Les interfaces réseaux physiques, virtuelles et logiques de pfSense 2.6

  • Pare-feu
  • pfSense
  • 2/2

6. Autres types d'interfaces

Sous pfSense, vous pourrez également créer d'autres types d'interfaces :

  • VLANs : permet de créer des sous-réseaux sur un même réseau physique dont les paquets seront étiquetés avec un ID de VLAN.
  • QinQ : permet de regrouper plusieurs VLANs en utilisant une balise externe où les paquets seront déjà étiquetés avec les bons IDs de VLANs.
  • PPPs : permet de créer des interfaces connectées directement à Internet (PPP pour les téléphones et les modems), PPPoE pour les connexions DSL, et PPTP ou L2TP pour les FAI qui requiert ce type de protocole pour la connexion à Internet.
  • GREs : permet de tunnelliser le trafic réseau entre 2 points de terminaison, mais sans chiffrement. IPv4 et IPv6 peuvent être tunnelisés, y compris en même temps.
    Le protocole GRE (Generic Routing Encapsulation) a été développé à l'origine par Cisco et il s'agit d'ailleurs du mode de tunnellisation utilisé par défaut sur la plupart de leurs périphériques.
  • GIFs : interface de tunnellisation générique similaire à GRE qui permet également de transporter IPv4 et IPv6, mais qui peut aussi être utilisée pour transporter de l'IPv6 via un réseau IPv4.
  • Bridges : permet de relier facilement plusieurs ports ensemble.
  • LAGGs : permet d'agréger des liens réseau en une interface logique pour bénéficier d'une meilleure bande passante et/ou pour de la tolérance de panne.

Sources :

7. Configurer l'interface WAN (connectée à Internet)

Pour configurer l'interface WAN de pfSense, allez dans le menu : Interfaces -> WAN.

Sur la page "Interfaces / WAN" qui s'affiche, vous trouverez d'abord une section "General Configuration" pour configurer les paramètres :

  • Enable : cochez la case "Enable interface" pour activer cette interface WAN.
  • Description : la description de cette interface. Par défaut, "WAN" dans ce cas-ci.
  • IPv4 Configuration Type : permet de choisir le type de configuration IPv4 à utiliser pour l'interface WAN.
    • None : ne pas assigner d'adresse IPv4 à l'interface WAN.
    • Static IPv4 : permet de définir une adresse IPv4 statique pour l'interface WAN.
    • DHCP : permet d'obtenir automatiquement une adresse IP pour l'interface WAN depuis le serveur DHCP du réseau parent.
    • PPP : permet de connecter directement l'interface WAN à Internet via un modem USB (pour l'Internet mobile) ou un modem classique.
    • PPPoE : idem, mais pour les connexions Internet DSL.
    • PPTP : idem, mais pour les FAI qui nécessitent de s'authentifier via le protocole PPTP.
      Attention : NE peut PAS être utilisé pour se connecter à un serveur VPN.
    • L2TP : idem, mais pour les FAI qui nécessitent le protocole L2TP.
      Attention : NE peut PAS être utilisé pour se connecter à un serveur VPN.
  • IPv6 Configuration Type : permet de choisir le type de configuration IPv6 à utiliser pour l'interface WAN.
    • None : ne pas assigner d'adresse IPv6 à l'interface WAN.
    • Static IPv6 : permet de définir une adresse IPv6 statique pour cette interface.
    • DHCP6 : permet d'obtenir automatiquement une adresse IPv6 pour l'interface WAN depuis le serveur DHCPv6 du réseau parent (si applicable).
    • SLAAC : configuration automatique d'une adresse IPv6 grâce aux annonces de routeur (RA) qui inclut le préfixe et les infos associées.
    • 6rd Tunnel : permet de prend en charge l'IPv6 grâces aux données 6RD fournies par votre FAI pour faire passer le trafic IPv6 dans des paquets IPv4.
    • 6to4 Tunnel : méthode alternative permettant de faire passer du trafic IPv6 via un réseau IPv4.
      La principale différence étant qu'aucun paramètre ne peut être configuré pour cette méthode alternative et que 6 to4 utilise des préfixes et des relais constants.
    • Track Interface : permet d'attribuer des adresses IPv6 déléguées par le FAI grâce à une délégation de préfixe DHCPv6.
  • MAC Address : permet de modifier l'adresse MAC utilisée par l'interface WAN de pfSense.
    Par défaut, l'adresse MAC utilisée sera celle physiquement définie sur la carte réseau associée à cette interface WAN.
  • MTU : permet de modifier la MTU qui est par défaut de 1500 dans la plupart des cas.
    Notez que si l'interface WAN est configurée en PPPoE, la valeur par défaut sera de 1492 octets.
    Si vous souhaitez activer le support des trames Jumbo, vous devrez spécifier une MTU de 9000 octets.
  • MSS : similaire à la MTU, mais ne concerne que la partie "données" des paquets TCP. Donc, la taille des en-têtes n'est pas incluse.
  • Speed and Duplex : permet de définir manuellement la vitesse et le mode de duplex que cette interface réseau devra utiliser.
    Par défaut, ces valeurs seront détectées automatiquement depuis la carte réseau physique assignée à cette interface WAN.

