Installation et configuration de PFSENSE
Contents
1. No changes appear to have been made to the partition table layout Do you want to execute the commands to partition the disk anyway OR CES LS SSD lt No Skip to Next Step gt lt No Return to Edit Partitions gt Confirmez la cr ation de la partition select the primary partition of ad also known as a slice in the BSD tradition on which to install pfSense 1 99G 63 4194288 id 165 gt eturn to Partition Disk gt S lectionnez pr sent la partition o vous allez installer pfSense WARNING ALL data in primary partition 1 1 1 99G 63 4194288 id 165 on the disk ad 2848MB lt UMware Virtual IDE Hard Drive 848888881 gt at ata master UDMA33 Will be IRREVOCABLY ERASED Are you ABSOLUTELY SURE you wish to take this action This is your LAST CHANCE to cancel 11291 lt Cancel gt Ce message averti seulement que les donn es existantes sur la partition vont tre cras es Manuel d Installation et d Utilisation du logiciel K Accept and Create gt E Sur tout syst me Linux il existe une partition swap partition d change C est un espace r serv pour rajouter de la m moire La taille de la partition swap d pend g n ralement de la RAM pr sente sur ordinateur K Un S lectionnez le type du kernel noyau installer k Accept and Install Bootblocks gt Nous allons maintenant cr er le boot du disque dur Cela va permettre de d2. On s lectionne le disque dur dans lequel sera install pfSense Would you like to format this disk You should format the disk if it is new or if you wish to start from a clean slate You should NOT format the disk if it contains information that you want to keep Lie TES IE 1 lt Skip this step gt lt Return to Select Disk gt Si n cessaire s lectionnez l option Format this Disk C est cela dit plus prudent de formater le disque dur m me s il est cens tre vide The system reports that the geometry of adB is 4161 cylinders 16 heads 63 sectors This geometry should enable you to boot from this disk Unless you have a pressing reason to do otherwise it is recommended that you use it If you don t understand what any of this means just select Use this Geometry to continue Cylinders 4161 Heads Sectors OL RARES lt Return to Select Disk gt Ici on peut modifier la g om trie du disque dur Cette tape n est en principe pas n cessaire En effet FreeBSD reconna t quasiment tous les disques durs existants A ne changer donc uniquement si le disque est trop r cent et donc pas reconnu Manuel d Installation et d Utilisation du logiciel 6 WARNINGS ALL data in ALL partitions on the disk ad 2848MB lt UMware Virtual IDE Hard Drive 60488841 at atal master UDMA33 Will be IRREVOCABLY ERASED Are you ABSOLUTELY SURE you wish to take this action This is your L
3. OPTI n est pas forc ment utilis e et va pointer vers l interface WAN ce qu on ne veut pas Il est alors judicieux d ajouter une route statique pour le DNS 222 Interfaces assign Il est possible de modifier l attribution d une interface une carte r seau l aide de l adresse MAC Les VLANS peuvent galement y tre g r s Interface assignments ETa Interface Network port LAN emo 00 0b db 8b 5c 9d M WAN dcO 00 50 bf a5 1ef8 M OPTI rl0 00 60 67 73 5b 4f V Ka WAN Cette interface a t configur e lors du guide d installation de pfSense LAN Celle ci a galement t configur e dans le guide d installation de pfSense Manuel d Installation et d Utilisation du logiciel 14 OPTI Cette interface correspond notre liaison de secours Elle porte le nom de Optional 1 OPT1 Sa configuration est proche de celle de l interface WAN Optional Interface Configuration Enable Optional 1 interface Description OPT1 Enter a description name for the interface here Type Static MAC address 00 60 67 73 5b 4f Copy my MAC address This field can be used to modify spoof the MAC address of the WAN interface may be required with some cable connections Enter a MAC address in the following format xexexe or leave blank 4 23 Firewall Aliases Les alias permettent principalement d associer un nom une adresse d h te un port ou un
