Télécharger et installer pfSense CE 2.6 sous VMware Workstation Pro

6. Configurer l'adresse IP des interfaces WAN et LAN de pfSense

6.1. Configurer l'adresse IP LAN de pfSense

Pour commencer, nous allons configurer l'adresse IP de l'interface LAN de pfSense.
Pour cela, choisissez l'option "2) Set interface(s) IP address" de ce menu.

Choisissez l'interface LAN en tapant le chiffre 2.

Plain Text

Available interfaces:

1 - WAN (vmx0 - dhcp, dhcp6)
2 - LAN (vmx1 - static)

Enter the number of the interface you wish to configure: 2

Indiquez l'adresse IP LAN statique à définir pour pfSense.
Dans notre cas, nous utiliserons l'adresse IP LAN "10.0.0.1" (qui est une adresse IP utilisée par défaut pour les routeurs sur un réseau 10.x.x.x).

Attention : il est important que le serveur DHCP de pfSense ne distribue pas cette adresse IP pour ne pas créer de conflit d'adresse IP sur ce réseau LAN.
D'où l'utilité également d'utiliser le 1er chiffre ou le dernier chiffre possible pour ce sous-réseau.

Plain Text

Enter the new LAN IPv4 address. Press <ENTER> for none:
> 10.0.0.1

Indiquez le masque de sous-réseau à utiliser (en notation CIDR) dont les valeurs courantes sont affichées ci-dessous.
Exemples courants : 2555.255.255.0 (24) pour le réseau 192.168.1.x ou 2555.0.0.0 (8) pour le réseau 10.x.x.x.

Plain Text

Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8

Enter the new LAN IPv4 subnet bit count (1 to 32):
> 8

Comme indiqué par pfSense, pour le réseau LAN, il faut laisser cette valeur vide.
Donc, appuyez simplement sur Enter.

Dans notre cas, nous n'utiliserons pas l'IPv6
Donc, appuyez simplement sur Enter.

Plain Text

Enter the new LAN IPv6 address. Press <ENTER> for none:
> 

Activez le serveur DHCP de pfSense pour que celui-ci puisse distribuer des adresses IP sur le réseau LAN.
Pour cela, répondez "y" à la question "Do you want to enable the DHCP server on LAN? (y/n)".

Ensuite, définissez une plage d'adresse IP que pfSense pourra distribuer, mais évitez de créer une plage trop grande pour éviter un bug.
Dans notre cas, nous avons défini la plage d'adresses IP "10.0.0.10" à "10.0.0.254" pour pouvoir définir des adresses IP statiques sur des serveurs (entre 10.0.0.2 et 10.0.0.9 incluses) et ne pas créer de conflit avec l'adresse de broadcast terminant par ".255".

Plain Text

Enter the start address of the IPv4 client address range: 10.0.0.10
Enter the end address of the IPv4 client address range: 10.0.0.254
Disabling IPv6 DHCPD...

pfSense vous demandera ensuite si vous souhaitez réactiver l'accès HTTP à sont interface web (si vous répondez "y") ou si vous souhaitez conservé l'accès uniquement HTTPS (si vous répondez "n") à celle-ci.
Dans notre cas, nous avons répondu "n".

Note : la réactivation de l'accès HTTP pour l'interface web est utile uniquement si la version HTTPS ne fonctionne plus (à cause d'un problème de configuration au niveau des certificats utilisés, par exemple).

Source : Do you want to revert to HTTP as the webconfigurator protocol? y/n | Netgate Forum.

Plain Text

Do you want to revert to HTTP as the webConfigurator protocol? (y/n) n

L'adresse de l'interface web de pfSense apparait.
Appuyez sur Enter.

Plain Text

Please wait while the changes are saved to LAN...
Reload filter...
Reloading routing configuration...
DHCPD...

The IPv4 LAN address has been set to 10.0.0.1/8
You can now access the webConfigurator by opening the following URL in your web browser:
https://10.0.0.1/

Press <ENTER> to continue.

Comme vous pouvez le voir, l'adresse IP de l'interface LAN a bien été modifiée.
Notez que, par défaut, l'interface web de pfSense est accessible uniquement depuis l'interface LAN et non depuis l'interface WAN pour des raisons de sécurité.
Ce qui correspond au comportement d'un routeur habituel.

