Date de la dernière modification de l’article:

Nous allons voir dans cet article comment installer OpnSense et ensuite prendre la main sur la console d’administration depuis un poste de travail client via un navigateur pour administrer une solution de Pare-Feu très complète dans une infrastructure nécessitant une gestion précise des règles du trafic entrant. ( Cet article aura des liens avec beaucoup d’autres articles car OpnSense propose une utilisation transversale avec l’intégration d’autres services qui feront l’objet d’autres articles prochainement).

Section 1: Installation et configuration d’OpnSense :

A. Installation du système OPNsense :

Démarrez la machine qui va héberger OPNsense. Vous devriez voir une page d’accueil semblable à l’image ci-dessous. L’écran restera visible pendant quelques secondes dans la fenêtre. Laissez le processus se dérouler…

L’image OPNsense sera chargée sur la machine, permettant ainsi au système d’être exécuté en mode « live », c’est-à-dire directement en mémoire de façon temporaire.

Vous accéderez ensuite à une interface similaire à celle ci-dessus. Connectez-vous avec le nom d’utilisateur « installer » et le mot de passe « opnsense ». Attention, le clavier est actuellement en QWERTY. C’est à ce moment que nous commencerons le processus d’installation d’OPNsense.

Un nouvel assistant apparaît à l’écran. La première étape consiste à choisir la disposition du clavier adaptée à votre configuration. Pour un clavier AZERTY, sélectionnez l’option « French (accent keys) » dans la liste, puis validez deux fois.

L’étape suivante consiste à choisir la tâche à réaliser. Dans ce cas, nous allons procéder à une installation en utilisant le système de fichiers ZFS. Sélectionnez l’option « Install (ZFS) » et validez en appuyant sur Entrée.

Choisissez « stripe » car notre machine est équipée d’un seul disque, ce qui ne permet pas de mettre en place une redondance pour sécuriser le stockage du firewall et de ses données. Cette option est particulièrement pertinente lors d’une installation sur une machine physique, afin de se protéger contre une éventuelle panne matérielle d’un disque, selon le principe du RAID.

Sélectionnez le disque virtuel en tapant sur la barre espace, puis vous pourrez sélectionner « OK » et taper sur entrée. (Il vous faudra une capacité de stockage minimale de 8 Go voir 16 Go sur votre disque dur physique pour pouvoir accueillir votre disque virtuel en ZFS).

Vous devrez à présent patienter durant l’installation d’OPNsense… Ce processus nécessitera environ 5 minutes d’attente.

Une fois l’installation terminée, vous pouvez modifier le mot de passe « root » avant de redémarrer. Sélectionnez l’option « Root Password », appuyez sur Entrée et saisissez le nouveau mot de passe « root » à deux reprises.

Maintenant, sélectionnez « Complete Install » et appuyez sur Entrée. N’oubliez pas d’éjecter le disque du lecteur DVD ou supprimer le live ISO de la VM. Dans les paramètres de la VM, vous pouvez également définir le disque comme premier périphérique de démarrage.

La machine virtuelle va redémarrer et charger le système OPNsense à partir du disque suite à l’installation. Connectez-vous à la console avec le compte « root » et votre nouveau mot de passe (à défaut de ne pas en avoir défini dans l’étape précédente, le mot de passe par défaut restera « opnsense ».

B. Association des interfaces réseau :

Vous arriverez sur l’écran ci-dessous. Sélectionnez l’option « 1 » et appuyez sur Entrée pour lier les cartes réseaux de la machine aux interfaces d’OPNsense.

Tout d’abord, l’assistant vous proposera de configurer des LAGGs et des VLANs. Indiquez « n » pour refuser pour les deux, puis validez chaque réponse en appuyant sur Entrée. Ensuite, vous devrez assigner les quatres interfaces (ou le nombre d’interface disponibles selon votre configuration matérielle) : « vmx2 » pour ma part concerne le WAN, « vmx1 » concerne le LAN, « vmx3 » correspond au SRV, et la dernière interface sera affectée à la DMZ.

