Guide PfSense

Embed Size (px)

Citation preview

Les rseaux des EPLEFPA Guide PfSense

Chantier national DRTIC

http://drtic.educagri.fr/

Mai 2010

Les rseaux des EPLEFPA Guide PfSense

2

Table des matires1 Installation de la PfSense....................................................................................................................................3 Schma de principe.............................................................................................................................................3 Pralable.............................................................................................................................................................3 Installation..........................................................................................................................................................4 2 Configuration de la PfSense................................................................................................................................9 3 Mise en place du VPN site--site......................................................................................................................13 Schma de Principe...........................................................................................................................................13 Installation de Slave-pfSense............................................................................................................................13 Configuration de Slave-pfSense.......................................................................................................................14 Mise en place du serveur IPSec sur Master-pfSense........................................................................................16 Mise en place du serveur IPSec sur Slave-pfSense..........................................................................................16 4 Rgles du Firewall.............................................................................................................................................17 Trafic Internet...................................................................................................................................................17 Communication entre les interfaces..................................................................................................................18 Rgles du tunnel Ipsec......................................................................................................................................19 5 Configuration des fonctionnalits de proxy......................................................................................................20 Installation des packages :................................................................................................................................20 Configuration de squid.....................................................................................................................................21 Configuration de squidGuard...........................................................................................................................21 Mise en place dACL........................................................................................................................................22 6 Ajout du VPN : clients mobiles (OpenVPN).....................................................................................................23 Schma de larchitecture rseau mise en uvre...............................................................................................23 Configuration de Master-pfSense pour lOpen VPN........................................................................................23 7 Annexe 1............................................................................................................................................................24

Les rseaux des EPLEFPA Guide PfSense

3

1 Installation de la PfSenseSchma de principeAvant tout, voici le schma gnral de linstallation mis en place pour cette documentation (bien entendu, toutes les adresses IP sont adapter) :

PralableAvoir prpar le PC contenant 1, 2, 3 ou 4 cartes rseau en fonction de la configuration choisie. Il est rappel que les diffrentes interfaces d'un Firewall ne doivent pas tre connectes au mme rseau physique ou alors uniquement sur des ports appartenant des VLAN 802.1q diffrents. Nous considrons galement que votre connexion internet est de type ADSL ou SDSL et qu'elle se fait l'aide d'un Routeur Ethernet, ce qui est la majorit des cas dans les tablissements. Relevez quelques paramtres clefs comme l'adresse IP publique que vous allez utiliser pour la carte WAN de votre PfSense, ainsi que les IP que vous utiliserez pour vos diffrentes interfaces locales.

Les rseaux des EPLEFPA Guide PfSense

4

InstallationTlchargez la dernire version stable dans la rubrique download du site PfSense http://www.pfsense.org/ Le mirroir franais qui permet http://pfsense.bol2riz.com/downloads/ de tlcharger la dernire version de pfSense :

Gravez limage tlcharg sur un CD bootable Dbranchez les cbles rseau de votre futur firewall pfSense (ils seront rebranchs plus tard). Bootez lordinateur avec le CD pfSense. Vous allez ensuite avoir l'cran de dmarrage de FreeBSD. Vous avez plusieurs choix possibles. Vous allez choisir ici l'option 1 (dfaut) :

Appuyez sur n au prochain cran, et faites ENTRER.

Les rseaux des EPLEFPA Guide PfSense

5

Ensuite vient la configuration des interfaces rseau. Choisissez quelle interface sera le LAN et l'autre le WAN. A la question enter the Lan interface name or a for auto-detection: , tapez a . Ne faites pas Entrer pour le moment, mais branchez votre cble rseau sur votre carte rseau destine au LAN (dans notre exemple : lnc0). Ensuite, vous pouvez faire Entrer . Faites de mme pour la carte rseau qui sera relie au WAN (dans notre exemple lnc1) :

la ligne suivante (Optional interface) ne mettez rien et appuyez sur entrer. Vous aurez ensuite un rcapitulatif de la configuration et devrez la valider en tapant y . FreeBSD se charge ensuite et nous entrons dans le menu. Nous allons donc passer l'installation sur le disque dur en tapant le choix "99" :

Les rseaux des EPLEFPA Guide PfSense

6

Nous allons voir en dtail comment se dcompose l'installation de pfSense (le choix faire est celui surlign en bleu)

Le changement de confiiguration du clavier en franais ne fonctionne pas, la modification pourra tre faite aprs linstallation. Choisissez le disque dur sur lequel vous souhaitez installer votre pfSense :

Si ncessaire, nous allons voir comment formater le disque dur, pour cela allez sur Format this Disk , sinon vous pouvez sauter l'tape en allant sur Skip this step :

