« Pfsense » : différence entre les versions

Voir pfSense dans la page https://github.com/firehol/netdata/wiki/Installation

Nouveautés de pfSense 2.1 en français :

• http://www.amassi-network.com/306-fonctionalit%C3%A9-%C3%A0-venir-de-pfsense-2-1.html

Superviser avec Grafana

• https://grafana.com/grafana/dashboards/9937
• https://grafana.com/grafana/dashboards/9806
• https://grafana.com/grafana/dashboards/5438

L'idée est d'avoir un pfSense sans disque dur, complètement silencieux, et capable de gérer deux connexions réseau au moins (et en fait plus avec les ports USB).

Je me suis donc rabattu sur une offre eBay pour un boitier Neoware. Celle-ci comprend le boitier, une carte réseau additionnelle avec deux ports Ethernet, 512 Mo de RAM et un carte mémoire de 32 Mo. http://www.singletone.com/neowareCA22.php

J'ai donc remplacé la RAM pour la passer à 1 Go, et acheté une nouvelle carte mémoire de 32 Go, celle de 32 Mo étant vraiment insuffisante (1000 fois plus petite), car elle ne contenait que la version NanoBSD de pfSense, ce qui interdisait les mises à jour et les packages additionnels indispensables. Ici sur Amazon : http://www.amazon.com/KingSpec-KDM-44HS-4-032GMS-Series-Vertical-Socket/dp/B00MC8O158/ref=pd_sim_sbs_pc_1?ie=UTF8&refRID=1X17DVZTTB3T02E20B1N

Ensuite, avec une clé contenant une version complète de pfSense insérée dans un port USB, j'ai démarré le boitier NeoWare en appuyant sur la touche F12 afin de choisir le port USD-HDD en lieu et place du disque interne. Toute l'installation de pfSense s'est déroulée de façon normale, la carte mémoire étant reconnue sans problème. https://doc.pfsense.org/index.php/Installing_pfSense#Embedded

Seul hic, au redémarrage, un message de "boot failure" signale que le disque n'est pas utilisable.

Après de longues recherches, j'ai trouvé le document suivant qui donne la solution : http://www.singletone.com/pfSense/pfSenseOnCA22.pdf : "You will have to set the CF device (HDD0) to LBA mode in order for the unit to boot.". Il faut alors rentrer dans le BIOS (touche DEL ou SUPPR au démarrage du Neoware) et modifier ce paramètre. pfSense démarre alors sans aucun problème sur la carte mémoire.

pfSense propose en standard une base d'authentification basique, qui peut toutefois accepter la création des certifcats. Mais il est aussi possible d'utiliser un serveur Radius via le biais de l'extension "FreeRadius", et mieux encore, d'utiliser un serveur LDAP.

J'ai donc utilisé le serveur LDAP de mon NAS (QNAP ou SYNOLOGY), et crée des comptes utilisateurs sur ce dernier.

1. Sur le NAS, activer le serveur LDAP si ce n'est pas déjà fait. Définir un mot de passe pour le serveur, et créer au moins un compte. (QNAP, SYNOLOGY)
2. Se connecter à pfSense
3. Aller dans le menu "System > Users > Servers"
4. Créer un nom de serveur ("LDAP du NAS" par exemple), puis saisir le type LDAP, l'adresse IP du serveur LDAP (celle du NAS par exemple), le scope tel qu'il est défini sur le serveur NAS, et cliquer sur le bouton "Select". Activer uniquement l'option permettant l'authentification des personnes.
5. Ne rien modifier d'autre, et cliquer sur le bouton "Save".
6. Dans le menu "Diagnostics > Authentification", tester que l'authentification fonctionne bien avec le compte crée sur le serveur crée. Si tout est OK, on continue, sinon revoir les étapes précédentes.
7. Dans le menu "VPN", sélectionner "OpenVPN"
8. Cliquer sur l'onglet "Wizards" pour créer un nouveau VPN avec les paramètres suivants :
   1. Type of server : LDAP
   2. LDAP Servers : Sélectionner le libellé du serveur qui vient d'être crée. A noter qu'il est possible de créer un LDAP à cette étape, mais comme il n'aurait pas été possible de le tester...
   3. Certificate Authority: Celui crée pour le serveur
   4. Certificate: Celui du serveur (pas celui d'un utilisateur)
   5. TLS Authentication: Enable authentication of TLS packets.
   6. Generate TLS Key: Automatically generate a shared TLS authentication key
   7. Le reste est crée comme d'habitude pour un tunnel OpenVPN
   8. Cliquer sur le bouton "Next'"""
   9. Laisser actives les deux boites à cocher afin de modifier le parefeu :
      • Firewall Rule
      • OpenVPN rule
   10. Cliquer sur le bouton "Next'""" puis sur le bouton "Finish"
9. Editer la configuration créée en cliquant sur le "e"
   1. Modifier le paramètre "Server Mode" et saisir "Remote Access (SSL/TLS + User Auth)"
   2. Saisir une description et modifier éventuellement d'autres paramètres voulus.
10. Maintenant, utiliser l'extension "OpenVPn Client Export" pour générer une archive pour votre machine cliente.
    1. Attention à bien sélectionner le Remote Access Server que vous venez de créer
    2. Saisir "Use TLS-Remote and quote the server CN" sur le paramètre Verify Server CN

Je me suis attelé à la traduction de l'interface. Ce n'est pas facile, car l'interface en anglais ne prévoit que rarement des libellés plus longs que ceux de la langue anglaise... Bref, c'est pas terrible, il faut revoir souvent la copie, et comme il y a plus de 5500 objets à traduire !!!

• https://forum.pfsense.org/index.php?topic=54421.msg292031#msg292031

Voici une sélection de liens qui traitent de certains points avancés de l'utilisation de pfSense

• Liste de queqlues tutoriels : http://www.it-connect.fr/?s=pfsense
• Installer un IDS sur pfSense : http://hubpages.com/hub/How-to-Set-Up-an-Intrusion-Detection-System-Using-Snort-on-pfSense-20
• Installer un serveur Radius sur pfSense : http://hubpages.com/hub/How-to-Set-Up-a-Radius-Server-on-pfSense-Using-the-FreeRadius-Package