20 mars 2019

TUTO Configurer serveur PFSense

PFSense est une solution de routeur et pare-feu basée sur FreeBSD, qui est donc Open Source et gratuit. On va l’intercaler entre un réseau externe et un interne pour protéger ce dernier. Il permet de router des vlans et intègre également un serveur DHCP. En plus de ces fonctions natives, PFSense dispose d’un gestionnaire de paquets qui permet d’ajouter des solutions diverses (tel qu’un proxy HTTP) ce qui le rend très intéressant.

On va voir ici les bases d’une installation standard. J’utiliserais la version 2.4.4-p1 (AMD64). Il n’y a rien de bien compliqué là-dedans mais ça peut être déroutant la première fois.

Mais ce n’est pas tout ! PFSense offre une interface WEB qui permet d’ajouter des options et de configurer plus facilement le serveur. On verra aussi comment y accéder.

Vous pouvez télécharger PFSense ici : www.pfsense.org/download/

*PFSense va nécessiter au moins deux cartes réseaux, une qui sera du côté externe qu’on appellera WAN, et une du côté interne qu’on appellera LAN.

Prérequis

Vous pouvez bien sûr créer votre propre topologie mais je vais détailler ici ce que j’utilise pour ce tuto.

-Le routeur de mon FAI
-Une machine avec deux cartes réseau pour accueillir PFSense
-Un client Windows XP déjà prêt et configuré comme dans le schéma. J’utilise XP car ce tuto est réalisé sur un PC portable peu puissant. Peu importe, cela ne change rien à la configuration réseau.

-Les machines sont virtuelles.
-La VM du serveur PFSense possède une carte réseau en mode pont qui sera connectée au réseau WAN, et une carte réseau en mode réseau interne qui sera connectée au réseau LAN.
-La VM du client Windows possède une carte réseau également en mode interne

Topologie

Notre installation va se résumer à ce simple schéma :

-Notez que le client PC01 utilise comme DNS 192.168.1.254. C’est normal, c’est le routeur du FAI qui redirige les requêtes DNS.

-Le client PC01 utilise 192.168.2.1 comme passerelle par défaut puisque c’est cette interface qui permet de sortir de son propre réseau.

->Aller, on commence l’installation en page suivante.

Pages: 1 2 3 4 5 6 7 8
Share

You may also like...

13 Responses

  1. christian couvrat dit :

    Salut Ben:)

    Me re-voici donc avec un petit soucis de règle je pense, je me m’explique :

    Je ne redonne pas ma config actuelle car je l’ai posté sur ton tuto Samba 4 AD, tout fonctionne, mais :

    Je souhaite que mon proxmox soit intégré au domaine, j’ai donc fais la démarche, c’est à dire :

    Dans « Authentification » j’ajoute mon domaine, donc le realm, le domaine et le serveur (avec son IP), ensuite j’ajoute un utilisateur pour se domaine sur proxmox, puis je créé ce même utilisateur sur l’AD, jusqu’ici tout va bien, mais lorsque je lance la syncro sur l’authentification proxmox j’ai un joli timeout… ce qui me laisse à penser que la route WAN vers LAN ne se fait pas je souligne que mon proxmox est sur l’interface WAN et PFsense est sur l’interface LAN… aurais-tu une idée pour régler cela ?

    Merci à toi et encore une fois meilleur voeux 🙂

    • ben dit :

      Je ne suis pas sûr de comprendre quand tu dis que Proxmox est sur l’interface WAN, tu veux côté par rapport à PFsense ?
      Non plus quand tu dis que PFsense est sur l’interface LAN, car il doit avoir 2 interfaces. Peux-tu clarifier ?

  2. christian couvrat dit :

    Bonjour Ben,

    Oui je peux clarifier 🙂 , mais avant il faut savoir :
    mon serveur proliant à 2 cartes réseaux physique nommé eno1 et eno2, on notera que eno1 est reliée à la box (FAI). Lorsque on installe Proxmox, une carte réseau virtuelle est automatiquement crée et nommé vmbr0, elle est reliée à eno1. Je créé donc une seconde carte réseau virtuelle (vmbr1) qui elle est reliée à eno2.

    On à donc :
    eno1 : WAN
    eno2 : LAN

    Ensuite je créé ma VM pfsense, mais avant l’installation, j’ajoute une carte réseau virtuelle (vmbr1) sur cette VM afin d’obtenir mes 2 cartes vmbr0 et vmbr1. Je lance l’installation de ma VM puis passe à la configuration de cette dernière.

    on aura donc :

    em0 = WAN avec une IP classique 192.168.xx.xx avec passerelle de ma box(FAI)
    em1 = LAN avec une IP 172.xx.xx.xx/16

    PfSense fait office de DHCP sur mon LAN.