6.2. Configurer l'adresse IP WAN de pfSense

Pour configurer l'adresse IP WAN de pfSense, utilisez à nouveau l'option "2) Set interface(s) IP address".

Néanmoins, cette fois-ci, indiquez 1 pour sélectionner l'interface WAN.

Pour éviter que pfSense ne change d'adresse IP sur le réseau WAN, nous allons lui définir une adresse IP statique.
Pour cela, répondez "n" à la question ci-dessous.

Plain Text

Configure IPv4 address WAN interface via DHCP? (y/n) n

Indiquez l'adresse IP WAN à utiliser pour pfSense.
Dans notre cas "192.168.1.10", car le routeur de notre réseau physique possède l'adresse IP "192.168.1.1".

Sélectionnez le sous-réseau correspondant en indiquant sa notation CIDR.
Donc, dans notre cas, 24 pour utiliser le masque de sous-réseau "255.255.255.0" (qui correspond au réseau "192.168.1.x").

Pour le réseau WAN, indiquez l'adresse IP du routeur parent s'il y en a un.
Dans notre cas, le routeur de notre réseau physique possède l'adresse IP "192.168.1.1".
En général, il s'agit de l'adresse IP de votre Box (fournie par votre FAI).

Plain Text

For a WAN, enter the new WAN IPv4 upstream gateway address.
For a LAN, press <ENTER> for none:
> 192.168.1.1

Comme dit précédemment, notre cas, nous n'utiliserons pas l'IPv6, donc répondez "n" à la question ci-dessous pour désactiver l'obtention d'une adresse IPv6 depuis le serveur DHCPv6 (si applicable) du réseau parent pour l'interface WAN de pfSense.

Plain Text

Configure IPv6 address WAN interface via DHCP6? (y/n) n

Etant donné que vous refusez l'obtention automatique d'une adresse IPv6 depuis le serveur DHCPv6 du réseau parent, pfSense vous propose de la définir manuellement.
Laissez vide et appuyez simplement sur Enter pour désactiver l'IPv6.

Plain Text

Enter the new WAN IPv6 address. Press <ENTER> for none:
>
Disabling IPv4 DHCPD...
Disabling IPv6 DHCPD...

A nouveau, pfSense vous demande si vous souhaitez restaurer l'accès HTTP pour son interface web.

• Répondez "y" pour pouvoir accéder à l'interface web de pfSense via le protocole HTTP (non sécurisé).
• Répondez "n" pour pouvoir accéder à l'interface web de pfSense uniquement via le protocole HTTPS (sécurisé).

De préférence, répondez "n" pour des raisons de sécurité.

La nouvelle adresse IP WAN de pfSense apparait.
Appuyez sur Enter pour retourner au menu principal.

Plain Text

Please wait while the changes are saved to WAN...
Reloading filter...
Reloading routing configuration...
DHCPD...

The IPv4 WAN address has been set to 192.168.1.10/24.

Press <ENTER> to continue.

L'adresse IP WAN a bien été changée et l'adresse IPv6 a disparu (si applicable) étant donné que nous n'avons pas configuré l'IPv6.

7. Connecter un PC client au réseau LAN de pfSense

Pour ce tutoriel, nous avons installé une nouvelle machine virtuelle sous Windows 10.
Pour connecter cette machine virtuelle au réseau LAN de pfSense, allez dans les paramètres de celle-ci en cliquant sur "Edit virtual machine settings" (si celle-ci est éteinte).
Sinon, passez par le menu "VM -> Settings".

Ensuite, sélectionnez la carte réseau virtuelle (Network Adapter) de cette machine virtuelle et sélectionnez le réseau "Custom : pfSense LAN".

8. Configuration initiale de pfSense via l'interface web

Pour le moment, il est possible que votre machine virtuelle cliente (dans notre cas, notre machine virtuelle sous Windows 10) n'ait pas accès à Internet pour le moment.

Depuis cette machine cliente, accédez à l'interface web de pfSense en utilisant l'adresse IP LAN de pfSense.
Ce qui donne dans notre cas : "https://10.0.0.1/".