Sources :

Si vous avez choisi "IPv4 Configuration Type : Static IPv4", une section "Static IPv4 Configuration" apparaitra pour vous permettre de configurer les paramètres suivants :

  • IPv4 Address : l'adresse IPv4 statique à assigner à l'interface WAN.
  • IPv4 Upstream gateway : l'adresse IPv4 du routeur parent (par exemple : votre Box).

Si vous avez choisi "IPv4 Configuration Type : DHCP", une section "DHCP Client Configuration" apparaitra pour vous permettre de configurer des paramètres DHCP avancés.
Néanmoins, généralement, rien n'est nécessaire. Excepté si votre FAI vous fournit certains paramètres DHCP requis.

En effet, le but du client DHCP étant de récupérer automatiquement une adresse IP, ainsi que les informations associées (adresse IP de passerelle, serveurs DNS, ...).

Si vous avez choisi "PPP", "PPPoE", "PPTP" ou "L2TP" pour le paramètre "IPv4 Configuration Type", une section supplémentaire "PPP Configuration", "PPPoE Configuration" ou "PPTP/L2TP Configuration" où vous devrez spécifier les paramètres de votre accès Internet fournis par votre FAI.

Pour le paramètre "IPv6 Configuration Type", si vous avez sélectionné le type "Static IPv6", une section "Static IPv6 Configuration" apparaitra et vous permettra de configurer les paramètres suivants :

  • IPv6 address : permet de définir une adresse IPv6 pour cette interface WAN.
  • Use IPv4 connectivity as parent interface : permet d'envoyer la demande DHCPv6 via de l'IPv4.
    Néanmoins, cette configuration n'est utile que si le FAI le demande.
  • IPv6 Upstream gateway : l'adresse IPv6 du routeur parent (par exemple : votre Box).

En bas de page, vous trouverez une section "Reserved Networks" avec 2 paramètres :

  • Block private networks and loopback addresses : activer cette option permet de bloquer le trafic venant d'adresses IP privées (qui devraient donc se trouver uniquement sur un réseau local et non sur Internet) et allant vers l'interface WAN de pfSense.
    Néanmoins, si l'interface WAN de pfSense est connectée à un routeur intermédiaire et non directement à Internet, vous devriez désactiver ce paramètre pour éviter différents problèmes futurs.
  • Block bogon networks : par défaut, cette option est activée. Ce qui permet de bloquer le trafic venant de réseaux qui ne devraient pas exister sur Internet. Ce qui inclut des espaces d'adressages IP réservés et non attribués.
    Le blocage de réseau bogon n'est utile que sur l'interface WAN de pfSense.

Source : Rule Methodology - Block Bogon Networks | pfSense Documentation.

8. Configurer l'interface LAN (connectée au réseau local)

Pour configurer l'interface LAN de pfSense, allez dans le menu : Interfaces -> LAN.

Pour la configuration de l'interface LAN, vous trouverez à nouveau une section "General Configuration" avec les mêmes paramètres que pour l'interface WAN.
Donc, référez-vous aux informations de l'étape précédente de ce tutoriel pour ces paramètres.

A nouveau, si vous sélectionnez "IPv4 Configuration Type : Static IPv4", une section "Static IPv4 Configuration" apparaitra pour vous permettre de configurer :

  • IPv4 Address : l'adresse IPv4 statique à assigner à l'interface LAN.
  • IPv4 Upstream gateway : dans le cas d'une interface LAN, il n'y a pas de passerelle. Donc, sélectionnez toujours "None".

Pour finir, en bas de page, vous retrouverez les mêmes paramètres concernant les réseaux réservés (Reserved Networks).
Néanmoins, dans le cas de l'interface LAN, il est normal d'autoriser le trafic venant d'adresses IP privées, d'adresses IP de bouclage réseau (ex : 127.0.0.1).
De plus, le blocage des réseaux bogon n'est utile que pour l'interface WAN (comme c'est indiqué dans le commentaire de pfSense) et son activation pourrait même bloquer du trafic local nécessaire.

Donc, dans le cas de l'interface LAN, désactivez toujours ces 2 paramètres :

  • Block private networks and loopback addresses
  • Block bogon networks

9. Switches

Pour finir, si vous achetez une des appliances physiques vendues par Netgate (où pfSense est pré-installé), il est possible qu'un menu "Interfaces -> Switches" apparaisse.
Note : ce n'est pas le cas pour tous les modèles.

Pour plus d'informations, référez-vous à la page : Configuring the Switch Ports | Netgate Documentation.

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.