    J’ai donc sur mon LAN, mon contrôleur de domaine (oui encore lui 😀 ), qui à pour IP :
    172.xx.xx.xx.

    Voici mes tests réalisés :

    1 : Ping coté LAN vers WAN == OK
    2 : Ping coté LAN vers google == OK

    Le LAN a donc accès à internet

    3 : Ping coté WAN vers LAN == NOK

    C’est ce que le recherche donc tout va bien.

    Donc mon Proxmox en lui même est sur le WAN via eno1 et PfSense communique avec le WAN via eno1(vmbr0) et vers le LAN via eno2(vmbr1).

    Donc comme je disais, mon AD quant à lui, se retrouve coté LAN, et lorsque j’intègre mon Proxmox (192.168.xx.xx) au domaine (172.xx.xx.xx) et que je lance la synchro, j’ai un « TaskError » suivi d’un joli timeout, j’en déduis donc que la connexion au domaine est bloqué par je ne sais quoi.. j’ai regardé sur mon AD le status d’ufw, il est désactivé. Mais étant donné que la communication WAN vers LAN ne se fait pas, le soucis vient sûrement de là.

    J’espère que je suis assez claire ( il est tôt hein :D), je peux eventuellement te faire un schéma mais on ne peut pas mettre d’image 🙂

    A bientôt et merci de prendre le temps de lire,

    Bonne journée à toi

    • ben dit :

      En fait comme OS sur le serveur c’est Proxmox, et toute l’infra est sur ce même serveur, avec AD et PFsense virtualisés dans Proxmox ? Désolé je suis un long à la comprenette quand je suis en distanciel ^^

  3. christian couvrat dit :

    Salut Ben

    Pas de soucis ce n’est pas simple de comprendre lorsque on est en distanciel.

    Il y a mon serveur proxmox avec VM pfsense

    Et

    Un AD machine physique
    🙂

  4. christian couvrat dit :

    Salut Ben,

    Merci pour ton orientation, mais cela ne fonctionne pas, je ne suis pas très fort en forwarding (tout ce qui concerne les parefeu en faite, soyons honnête 🙂 ), j’ai donc mis ces règles, en suivant quelques tuto pour m’aider.

    INT PROTO AD SRC P SRC AD DEST P DEST IP NAT P NAT

    WAN TCP/UDP * * LAN address 88 172.16.0.xxx | 88 (KRB) WAN TCP/UDP * * LAN address 389 (LDAP) 172.16.0.xxx | 389 (LDAP) WAN TCP/UDP * * LAN address 53 (DNS) 172.16.0.xxx | 53 (DNS)

    Je suis preneur d’idée 🙂

    Merci à toi

    Bonne soirée,

    • ben dit :

      Ho la ! Mon pauvre amis, mois j’aurais fait ça via interface graphique XD Je pense qu’il y a moyen avec PFSense non ?

      Je n’ai pas l’infra sous la main actuellement mais c’est sûr qu’il faut forwarder des ports en tous cas, car PFSense bloque ce qui vient du WAN. Même principe que si tu avais un site web côté LAN que tu voudrais atteindre depuis le WAN, il faudrait forward les ports 80 et 443 vers l’IP du serveur Web.

  5. christian couvrat dit :

    Salut Ben

    Je l’ai fais via l’interface graphique 🤣 mais à défaut de pouvoir mettre des captures d’écran je te l’ai posé comme ça

    Je l’ai testé dans tous les sens jusqu’à même ouvrir tous les ports en TCP/udp… Mais ça bloque qu’à d même … Du coup je le demande s’il serait pas plus simple de mettre mon AD sur le même réseau que le proxmox et voir comment il agit …

    • ben dit :

      Je serais toi je mettrais un serveur web tout simple côté LAN juste pour voir si j’arrive à forward le port 80 de WAN vers LAN. Si ça marche tu saura que c’est qu’une question de forward, et monter un apache ça prend 10 secondes, tu peux même le mettre sur le même serveur que samba 4.

      • Christian couvrat dit :

        Salut Ben,

        Bon beh j’ai essayé avec un serveur web et j’ai le même resultat… je pense donc qu’il faut créer une route du WAN vers le LAN dans PfSense, saurais-tu faire ceci ?
        Merci 🙂

        Christian

        • ben dit :

          La comme ça non, faudrait que je me penche sur la question ^^

          • ben dit :

            Mais généralement ça se passe à peu près comme ça en interface graphique, exemple avec un port 80 pour HTTP :
            In port : 80
            Out Port : 80
            TCP ou UDP ou Les deux
            IP du serveur Web.

            Pas plus. Donc pour les ports relatifs à un Samba AD il faut trouver de la doc et savoir quels ports rediriger vers l’IP du serveur.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.