Ici allez directement Use this geometry , Format ad0 , puis Partition Disk :

Les rseaux des EPLEFPA Guide PfSense

7

Vous pouvez ici soit garder la taille de la partition (par dfaut il utilisera tout le disque dur), ou bien lui dfinir une taille. Allez ensuite sur Accept and Create , Yes partition ad0 , puis OK:

Slectionnez la partition sur laquelle installer pfSense, faites OK, puis Accept and Create pour tablir le Swap :

Les rseaux des EPLEFPA Guide PfSense

8

Linstallation de pfSense va commencer :

Nous allons maintenant crer le "BOOT" du disque dur. Cela va permettre de dmarrer la machine directement sur pfSense. Faites Accept and install Bootblocks , OK et Uniprocessor kernel :

A la fin de linstallation de pfSense, vous pouvez retirer le CD et redmarrer la machine en allant sur reboot

Les rseaux des EPLEFPA Guide PfSense

9

2 Configuration de la PfSensePfSense est en marche. Nous allons maintenant passer la configuration. Dans ce chapitre, nous configurons titre d'exemple la machine Master-pfSense du schma de principe. Pour avoir le clavier franais, taper 8) shell puis kbdcontrol l fr.iso.kbd Pour une configuration permanente, il faudra placer la ligne dans le service shellcmd quil est possible dajouter partir des packages disponibles. Ensuite, il faut changer l'IP sur la carte rseau LAN (rseau admin) de pfSense. Pour cela, dans le menu, tapez le choix 2 ( Set LAN IP address ). Entrez l'adresse IP correspondante votre LAN ainsi que le masque (24 en gnral) :

Aprs avoir configur les cartes rseau, vous devriez avoir une toile prs du nom des interfaces, indiquant la bonne connexion des cbles rseau.

Les rseaux des EPLEFPA Guide PfSense

10

Nous allons pouvoir maintenant configurer pfSense via l'interface Web. Connectez une machine sur la carte rseau de pfSense (ct LAN : rseau admin). Ouvrez ensuite votre navigateur Web, puis entrez http://10.21.201.254 (dans notre cas). Entrez ensuite le login (par dfaut admin, mdp : pfsense). Au premier cran, faites NEXT, tapez ensuite le nom de la machine, le domaine et l'IP du DNS, Exemple : Nom : pfcnerta Le nom d'hte de votre systme Domaine : educagri.fr Votre nom de domaine DNS : 212.27.53.252 Les adresses DNS gnralement fournies par votre FAI 212.27.54.252 Fuseau horaire : Eurpoe/Paris Votre fuseau horaire

Ensuite, slectionnez votre fuseau horaire :

Les rseaux des EPLEFPA Guide PfSense

11

Nous allons maintenant configurer linterface WAN. Slectionnez le SelectedType Static , ladresse IP de la carte WAN (en direction dinternet) IP : 80.80.80.33 Dcochez les deux cases block tout en bas :

Vrifiez ensuite la configuration de la carte LAN qui doit tre correcte puis faire NEXT. Pour finir, modifier votre mot de passe pour laccs pfSense, faites NEXT, puis RELOAD, et relancez ensuite votre navigateur :

Les rseaux des EPLEFPA Guide PfSense

12

Une fois linterface graphique de pfSense charge, branchez physiquement votre carte rseau relie au rseau Pedago. Allez longlet Interfaces , puis assign , et cliquez sur la case + droite. Slectionnez la carte rseau correspondant la nouvelle interface OPT1 et pour finir, cliquez sur Save . Ensuite retournez sur longlet Interface , puis OPT1 , et configurez linterface :

Il est possible de la mme manire dajouter dautres interfaces pour des rseaux supplmentaires comme une zone wifi, une zone DMZ, une zone

Les rseaux des EPLEFPA Guide PfSense

13

3 Mise en place du VPN site--siteSchma de PrincipeVoici le schma du rseau que nous allons configurer :

Installation de Slave-pfSenseNous venons de raliser au chapitre prcdent l'installation du Firewall Master-pfSense. Pour linstallation de Slave-pfSense, le principe est le mme. Reprenez les tapes dcrites au chapitre 1 traitant de linstallation.