4. marrer la machine directement sur pfSense Manuel d Installation et d Utilisation du logiciel 9 lt Reboot gt Si pfSense s est install correctement vous pouvez retirer le cd et red marrer la machine en allant sur reboot Manuel d Installation et d Utilisation du logiciel 10 4 Configuration de pfSense PfSense est d sormais disponible l adresse du LAN http 193 56 2 224 gt login admin mdp pfsense par d faut C est partir de cette adresse que toutes les manipulations vont se d rouler 4 1 Pr paration de la configuration Lors de la connexion l adresse de pfSense une aide la configuration appara t Elle permet de configurer la base de pfSense Il est conseill de l utiliser m me si par la suite les informations renseign es peuvent tre chang es General Information fsense LR EXAMPLE myserver local EXAMPLE mydomain com Primary DNS Server 194 2 0 20 Secondary DNS 80 10 246 2 Server Am Dans notre cas nous renseignons les DNS primaires des deux connexions Time Server Information Time server dns O pfsense pool ntp org name Enter the name of the time server Timezone EGATE me Ce logiciel utilise le protocole NTP Network Time Protocol qui permet de synchroniser les horloges des syst mes informatiques travers un r seau dont la latence est variable Domain Manuel d Installation et d Utilisatio
5. r seau Set Admin WebGUI Password Admin Password Admin Password AGAIN Enfin le mot de passe d acc s a l interface graphique de pfSense est modifier Cela permettra de restreindre l acc s cette interface qui doit tre confidentielle Manuel d Installation et d Utilisation du logiciel 12 pfsense local System Interfaces Firewall Services Status Diagnostics System Overview System information Name pfsense local Version 1 2 RELEASE built on Sun Feb 24 17 04 58 EST 2008 Platform pfSense Uptime 00 44 State table size 26 10000 Show states MBUF Usage 5 270 CPU usage _ 1 Memory usage lt 23 SWAP usage j 0 Disk usage 7 Nous voila enfin sur la page par d faut d administration de pfSense 4 2 Mise en place de la configuration de pfSense 4 2 1 System Advanced Cette section repr sente les options avanc es de pfSense comme l acc s SSH les cl s SSL etc Pour la r alisation du projet les sticky connections connexions persistantes ont t accept es Load Balancing Load Balancing Use sticky connections Successive connections will be redirected to the servers in a round robin manner with connections From the same source being sent to the same web server This sticky connection will exist as long as there are states that refer to this connection Once the states expire so will the sticky connection F
6. 54 ae O a LAN net 192 168 1 254 EEEE ag ai i 7 g o E LAN net z FailOver LAN gt Internet Kale WAN ou OPT1 ai aa a La passerelle FailOver correspond au changement de connexion en cas de crash vu dans la partie Services WAN LAN WAN OPT1 CE ude 192 166 1 254 193 56 2 0 24 VPN LARRIEUX via OPTI gt LAN 172 30 3 0 24 1 193 56 2 0 24 192 168 2 0 24 LAN gt OPTI Schedules Schedule planifier correspond a un intervale de temps dans le mois ou dans la journ e Ces planifications sont attribuer des r gles de Firewall Ces r gles sont alors actives en fonction d une plage d horaire pr cise Par exemple l acc s Internet ne sera autoris que de 9h 19h Traffic Shaper Le Traffic Shaping permet de contr ler l utilisation de la bande passante On peut par exemple limiter la bande passante d un h te ou d un port Cependant le Traffic Shaping ne peut tre r alis qu avec une seule interface Internet et non deux comme dans notre cas Nous ne pourrons donc pas l utiliser correctement On peut toutefois l activer sur une des deux interfaces Manuel d Installation et d Utilisation du logiciel 16 Virtual IPs Il est possible d assigner des adresses IP virtuelles Ceci permet d avoir un h te avec plusieurs adresses IP Dans cette partie on peut aussi configurer le CARP Common Add
