoE ou PPTP).

Si le WAN est en Static on doit définir dans les champs IP Address et Gateway l’adresse IP

choisit et la passerelle respectivement.

Si c’est DHCP on doit identifier notre serveur Pfsence par un nom pour qu’il puissance

s’identifier auprés du serveur DHCP (optionel).

Block RFC1918 Private Networks : si cette case est cochée, le parfeu va bloquer tous le

trafic issue des adresses privés ou de loopback.

14


Block bogon Networks : Pour bloquer les paquets dont l’adresse source est non définie

par l’IANA.

Next …

Maintenant c’est le temps pour configurer l’interface LAN.

C’est simple ici, on affecte une adresse IP de notre sous réseau à l’interface LAN.

Next …

Pour changer le login et le pass del’interface Web.

Puis Reload pour que Pfsence prend en charge la nouvelle configuration.

15


IV. Firewall rules :

a. Découvrir L’interface De Gestion :

L’interface de gestion des rules est joignable de Firewall > rules,

Comme vous voyez, il est possible de définir des rules pour l’interface LAN ainsi que

l’interface WLAN.

Pour ajouter un rule

Pour modifier un rule

Pour suprimer un rule

16


b. Ajouter un Rule :

Action : Choisir une Action Block,Reject ou Pass.

Disable This rule : cocher pour désactiver le rule.

Interface : l’interface concérné par le filtrage de packet.

Protocole : spécification du protocole concérné par le rule en question.

Source : IP source

Destination : IP destination

Log : si on veut que Pfsence sauvgarde les log de cette rule.

Description : descrption du rule.

Dans cette exemple on va empêcher tout packet ICMP (ping) au sein du réseau local.

17


Cette fenêtre montre que notre rule est bien ajouté.

Preuve …

NB : par défaut le trafic du WAN vers le LAN est bloqué.

Pour modier/suprimer le rule on click sur //fr/

Toutefois, Pfsence offre des fonctionnalités de filtrage avancé, telsque le filtrage par système

d’exploitation, TCP flags …etc.

Voir figure ci-dessous :

18


c. Les Alias :

Les Alias facilitent beaucoup la manipulation des rules, ils jouent le rôle du conteneurs, ils peuvent

grouper un ensemble de hôtes, de réseaux, ou de port afin de les d’affecter un traitement

groupé.

On va commencer tout d’abord par la création d’un Alias, pour se faire, on click sur Alias du menu

Firewall.

Puis sur l’icone ajouter

19


On a les champs suivants :

Name : le nom de l’Alias

Description : une déscription

Type : on distingue entre 5 types d’Alias, Host, Network, Port et URL.

Network(s) (ça dépend du type d’alias): par exemple ici on dois spécifier l’adresse du

réseau sous format CIDR.

Save … l’exemple montré ci-dessus va crèer un Alias portant le nom Alias1, qui va regrouper tous

les adresses du sous réseau 192.1682.0/24, par la suite on peut utiliser juste le nom de l’Alias pour

lui appliquer une politique de filtrage (voir démo).

d. Time Based rules :

Parfois on a interêt à ativer une politique de filtrage durant une période spécifique, par exemple

on souhaite désactiver tous flux sortant de type HTTP durant les périodes de repos, pour faire

cela on fait appel aux Time Based rules (TBR).

Pour créer une TBR on doit commencer par la création du Schedule, pour se faire on click sur

Schedules du menu Firewall.

20


On nomme notre Schedule et on définis la période de validité, après on sauvgarde.

Pour pouvoir l’utiliser, on choisis de modifier le rule en question ( qui bloque le traffic http du LAN

vers le WAN, on peut se base sur l’alias créer auparavant), puis Advanced Settings et Schedules.

21


On sauvgarde les nouveaux changements, désormais le parfeu va interdir tout accès à internet du

réseau LAN durant la periode du repos.

e. Firewall Rules Best Practices :

Default Deny

Keep it Short

Document Your Configuration

Reducing Log Noise

Logging Practices

22


V. OpenVPN sous Pfsence :

il est possible de configurer facilement Pfsence pour qu’il fonctionne comme un serveur

VPN, on va voir ensemble comment le configurer pour le cas du serveur OpenVPN.

L’objectif étant de créer un tunnel client-to-site avec une clé secret partagé.

Par le menu principale on choisis VPN > OpenVPN.

On va configurer notre serveur en mode Peer to Peer (Shared Key), Protocole UDP, Device

Mode > tun et l’interface LAN,donc c’est les utilisateurs locaux qui vont pouvoir établir le

tunnel VPN avec le serveur Pfsence.

Pour la clé partagé on peut la générer par OpenVPN par la commande

Openvpn –genkey –secret /tmp/shared.key et on la copie dans l’emplacement Shared Key.