Comme avec n'importe quelle interface web utilisant le protocole HTTPS, par défaut, un certificat auto-signé est utilisé.
D'où l'affichage de cet avertissement de sécurité.
Ignorez-le pour accéder à l'interface web de pfSense.

Connectez-vous en tant qu'admin avec les identifiants par défaut de pfSense : admin / pfsense.

Source : Default Username and Password | pfSense Documentation.

Lorsque vous accédez pour la 1ère fois à l'interface web de pfSense, un assistant de configuration "pfSense Setup" apparaitra.
Cliquez sur Next.

Comme vous pouvez le voir à l'étape "1. Netgate Global Support is available 24/7", Netgate propose un support 24/7 payant pour pfSense si vous le souhaitez.
Mais cela nécessite un plan d'abonnement correspondant à la taille et aux pré-requis de votre environnement.

A l'étape "2. General Information", vous pourrez configurer :

• Hostname : le nom d'hôte de votre machine pfSense.
• Domain : le domaine utilisé sur votre réseau.
  Ce qui est pratique lorsque vous possédez une infrastructure Active Directory ou simplement un serveur DNS local pour gérer des noms de domaines locaux.
• Primary DNS Server : serveur DNS principal utilisé par pfSense.
• Secondary DNS Server : serveur DNS secondaire utilisé par pfSense (facultatif).
• Override DNS : si activé, cela permet d'utiliser les serveurs DNS reçus depuis le serveur DHCP du réseau WAN.
  Ce qui correspond aux serveurs DNS de votre FAI si pfSense est connecté directement à Internet et non via un routeur intermédiaire.
  Si désactivé, pfSense utilisera les serveurs DNS indiqués manuellement ici.

Attention : par défaut, le résolveur DNS de pfSense ignorera les serveurs DNS configurés ici pour les demandes des PCs clients.
Autrement dit, par défaut, seule votre machine virtuelle pfSense utilisera ces serveurs DNS.
Si vous souhaitez que les clients utilisent aussi ces serveurs DNS, vous devrez activer la redirection des requêtes DNS via le menu "Services -> DNS Resolver".

A l'étape "3. Time Server Information", vous pourrez configurer :

• Time server hostname : le serveur de temps (NTP) à utiliser pour synchroniser l'heure de pfSense depuis celui-ci.
  Ce qui est nécessaire pour que les opérations d'authentification fonctionnent correctement.
• Timezone : le fuseau horaire à utiliser.
  Par exemple : "Europe/Brussels" (pour la Belgique) ou "Europe/Paris" (pour la France).

A l'étape "4. Configure WAN Interface", vous pourrez configurer :

• Configure WAN Interface - SelectedType : permet de sélectionner comment configurer l'interface WAN de pfSense.
  • Static : définir une adresse IP statique pour l'interface WAN de pfSense.
  • DHCP : utiliser une adresse IP WAN obtenue depuis le serveur DHCP du réseau parent (WAN).
  • PPPoE : connecter pfSense directement à Internet via une connexion ADSL / VDSL (ou similaire) grâce aux paramètres PPPoE fournis par le FAI.
  • PPTP : connecter pfSense directement à Internet pour les FAI (fournisseurs d'accès à Internet) qui requièrent une connexion via le protocole PPTP.
    Idem : paramètres fournis par le FAI.
    Attention : ce type de configuration NE peut PAS être utilisé pour connecter l'interface WAN à un VPN via le protocole PPTP.
• General configuration : paramètres généraux pour l'interface WAN de pfSense.
  • MAC Address : permet de modifier l'adresse MAC de l'interface WAN de pfSense.
  • MTU : définit la taille maximum d'une trame réseau.
    Par défaut, une valeur de 1492 octets sera utilisée si l'interface WAN est configurée en "PPPoE".
    Sinon, la valeur par défaut (standard) de 1500 octets sera utilisée.
    Si vous souhaitez activer les trames Jumbo, alors vous utiliserez une trame de 9000 octets.
  • MSS : similaire à la MTU, sauf que cette taille ne concerne que les données (réellement utiles) du paquet TCP.
    Autrement dit, le MSS ne comprend pas les en-têtes de la trame envoyée sur le réseau.
    Les tailles utilisées par défaut sont les mêmes que pour la MTU.