Les rseaux des EPLEFPA Guide PfSense

14

Configuration de Slave-pfSenseNous passons ensuite directement la configuration :

Connectez une machine sur la carte rseau de pfSense (ct LAN : rseau Admin). Entrez http://10.21.203.254 (dans notre cas) dans votre navigateur Web. Entrez ensuite le login (par dfaut admin, mdp : pfsense). Au premier cran, faites NEXT. Tapez ici le nom de la machine, le domaine et l'IP du DNS:

Les rseaux des EPLEFPA Guide PfSense

15

Faites de mme pour les configurations des cartes WAN, LAN (elle doit tre normalement bien configure) et Pedago, en ladaptant selon le paramtrage de votre rseau :

Les rseaux des EPLEFPA Guide PfSense

16

Mise en place du serveur IPSec sur Master-pfSenseAllez dans longlet VPN > IPSec | Tunnels Cliquez sur la case + pour crer un nouveau serveur IPSec en mode Tunnel. Remplissez les champs gnraux suivants (toujours en adaptant avec vos adresses IP) : Interface : WAN. Local subnet : LAN subnet (sous rseau LAN de Master-pfSense). Remote subnet : 10.21.203.0/24 (sous rseau LAN de Slave-pfSense). Remote gateway : 8.80.81.33 (@IP WAN Slave-pfSense). Description : Ici votre description, par exemple Tunnel Master-Slave pfSense. Negociation mode : agressive. My identifier : My IP address. Encryption algorithm : 3DES. Hash Algorithm : SHA1. DH Key Group : 2. Lifetime : 28800. Pre-Shared Key : [votre cl partage] (utilisez par exemple une cl comme IPSec@pfSense). Protocol : ESP (une rgle Firewall sera cre pour autoriser en entre ESP). Encryption algorithms : 3DES (dcochez les autres possibilits). Hash algorithms : SHA1. PFS key group : 2. Lifetime : 86400. Automatically ping host

Mise en place du serveur IPSec sur Slave-pfSenseLa configuration du serveur IPsec de Slave-pfSense est similaire celle de Master-pfSense. Rptez les tapes nonces prcdemment en changeant bien sr les paramtres suivants : Remote subnet : 10.21.201.0 /24 (sous rseau LAN de Master-pfSense). Remote gateway : 80.80.80.33 (@IP WAN Master-pfSense). My identifier : My IP address. Aprs la configuration du tunnel, la commande Status : Ipsec permet de vrifier que la configuration est correcte.

Longlet SAD permet de vrifier le bon fonctionnement du tunnel aprs avoir tent un ping sur une machine du rseau distant.

Les rseaux des EPLEFPA Guide PfSense

17

4 Rgles du FirewallLa logique de fonctionnement du pare-feu peut diffrer suivant les objectifs de ladministrateur rseau de ltablissement. Dans le cas o la simplicit de mise en place est recherche, il est possible dautoriser tous les ports en sortie pour les protocoles TCP et UDP pour la navigation vers Internet. Pour un fonctionnement plus sr et mieux maitris, seuls les ports ncessaires seront ouverts. Il sera alors ncessaire de faire linventaire exhaustif de tous les services ncessaires, ce qui reprsente un travail important. Les rgles permettent de mettre en place les diffrents services autoriss sur chaque interface. Il est possible dautoriser tout le trafic en sortie dans le cas o les contraintes douverture de ports La logique de cration consiste les crer sur linterface qui reprsente la source du traffic. Par exemple pour la navigation sur internet dun poste du LAN sur le port 80, le trafic part du poste puis passe par linterface LAN avant de sortir par linterface Wan. La rgle permettant ce service sera crite sur linterface LAN. Pour crer une rgle, il suffit de cliquer sur Firewall -> Rules, puis sur longlet voulu par exemple LAN.

Trafic InternetPour naviguer sur Internet, il faudra crer les rgles de base pour les ports 53 (DNS), 80 (http), 443 (HTTPS), 21 (FTP). Le protocole ICMP permettra dutiliser la commande Ping pour des tests de certaines adresses IP.

Par la suite, il sera certainement ncessaire dajouter des ports correspondants aux autres services ncessaires ( serveur de messagerie, FirstClass, Nocia, .). Ce point sera abord dans un document annexe indpendant, le travail de configuration des ports nest pas spcifique Pfsense. Aprs avoir dclar les ports ouverts pour la zone admin (LAN), il sera ncessaire de faire la mme chose pour la zone PEDAGO (OPT1) en modifiant la liste des ports pour ladapter aux ncessits de la zone pdagogique. Laccs aux serveurs de messagerie, FirsClass, nocia ne sera peut-tre pas ncessaire alors que laccs MSN pourra ltre.

Les rseaux des EPLEFPA Guide PfSense

18

Pour autoriser laccs depuis lextrieur, il est ncessaire de mentionner les ports ouvrir suivant les services concerns. Ainsi, laccs depuis des clients nomades OpenVpn, le port 1194 devra tre ouvert pour linterface WAN vers le rseau Admin.

Communication entre les interfacesSuivant la configuration de ltablissement, il sera peut-tre ncessaire dautoriser des liaisons entre les rseaux. Par exemple, laccs aux partages de fichier ou dimprimantes peut-tre tabli de la zone Admin vers la zone PEDAGO .