7. AST CHANCE to cancel lt Return to Select Disk gt Confirmez le formatage du disque dur You may now partition this disk if you desire If you formatted this disk and would now like to install multiple operating systems on it you can reserve a part of the disk for each of them here Create multiple partitions one for each operating system If this disk already has operating systems on it that you wish to keep you should be careful not to change the partitions that they are on if you choose to partition Partition this disk OS LM SR STI ams lt Skip this Step gt lt Return to Format Disk gt Nous allons maintenant cr er les partitions sur le disque dur Nous pouvons cr er autant de partitions que nous le souhaitons dans le cas o plusieurs syst mes d exploitations seraient mis en place Select the partitions also known as slices in BSD tradition you want to have on this disk For Size enter a raw size in sectors 1 gigabyte 2897152 sectors or a single to indicate use the remaining space on the disk Size Cin Sectors Partition Type Active 4194225 FreeBSD X lt Ins gt lt Del gt lt Add gt CE EE Taaa lt Return to Format Disk gt lt Revert to Partitions on Disk gt Vous pouvez ici soit garder la taille de la partition par d faut il utilisera tout le disque dur ou lui d finir une taille Manuel d Installation et d Utilisation du logiciel 7
8. Du c t client un simple login mot de passe est renseigner 4 2 6 Status L onglet Status permet de voir l tat de pfSense Nous pouvons par exemple v rifier si les interfaces sont actives leurs adresses etc Cela dit quelques status sont plus importants que d autres Interfaces pour voir l tat des connexions Load Balancer pour v rifier si le FailOver fonctionne Services pour arr ter ou lancer un service System qui est la page d accueil et nous permet de voir l tat du syst me et pour finir le plus important System Logs qui sont les logs de tous les services 4 27 Diagnostics Ceci correspond quelques fonctionnalit s suppl mentaires servant rendre quasi compl te l administration du serveur distance Nous pouvons donc arr ter ou red marrer pfSense visualiser la table de routage effectuer un ping modifier des fichiers revenir une installation de pfSense neuve etc Manuel d Installation et d Utilisation du logiciel 18
9. PfSense Manuel d Installation et d Utilisation Sense Manuel d Installation et d Utilisation du logiciel Installation de pfSense T l chargez l image de pfSense dans la section Download de pfSense http www pfsense com D marrez votre ordinateur partir du cd de l image de pfSense l installation va alors commencer Laissez alors le compte a rebours se terminer 10 secondes ou appuyez directement sur Entr e Le d marrage par d faut est choisit Welcome to FreeBsDf Boot FreeBSD default Boot FreeBSD with ACPI disabled Boot FreeBSD in Safe Mode Boot FreeBSD in single user mode Boot FreeBSD with verbose logging Escape to loader prompt Reboot select option Enter for default or Space to pause timer 1 Ensuite vient la configuration des interfaces r seaux FreeBSD d tecte le nombre de cartes r seaux et y attribue des noms le0 lel le2 dans notre cas Valid interfaces are lei 86 4c 29 ce ba bd lei 44 Ac 29 ce ba c7 le 44 Ac 29 ce ba d1 Les VLAN ne seront pas utilis s Do you want to set up VLANs now Lyin n Manuel d Installation et d Utilisation du logiciel 2 Nous allons pr sent choisir quelle interface appartient au LAN au WAN et au WAN2 appel e aussi OPT1 Il suffit alors de renseigner son nom Pour conna tre avec certitude la carte r seau que l on affecte 1l est possible de faire de l auto d tection c est d
10. an option 2 Enter the new LAN IP address 193 56 2 224 subnet masks are entered as bit counts as in CIDR notation in pfSense e g 255 255 255 8 24 255 255 8 8 16 255 8 8 8 Enter the new LAN subnet bit count 24 Do you want to enable the DHCP server on LAN yin n The LAN IP address has been set to 193 56 2 224 24 You can now access the webGUI by opening the following URL in your web browser http Press ENTER to continue Nous voil de nouveau au menu Nous allons pr sent installer r ellement pfSense sur le disque dur Saisir alors le choix 99 Enter an option 99 L installation qui va suivre se fait en acceptant toutes les options par d faut Il suffit d accepter toutes les demandes formatage si n cessaire et cr ation de la partition Ontiqure Lonso ie Your selected environment uses the following console settings shown in parentheses Select any that you wish to change lt Change Video Font default gt lt Change Screenmap default gt lt Change Keymap default gt lt Accept these Settings gt Choose one of the following tasks to perform lt Install pfSense gt lt Reboot gt CELT gt On choisit d installer pfSense Manuel d Installation et d Utilisation du logiciel 4 Select a disk on which to install pfSense lt ad 2448MB lt UMware Virtual IDE Hard Drive BAAAHAHAI gt at ata master U gt lt Return to Select Task gt