Si vous avez sélectionné "Static" pour le type d'interface WAN (en haut de page), vous pourrez définir une adresse IP statique pour l'interface WAN de pfSense dans la section "Static IP Configuration".
Bien qu'on l'ait déjà fait depuis la console de pfSense, dans notre cas.

• IP Address : l'adresse IP statique à assigner à l'interface WAN de pfSense.
  Dans notre cas : 192.168.1.10.
• Subnet Mask : le sous-réseau associé (au format CIDR) à utiliser.
  Pour rappel, les valeurs courantes sont : 24 (= 255.255.255.0) et 8 (= 255.0.0.0).
• Upstream Gateway : l'adresse IP du routeur parent.
  Dans notre cas, l'adresse IP de notre Box est : 192.168.1.1.

Si vous avez sélectionné "DHCP" pour le type d'interface WAN, vous pourrez configurer l'option DHCP disponible dans la section "DHCP client configuration".
Cette valeur de cette option "DHCP Hostname" sera envoyée avec la requête DHCP et est demandée par certains FAI.

Si vous avez sélectionné "PPPoE" pour le type d'interface WAN, vous pourrez indiquer les paramètres PPPoE de votre connexion Internet dans la section "PPPoE Configuration".

• PPPoE Username : le nom d'utilisateur PPPoE pour votre connexion Internet
• PPPoE Password : son mot de passe.
• Show PPPoE password : cochez la case "Reveal password characters" pour afficher le mot de passe clairement plutôt qu'avec des astérisques.
• PPPoE Service name : le nom de service PPPoE (requis par certains FAI).
• PPPoE Dial on demand : cochez la case "Enable Dial-On-Demand mode" pour que la connexion PPPoE soit établie uniquement lorsqu'un accès à Internet est requis. Ce qui est utile si vous avez un quota Internet très limité.
• PPPoE Idle timeout : si vous utilisez la connexion à la demande (via l'option ci-dessus), cela permet de définir le délai pendant lequel la connexion reste établie même lorsqu'il n'y a pas de données qui transitent vers ou depuis Internet.

Note : ces paramètres PPPoE sont fournis par votre FAI.

Si vous avez sélectionné "PPTP" pour le type d'interface WAN, vous pourrez indiquer les paramètres PPTP de votre connexion Internet dans la section "PPTP Configuration".

Important : comme indiqué dans la documentation officielle de pfSense, ceci permet uniquement de se connecter à Internet en utilisant les paramètres PPTP fournis par votre FAI.
Cela ne permet pas de se connecter à un serveur VPN utilisant le protocole PPTP.

• PPTP Username : le nom d'utilisateur PPTP fourni par votre FAI.
• PPTP Password : son mot de passe.
• Show PPTP password : cocher la case "Reveal password characters" permet d'afficher le mot de passe tapé plutôt que de le masquer avec des astérisques.
• PPTP Local IP Address : l'adresse IP locale que pfSense utilisera pour se connecter en PPTP.
• pptplocalsubnet : le masque de sous-réseau (au format CIDR) à utiliser.
• PPTP Remote IP Address : l'adresse IP du serveur PPTP de votre FAI.
• PPTP Dial on demand : cocher la case "Enable Dial-On-Demand mode" vous permettra d'établir la connexion PPTP uniquement lorsqu'un accès à Internet est requis.
• PPTP Idle timeout : dans le cas où la connexion à la demande est activée via l'option ci-dessus, spécifie le délai pendant lequel la connexion PPTP restera établie, même si aucune donnée ne transite avec Internet.

En bas de la page, vous trouverez 2 options pour bloquer différents types de réseau :

• Block RFC 1918 Private Networks : bloque les connexions établies depuis des réseaux privés (ex : 192.168.x.x ou 10.x.x.x) vers l'interface WAN.
  En effet, par défaut, seules les adresses IP Internet devraient communiquer avec l'interface WAN de pfSense si pfSense est connecté directement à Internet (= sans routeur intermédiaire).
• Block bogon networks : bloque les connexions depuis des réseaux qui ne devraient pas exister sur Internet, ce qui inclut des espaces d'adressages IP réservés et non attribués.
  Le blocage de ces réseaux bogon est utile uniquement sur l'interface WAN pour vous protéger contre des attaques et 2 listes (une liste IPv4 et une liste IPv6) sont utilisées et mises à jour chaque 1er du mois depuis le serveur de Netgate (le fabricant de pfSense).