Les rseaux des EPLEFPA Guide PfSense

19

Rgles du tunnel IpsecPour une utilisation courante, les services TSE (3389 MS RDP) et partage de fichiers (445MS DS) sont ncessaires pour accder aux serveurs LGA du site principal. Laccs au ping (ICMP echo) est galement une bonne prcaution en cas de doute sur laccs. Pour autoriser ces services, il est ncessaire de les mentionner au niveau de linterface LAN de la Slave Pfsense (interface source du trafic). Au niveau de linterface Ipsec de la Master Pfsense ils seront galement ncessaires. Pour des raisons de scurit, il est prfrable de nautoriser que ce qui est strictement ncessaire, donc ces services seront configurs des adresses de linterface LAN vers ladresse du serveur de traitement. Il peut tre ncessaire dtendre les autorisations vers le serveur de donnes si des postes du site distant ont besoin daccder aux donnes en utilisant le driver ODBC. Ports ouverts sur la zone LAN de la Slave Pfsense :

Ports ouverts sur la zone IPSEC de la Master Pfsense :

Pour autoriser des accs de la zone LAN du site principal vers le site distant, il sera ncessaire dajouter des ports dans la zone LAN de la Master pfsense et dans la zone IPSEC de la Slave Pfsense. Ce sens de communication est assez rarement utilis, il est donc prfrable de ne le configurer quen cas de ncessit.

Les rseaux des EPLEFPA Guide PfSense

20

5 Configuration des fonctionnalits de proxyPour pouvoir utiliser les fonctionnalits de proxy, il faut ajouter les packages squid et squidgard puis configurer les blacklist, les diffrentes restrictions et ventuellement des rgles daccs supplmentaires (ACL)

Installation des packages :

Cliquer sur le signe + pour ajouter le package Squid Installer ensuite Squidguard de la mme faon

Aprs linstallation longlet InstalledPackages permet de vrifier que les deux modules sont bien installs.

Les rseaux des EPLEFPA Guide PfSense

21

Configuration de squidCliquer sur Services Proxy server. Dans longlet Gnral, configurer les options suivantes : Proxy interface : PEDAGO (dans notre cas). Pour slectionner plusieurs interfaces utiliser la touche control Allow user on interface : valider. Transparent proxy : valider. Log store directory : /var/log : dossier contenant dj les autres logs. Proxy port : 3128 : port classique pour proxy. Language : French

Cliquer ensuite sur Save pour enregistrer la configuration. Au niveau de longlet Access control -> Blacklist, il est possible dindiquer des sites en complment des Blacklist de squidGuard.

Configuration de squidGuardCliquer sur Services Proxy filter. Enable : valider. Blacklist : valider. Blacklist url : http://www.shallalist.de/Downloads/shallalist.tar.gz Actuellement, les listes de luniversit de Toulouse ne fonctionnent pas correctement avec la pfSense. Cliquer ensuite sur sauvegarder puis sur Upload url pour charger la blacklist.

Les rseaux des EPLEFPA Guide PfSense

22

La liste commence se charger, le message disparat lorsque le tlchargement est termin. Il faut ensuite cliquer sur longlet Default puis sur le triangle vert pour afficher la blacklist. Sur chaque lment que vous souhaitez autoriser, choisissez allow, et deny pour ceux que vous voulez interdire

Not to allow IP addresses in URL : cocher si vous souhaitez interdire les adresses IP tapes directement dans lURL. Redirect mode : laisser loption par dfaut int error page Redirect info : entrer un message derreur personnalis, par exemple Accs interdit, contacter votre administrateur Enable log : cocher la case pour enregistrer lactivit du service Cliquer enfin sur Save pour enregistrer la configuration. A noter quil faut galement cliquer sur Apply au niveau de longlet General settings pour mettre en uvre les options paramtres .

Mise en place dACLUne ACL (Access Control List) permet de dfinir des rgles daccs pour certaines adresses IP. Slectionner Services -> Proxy filter -> ACL puis cliquer sur +. Name : donner un nom votre ACL. Source IP adresses and domains : Entrer une plage dadresses IP ex 10.21.201.120-10.21.201.150 Destination : cliquer sur le triangle vert et slectionner les domaines bloquer.

Les rseaux des EPLEFPA Guide PfSense

23

6 Ajout du VPN : clients mobiles (OpenVPN)Schma de larchitecture rseau mise en uvre

Configuration de Master-pfSense pour lOpen VPNLa suite de la configuration du serveur et des ses clients est dtaille dans le guide Les rseaux des EPLEFPA - Clients OpenVPN au chapitre traitant de la pfsense.

Les rseaux des EPLEFPA Guide PfSense

24

7 Annexe 1Schma vierge :

Les rseaux des EPLEFPA Guide PfSense

25