11. ire que lorsqu une carte r seau est branch e elle devient UP If you do not know the names of your interfaces you may choose to use auto detection In that case disconnect all interfaces now before hitting a to initiate auto detection Enter the LAN interface name or a for auto detection le Enter the WAN interface name or a for auto detection lei Enter the Optional 1 interface name or a for auto detection Cor nothing if finished le2 Enter the Optional 2 interface name or a for auto detection Cor nothing if finished The interfaces will be assigned as follows LAN gt led WAN gt lel OPTi gt le2 Do you want to proceed yinl y Une fois les interfaces assign es nous arrivons enfin au menu LAN 192 166 1 1 WAN 4 4 4 4HC DHCP OPT1COPT1 NONE pfsense console setup FEM H HHH HHH HHH HHH HH HHH HHH 4H Logout SSH only 1 Assign Interfaces 2 Set LAN IP address 3 Reset webConfigurator password 4 Reset to factory defaults 9 Reboot system 6 Halt system 7 Ping host 9 Shell 9 PFtop 16 Filter Logs 11 Restart webConfigurator 12 pfsSense PHP shell 13 Upgrade from console 99 Install pfsense to a hard drive memory drive Enter an option Manuel d Installation et d Utilisation du logiciel 3 L adresse par d faut du LAN est 192 168 1 1 Nous allons la modifier en 193 56 2 224 pour que pfSense soit sur le m me r seau Saisir l option 2 Enter
12. n du logiciel 11 SelectedType UUU General configuration 00 0c 29 ce ba c MAC Address This field can be used to modify spoof the MAC address of the WAN interface may be required with some cable connections Enter a MAC address in the following format xwx oeio or leave blank If you enter a value in this field then MSS clamping for TCP connections to MTU the value entered above minus 40 TCP IP header size will be in effect If you leave this field blank an MTU of 1492 bytes for PPPoE and 1500 bytes for all other connection types will be assumed Static IP Configuration IP Address 192 168 1 1 flow RFC1918 Networks C Block private networks from entering via WAN Block RFC191g When set this option blocks traffic from IP addresses that are reserved for Private Networks Private networks as per RFC 1918 10 8 172 16 12 192 168 16 as well as loopback addresses 127 8 You should generally leave this option turned on unless your WAN network lies in such a private address space too Ceci correspond la configuration de l interface WAN Pour tre s r d utiliser la bonne carte r seau 11 est conseill d y rentrer son adresse MAC II ne faut galement pas oublier de d cocher la case Block private networks from entering via WAN Ensuite en ce qui concerne l interface LAN il faut simplement s assurer de la bonne adresse et du bon masque de sous
13. r seau Un nom peut comprendre plusieurs l ments ce qui facilite et simplifie les r gles appliquer aux h tes sp cifi s NAT Le NAT Network Address Translation permet notamment de faire correspondre une seule adresse externe publique visible sur Internet toutes les adresses d un r seau priv Dans notre cas le NAT sera utilis pour les deux connexions Internet Port Forward 1 1 Outbound Automatic outbound NAT rule generation IPsec passthrough Manual Outbound NAT rule generation Advanced Outbound NAT AON Note If advanced outbound NAT is enabled no outbound NAT rules will be automatically generated any longer Instead only the mappings you specify below will be used With advanced outbound NAT disabled a mapping is automatically created for each interface s subnet except WAN If you use target addresses other than the WAN interface s IP address then depending on the way your WAN connection is setup you may also need a Virtual IP You may enter your own mappings below ll 193 56 2 0 24 192 168 1 0 24 F 193 56 2 0 24 192 168 2 0 24 Manuel d Installation et d Utilisation du logiciel 15 Rules R gle par d faut Tout est bloqu Elle n est pas explicitement crite mais est appliqu e LAN 192 168 2 254 a LAN gt YPN kal PE LAN net 172 30 3 0 24 Oo o Oo si LARRIEUX via OPTI Qa O z LAN net 192 168 2 2