23


Maintenant on doit spécifier l’adresse du tunnel, ici c’est 10.0.8.0/24, par défaut la

première adresse sera affecté au serveur VPN et le reste pour les client.

NB : on doit ajouter un rule au LAN pour permettre la connexion UDP via le port 1195

d’OpenVPN.

Côté client, il est primordial que le client OpenVPN est installé, on va simplement

placer le fichier de configuration et la clé partagé dans le même répertoire.

24


Fichier de configuration static.key :

remote 192.168.2.1

proto udp

dev tun

ifconfig 10.0.8.2 10.0.8.1

secret static.key

cipher none

verb 2

on lance OpenVPN …

Voilà ! le tunnel est établis, il est aussi possible d’établir une architecture PKI.


VI. Hotspot – Portail Captif

Les Hotspot sont parmi les

Pfsence fait bien l’affaire, on va découvrir ensemble comment mettre en

captif pour un réseau Wifi.

Tout d’abord on aura besoin de deux interfaces, une connectée à internet et l’autre

point d’accès qui va jouer le relais entre les utilisateurs qui viennent pour se connecter et

le réseau internet.

Voilà notre architecture de base.

eth0

Pour démarrer la configuration, on choisis

NB : On va faire ici une configuration basique.

Il faut tout d’abord

portal’.

Ainsi, on choisis l’interface sur l’aquelle on va démarrer le service, dans

notre cas c’est le LAN.

Vous pouvez s’amuser à explorer les autres options, ils sont simple à comprendre …

Maintenant on passe à la phase d’authentification, Pfsense met entre nos mains trois

méthodes, à savoir (voir figure ci desous)

No Auhentification : rediriction du client vers internet sans contrôle d’accès.

Local user Manager : définir des utilisateur Pf

RADIUS : un contrôle d’accès basé sur le serveur RADIUS.

NB : Pour installer le plugin qui intègre RADIUS à Pfsense, allez à

GRT5 2013

Portail Captif :

Les Hotspot sont parmi les solutions les plus solicités surtout chez les entreprises,

Pfsence fait bien l’affaire, on va découvrir ensemble comment mettre en

Tout d’abord on aura besoin de deux interfaces, une connectée à internet et l’autre


otre architecture de base.

eth0 : LAN eth1 : WAN

Pour démarrer la configuration, on choisis Captive Portal du menu Services

On va faire ici une configuration basique.

Il faut tout d’abord l’activation de service, pour cela cocher ‘Enable captive


notre cas c’est le LAN.



(voir figure ci desous):

: rediriction du client vers internet sans contrôle d’accès.

: définir des utilisateur Pfsense.

: un contrôle d’accès basé sur le serveur RADIUS.

: Pour installer le plugin qui intègre RADIUS à Pfsense, allez à System > Packages

Serveur Pfsense

25

chez les entreprises,

Pfsence fait bien l’affaire, on va découvrir ensemble comment mettre en place un portail

Tout d’abord on aura besoin de deux interfaces, une connectée à internet et l’autre à un


Services.

l’activation de service, pour cela cocher ‘Enable captive




: rediriction du client vers internet sans contrôle d’accès.

System > Packages

26


On va choisir l’option ‘Local user Manager’.

NB : il faut désactiver le srveur DHCP du point d’accès utilisé au niveau du LAN, car

l’affectaton des adresses sera prise en charge par Pfsence.

Puis on sauvgarde la configuration.

Activation du DHCP à l’interface LAN :

o Sur la console de Pfsense chosir l’option 1 ‘Set Interface ip address’.

o Puis vous choisissez l’interface LAN, et vous continuer comme ci-dessous

Vous saisissez l’adresse IP (ici c’est 192.168.2.1) , le Mask (ici c’est 24), ‘y’ pour activer

DHCP et finalement le pool DHCP (ici c’est 192.168.2.2 - 192.168.2.254).

Voilà c’est tout ! votre portail captif est prêt à être utiliser.

Si un client tente de se connecter à votre point d’accès, il aura l’impression qu’il est

connecter à internet mais une fois il ouvre son navigateur il sera redériger vers une page

d’authentification comme celle-ci :

27


N’oubliez pas que c’est une configuration très basique du portail captif, il ya plein

d’options à découvrir …

VII. Conclusion :

Pfsence permet plein d’autres options comme le routage, IP sec, traffic shaping … etc, mais on va

se limiter à ce point là. Je vous invite à lire le livre ‘The Definitive Guide to the pfSense Open-Source

Firewall and Router’ de Christopher M. Buechler et Jim Pingle.

Installation et Configuration de Pfsense

Technology

Transcript of Installation et Configuration de Pfsense