Vous vous demandez sûrement comment je suis parvenu à lier mes cartes réseau à mes interfaces ? Voici la solution :

Dans mon interface Opennebula *, dans la catégorie « Réseau », il est possible de voir les cartes réseau que j’ai attachées à ma VM, et en prenant les quatres dernières valeurs hexadécimales de chaque adresses MAC des mes cartes réseau, je peux parvenir de cette manière à identifier à quelle interface je dois joindre quelle carte réseau dans OpnSense.

Exemple : Réseau: vlan-WAN-CCI53 – 4 dernières valeurs MAC: [:b6:9e]

dans Opnsense : vmx2 = adresse MAC contenant les 4 dernières valeurs MAC: [:b6:9e]

Vous devrez suivre cette procédure pour chaque carte réseau disponible que vous souhaiterez joindre à votre Pare-Feu Opnsense pour les lier à une interface.

* OpenNebula est une plateforme open-source de gestion de cloud computing qui permet de créer et de gérer des infrastructures cloud privées, publiques ou hybrides. Elle permet de virtualiser des ressources physiques comme les serveurs, le stockage et les réseaux, et de les organiser en tant que services cloud accessibles via des interfaces simples.

A présent nous avons :

tapez « y », puis appuyez sur entrée si les modifications vous conviennent.

L’interface LAN est associée à la carte réseau « vmx1 » et utilise l’adresse IP par défaut d’OPNsense, soit 192.168.1.1/24.
L’interface WAN est associée à la carte réseau « vmx2 » et obtient son adresse IP via DHCP sur le réseau local, grâce à notre commutateur virtuel externe.

Par défaut, l’interface d’administration d’OPNsense est accessible uniquement depuis l’interface LAN, pour des raisons de sécurité. Vous devez donc vous connecter à l’interface LAN du pare-feu pour effectuer l’administration via un poste client étant sur le même réseau local que votre interface LAN du pare-feu. Si cela n’est pas possible, sachez qu’il est également possible d’administrer temporairement OPNsense depuis le WAN, mais cela nécessite de désactiver la fonction de pare-feu.

Pour ce faire, basculez en mode shell en choisissant l’option « 8 » dans l’interface du début et exécutez la commande suivante :

pfctl -d

C. Assignation des adresses IP & renommage des Interfaces:

Sur l’interface du début, vous allez pouvoir accéder à la configuration des adresses IP et au renommage de vos interfaces en tapant « 2 » pour sélectionner la deuxième option.

Vous allez pouvoir choisir l’interface que vous souhaitez configurer selon le n° qui lui est attribué.

Pour ma part, je vais modifier l’adresse IP du LAN en lui attribuant une adresse IP statique avec une Gateway se terminant en « X.X.X.254 » à l’instar de l’adresse IP d’administration d’un routeur et je vais lui attribuer un masque de sous-réseau en /24 (sachez que vous pouvez mettre un masque CIDR*)

*CIDR (Classless Inter-Domain Routing) est une méthode de notation utilisée pour spécifier les adresses IP et leurs plages de sous-réseaux. Au lieu d’utiliser la notation traditionnelle des classes (A, B, C), le CIDR permet de définir plus précisément le nombre de bits utilisés pour l’adresse réseau.

Dites non à tous les champs qui parlent de configuration IPv6 en tapant « n » si vous ne désirez pas attribuer d’adresse IPv6 à votre interface et tapez entrée.
Ensuite, tapez « n » si vous ne désirez pas que votre interface ait une adresse IP dynamique DHCP, puis, tapez « n » pour les champs qui concernent l’interface graphique d’Opnsense si vous ne désirez pas activer le protocole https qui est déconseillé pour des raisons de sécurité ainsi que la génération auto-signé de certificats.

Tapez « y » si vous voulez en revanche réinitialiser les identifiants de connexion sur l’interface d’aministration graphique Opnsense. ( Par défaut, identifiant: root , mot de passe : opnsense).

Section 2: Gestion & Administration d’OpnSense via la console d’administration depuis un poste client :

Vous allez devoir aller dans: Panneau de Configuration > Réseau & Internet > Centre Réseau & Partage > [LeNomdevotreInterfacePrincipale] > Propriétés > Protocole Internet Version 4 pour configurer l’interface réseau de votre PC client pour le mettre sur le même réseau local que votre Pare-Feu Opnsense.