14. rer le FailOver et donc la redondance des connexions Internet Le principe du FailOver est d utiliser le protocole ICMP afin de pinguer une passerelle le DNS tant l id al pour savoir si une connexion Internet fonctionne ou non Notre passerelle principale est Internet WAN et la passerelle de secours correspond a Internet2 OPT1 Si le ping vers la passerelle du WAN ne fonctionne plus la connexion est alors dirig e vers OPT1 Puis lorsque la passerelle WAN redevient active la connexion est ramen e a sa passerelle par d faut WAN Pour utiliser correctement cette fonctionnalit il nous faut cr er le pool d adresses ci apr s Pools Virtual Servers Name Type Servers Gateways Port Monitor Description ae gateway wan 194 2 0 20 FailOver Basculement des FailOver Failover opti 80 10 246 3 connexions Internet Manuel d Installation et d Utilisation du logiciel 17 4 2 5 VPN Plusieurs cat gories de VPN sont support es par pfSense Le VPN IPSec peut tre utilis en mode transport h te r seau ou h te h te ou en mode tunnel r seau r seau Il sait g rer le protocole AH Authentification et ESP Cryptage Il g re galement les autorit s de certification Le VPN OpenVPN g re les serveurs et les clients VPN Il g re galement les autorit s de certification Le VPN PPTP g re aussi les serveurs et les clients Il prend en compte un serveur RADIUS pour l authentification
15. ress Redundancy Protocol L objectif premier de ce protocole est de permettre un groupe d h tes sur un m me segment r seau de partager une adresse IP L utilisation principale de CARP est la cr ation d un groupe de pare feu redondants L adresse IP virtuelle attribu e au groupe de redondance est d sign e comme l adresse du routeur par d faut sur les machines clientes Dans le cas o le pare feu ma tre rencontrerait une panne ou est d connect du r seau l adresse IP virtuelle sera prise par un des pare feu esclaves et le service continuera tre rendu sans interruption 4 2 4 Services Plusieurs services peuvent tre g r s par pfSense Ils peuvent tre arr t s ou activ s depuis cette interface Voici la liste des services Captive Portal portail captif DNS Forwarder transporte les DNS DHCP relay agent relais DHCP DHCP server serveur DHCP Dynamic DNS permet de rendre statique un DNS dynamique gr ce un nom Load Balancer r partition de charges OLSR protocole de routage PPPoE server permet de b n ficier des avantages de PPP sur Ethernet RIP protocole de routage SNMP g rer des quipements r seaux distance UpnP facilite la mise en r seau OpenNTPD gestion de l horloge Wake on LAN permet a un ordinateur teint d tre d marr a distance Nous ne nous int resserons qu au service Load Balancer C est celui ci qui nous permettra de configu
16. urther connections From that host will be redirected to the next web server in the round robin Cette option permet d viter la ren gociation inutile des cl s SSL pour le protocole HTTPS Firmware Cela permet de mettre jour pfSense General Setup Ce sont les configurations de base de pfSense rentr es lors du guide d installation Il faut v rifier que Allow DNS server list to be overridden by DHCP PPP on WAN est bien d coch Manuel d Installation et d Utilisation du logiciel 13 DNS servers PES 1194 2 0 20 80 10 246 3 IP addresses these are also used for the DHCP service DNS forwarder and for PPTP YPN clients O Allow DNS server list to be overridden by DHCP PPP on WAN If this option is set pfSense will use DNS servers assigned by a DHCP PPP server on WAN For its own purposes including the DNS Forwarder They will not be assigned to DHCP and PPTP VPN clients though Packages Il est possible d installer de nouveaux paquets tels que MRTG interface graphique SNMP Squid serveur mandataire etc Setup Wizard Le Setup Wizard est le guide rencontr au d but de l installation de pfSense Il est possible de le refaire Static Route Les routes statiques sont importantes lorsqu une adresse r seau n est pas vue par la passerelle Interface Network Gateway Description E ars OPT1 80 10 246 3 32 192 168 2 254 Le L interface WAN est notre interface par d faut
Download Pdf Manuals
Related Search