Source : Rule Methodology - Block Bogon Networks | pfSense Documentation.

Ensuite, à l'étape "5. Configure LAN Interface", vous pourrez configurer l'interface LAN de pfSense.

• LAN IP Address : pour utiliser une adresse IP statique sur cette interface LAN, indiquer l'adresse IP LAN à utiliser.
  Dans notre cas, elle est déjà définie étant donné que nous l'avons configurée précédemment via la console de pfSense.
  Si vous souhaitez utiliser une adresse IP dynamique, ce qui fortement déconseillé étant donné qu'il s'agit de l'adresse IP de passerelle par défaut que vos clients utiliseront, tapez "dhcp".
• Subnet Mask : le masque de sous-réseau à utiliser (au format CIDR).
  Rappel : 8 pour 255.0.0.0 ou 24 pour 255.255.255.0 pour les exemples les plus courants.

Comme vous le voyez depuis le début en haut de page, pfSense vous indique que le mot de passe du compte "admin" est toujours celui par défaut et il vous invite à le changer.
Ce qui est fortement recommandé.

A l'étape "6. Set Admin WebGUI Password", vous pourrez configurer changer le mot de passe de ce compte "admin" :

• Admin Password : le nouveau mot de passe à utiliser.
• Admin Password AGAIN : tapez à nouveau le nouveau mot de passe à utiliser.

Comme pfSense vous l'indique, ce compte "admin" peut être utilisé pour vous connecter à l'interface web de pfSense, mais aussi en SSH (si ce service est activé dans la configuration de pfSense).

A l'étape "7. Reload configuration", cliquez sur "Reload" pour que la nouvelle configuration soit utilisée par pfSense.

A l'étape "8. Reload in progress", patientez simplement pendant l'application de la nouvelle configuration.

Une fois la configuration de pfSense mise à jour, l'étape "9. Wizard completed" apparaitra avec le message "Congratulations! pfSense is now configured".

Pour plus d'informations concernant les étapes de configuration de pfSense que vous venez de voir, référez-vous à la page : Setup Wizard | pfSense Documentation.

Acceptez la notice qui apparait.

Cliquez sur Close.

Ensuite, le dashboard de pfSense apparaitra avec des informations système dans la section "System Information" :

• Name : le nom d'hôte de la machine pfSense, suivi du nom de domaine de votre réseau indiqués lors de la configuration de pfSense via l'interface web.
• User : le nom d'utilisateur avec lequel vous êtes connecté (par défaut : admin), ainsi que l'adresse IP depuis laquelle vous accédez à cette interface web (dans notre cas, l'adresse IP "10.0.0.10" qui correspond à l'adresse IP de notre PC client sous Windows 10).
• System :
  • marque et modèle de l'ordinateur ou serveur sur lequel est installé pfSense.
    Dans notre cas, il s'agit d'une machine virtuelle VMare : VMware Virtual Machine.
  • Netgate Device ID : l'identifiant Netgate de votre périphérique dont vous aurez besoin si vous souhaitez contacter le support (payant) de Netgate.
• BIOS : nom du fabricant, version et date de publication du BIOS utilisé par votre carte mère.
• Version : version de pfSense installée, ainsi que si celle-ci est à jour ou non.
• DNS server(s) : adresses IP des serveurs DNS utilisés par pfSense.
  Pour rappel, par défaut, seul pfSense les utilise. Pas les clients de votre réseau.
  Pour cela, il faut aussi activer la redirection des requêtes DNS via le menu "Services -> DNS Resolver".

Dans la section "Interfaces", vous trouverez la liste des interfaces de pfSense :

• WAN : l'interface connectée à Internet (de façon directe ou via un routeur intermédiaire) avec son ou ses adresses IP.
• LAN : l'interface connectée au réseau local (LAN) avec son ou ses adresses IP. Autrement dit, le réseau auquel vous connecterez vos machines clientes.