  • Dans adresse IP : mettez une adresse identique à celle de votre Pare-feu sauf dans la partie hôte de votre adresse IP où vous allez mettre 10 par exemple, ce qui forcera ce poste client à utiliser une IP fixe pour rendre plus facile l’accès entre votre PC client et la partie serveur d’Opnsense.
  • Dans Masque de sous-réseau: mettez le sous-réseau en fonction du sous-réseau que vous avez défini pour votre interface LAN. Pour ma part, j’ai mis un sous-réseau en /24 donc 255.255.255.0.
  • Dans Passerelle par défaut: mettez l’adresse IP de votre interface LAN.

Ensuite faites « OK » deux fois pour valider les modifications et rendez-vous sur votre navigateur.

L’interface d’administration d’OPNsense est accessible en HTTPS, via l’adresse IP de l’interface LAN (ou éventuellement celle de l’interface WAN). En accédant à cette adresse depuis votre navigateur, vous arriverez sur une page de connexion.

Récupérez l’URL pour le mettre en onglet dans votre barre de favoris d’onglets et ensuite connectez-vous avec le compte « root » et le mot de passe que vous avez défini précédemment.

Une fois connecté, vous devriez vous trouver sur le tableau de bord d’Opnsense qui centralise toutes les information de monitoring des votre/vos interface(s) réseau.

Allez dans « /System/Système », puis dans « Settings/Paramètres ».

Dans « Settings/Paramètres » vous allez pouvoir choisir le sous-paramètre « Général » pour définir le nom de domaine auquel votre Pare-Feu est associé, par défaut, le nom de domaine est en « localhost ».

Vous pourrez définir le fuseau horaire, la langue de l’interface et cocher la case pour que votre Pare-feu utilise plutôt des adresses IPv4 plutôt que IPv6.

Dans le paramètre interface > Overview, vous allez pouvoir définir le nom de votre interface si comme moi le nom par défaut de l’une votre interface ne vous semble pas parlant en définissant le nom dans le champs « Description ».

Un assistant pour effectuer la configuration de base est disponible en allant sur le paramètre « Wizard ». Vous pourrez accéder à ces paramètres de base en cliquant sur « Next ».

Vous arrivez sur la page ci-dessous, nous allons voir comment définir le nom d’hôte, le nom de domaine, le(s) serveur(s) DNS à utiliser pour la résolution de noms. Le fait de conserver l’option « Enable Resolver » permettra d’utiliser le firewall en tant que résolveur DNS, ce qui sera utile pour les machines de notre LAN virtuel.

Dans ce bloc d’options, vous allez pouvoir définir l’adresse primaire du fournisseur de résolveur de DNS que vous souhaitez utiliser, pour ma part, j’utilise le résolveur de Quad9. Vous pouvez également définir un nom de domaine pour associer votre OpnSense à votre AD (Active Directory) ainsi qu’au serveur DNS de votre AD si ce service à été configuré correctement.

Ensuite, en descendant plus bas dans la fenêtre, vous allez pouvoir cocher l’option « Enable Resolver« . Faites « Next » pour valider les modifications.

L’étape suivante de l’assistant va vous proposer de définir le Time Server de votre Pare-Feu selon votre position géographique pour mettre à jour la synchronisation des différentes horloges des services de votre infra sous le même giron que celui de votre OpnSense avec un service NTP.

je ne vais pas m’attarder sur toutes les modifications de l’assistant mais sachez qu’il vous proposera de configurer votre interface LAN et votre interface WAN si il y aurait des paramètres à changer par rapport à la configuration que nous avons fait directement depuis l’interface CLI de notre OpnSense ainsi que le changement du mot de passe de l’administrateur « root ».

Nous voilà avec une configuration initiale de notre OpnSense terminée.

– Article Connexe : https://stevepouruportfolio.fr/configuration-du-nat-regles-de-firewall-alias-sur-opnsense/

Steve
Author: Steve