Mise en place d'un serveur Opnsense


Une relecture est en cours. Fiche non validée !


Généralités

OPNsense: logiciel de routage et de pare-feu basé sur FreeBSD .

Récupération de l'image d'OPNSense

On commence par récupérer l’ISO disponible sur leur site officiel afin de pouvoir installer OPNsense. Pour ma part, j’ai pris la version DVD étant donné que je vais l’installer sur une VM, mais voici a quoi correspondent les autres images :

DVD: image de l’installateur ISO avec les capacités du système actif s’exécutant en mode VGA. Sur amd64, le démarrage UEFI est également pris en charge.

VGA: image du programme d’installation USB avec les capacités du système actif s’exécutant en mode VGA en tant qu’initialisation GPT. Sur amd64, le démarrage UEFI est également pris en charge.

SÉRIE : image du programme d’installation USB avec les capacités du système actif s’exécutant en mode console série (115200) en tant que démarrage MBR.

NANO: une image série pré-installée pour les clés USB, les cartes SD ou CF en tant que démarrage MBR. Ces images sont de taille 3G et s’adaptent automatiquement à la taille du support installé après le premier démarrage.

PS: Vous devrez peut-être "décompresser" le fichier téléchargé, si il est sous format "*.bz2,*.tgz,*.zip"

Installation d'OPNsense

Booter sur votre image d’OPNsense et connectez-vous avec le login « root » et le mot de passe par défaut « opnsense » .
Bien, à présent OPNsense est lancé, mais n’est pas installé. En effet, il démarre sur votre support d’installation pour l’instant.
Taper « 8 » pour lancer une console et valider.

image Capture1.png (18.6kB)

Entrer opnsense-installer pour installer OPNsense sur votre machine et valider.
PS: Vous pouvez aussi passez directement à l'installtion en vous identifiant en tant que "installer".
login: installer mdp: opnsense

image Capture2.png (17.6kB)

Régler vos paramètres de clavier et d’affichage, puis valider.

image Capture3.png (10.7kB)

Sélectionner la partition sur laquelle vous souhaitez installer OPNsense et valider.

image Capture4.png (12.9kB)

Sélectionner le mode d’installation : GPT/UEFI est recommandé et valider.

image Capture5.png (10.4kB)

Une fois l’installation terminée, cliquer sur « Reboot » afin de redémarrer. Une fois votre machine redémarrée, vous pouvez retirer votre support d’installation.

OPNsense est maintenant installé.

image Capture6.png (10.5kB)

Configuration de base d'OPNsense


Maintenant qu’OPNsense est installé, il ne reste plus qu’à faire une configuration de base pour pouvoir accéder à l’interface web. Par défaut OPNsense crée une interface LAN en 192.168.1.1/24.

Taper 1 pour assigner vos interfaces.
Si vous ne comptez pas utiliser de VLANS entrer n .

image Capture9.png (17.5kB)

OPNsense vous liste les interfaces disponibles.
Entrer en premier le nom de votre interface WAN, puis LAN et OPT1 etc..

PS: Pour ne pas vous tromper, je vous conseil de noter les adresses MAC de vos cartes LAN et WAN et de vérifier que le "nom d'interface" affiché par OPNSense correspond. Les adresses MAC peuvent être obtenues dans "Configuration >Interfaces réseaux > Avancées",clic gauche sur la MV (Machine Virtuelle) dans VirtualBox .
Vérifiez aussi que les interfaces utilisées soient bien en Mode Promiscuité: "Tout autorisé" (aussi dans VirtualBox ).

Quand vous avez fini, entrer y pour valider.

image Capture12.png (15.0kB)

Il faut maintenant attribuer une adresse IP à vos interfaces.
Pour cela, taper 2 et valider.

image Capture13.png (11.7kB)

L’assignation d’adresse IP se fait interface par interface. Sélectionner l’interface pour laquelle vous souhaitez assigner une adresse IP puis suivre les indications.

image Capture15.png (14.1kB)
PS: Si vous choisissez de paramètrer une "gateway", il vous faudra aussi definir l'IP "range". Cette manip est utile pour les VLANs mais inutile pour la LAN car on utilisera le DHCP pour cela.
Ex: 192.168.XX.1-192.168.XX.254.

Pour vous connecter au Portail OPNsense vous aurez besoin d'un serveur DHCP fonctionnel.
Do you want DHCP server on LAN? y

Une fois que vous avez assigné une adresse IP a toutes vos interfaces, vous pouvez maintenant accéder à l’interface web.
PS: Je vous conseile dors à présent à vérifier le server DNS et l'accès à internet de OPNSense par un simple ping.

Ex: ping 8.8.8.8 / google.com Test d'accès au réseau externe ( Test DNS)
  • ping "IP client" Test de communication entre l'hoste (OPNSense) et le client.

image Capture16.png (10.5kB)

Ouvrez votre navigateur et entrez l’adresse IP de votre interface. Vous arrivez sur la page de connexion d’OPNsense. Pour vous connecter, utiliser le login et mot de passe par défaut sauf si vous avez modifié le mot de passe lors de l’installation.

PS: Si vôtre navigateur refuse la connexion par "manque de certificats ssl", appuyez sur "Avancé" à la fin de l'avertissement puis "se connecter quand même...".

image Capture17.png (15.4kB)

Une fois connecté, OPNsense vous propose alors de lancer la configuration initiale de votre pare-feu. Cliquez sur « next » et remplissez les informations demandées.

image Capture18.png (38.6kB)

Une fois fini, cliquer sur « Reload » pour appliquer les modifications.

image Capture22.png (18.1kB)

PS: Vous pouvez aussi bien attendre d'accéder au portail pour configurer vos interfaces optionels (Vlans).

image Interfaces_0.png (0.1MB)
image Interfaces_1.png (0.1MB)
image Interfaces_2.png (0.1MB)
image Interfaces_3.png (0.1MB)
image Interfaces_4.png (0.1MB)
image Interfaces_5.png (0.1MB)
image Interfaces_6.png (0.2MB)
image Interfaces_7.png (32.4kB)
image Interfaces_7_bis.png (0.1MB)

Comme précedemment, l'adressage des plages IP peut se faire soit sur l'interface soit en console sur la machine host.

image Interfaces_8.png (0.1MB)

Conclusion


Vous avez installé et configuré OPNsense pour pouvoir accéder à l’interface web. Il ne vous reste plus qu’à créer vos règles de filtrage, installer vos plugins etc...

Configuration switch D-Link


Configurer IPV4 sur la machine hôte:
- subnet: 10.90.90.91
- passerelle: 192.168.5.1 (LAN)
- gatteway: 255.255.255.0

image Paramtres_rseau_D_Link.png (35.6kB)

Accéder au portail D-Link via l'IP 10.90.90
ID: admin
Mdp: admin

image Portail_DLink.png (58.9kB)

Configurer DHCP du D-Link

image Configuration_DHCP_D_Link.png (0.3MB)

Créer les VLANs en allant dans L2 Features > 802_1Q.VLAN:

VLAN1:10 (interwiki inconnu):0:x:x

image Configuration_VLAN1_D_Link.png (0.2MB)

VLAN2:10 (interwiki inconnu):0:y:y

image Configuration_VLAN2_D_Link.png (0.3MB)

Réserver un port entrée pour le LAN (untagged):
- VLAN0/Défaut: "Untagged"-> ports vlans utilisés:
1: x-1
2: y-2

- VLAN1/VLAN2: "Untagged" -> ports spécifiques à chaque VLAN + port LAN

image Defaut_VLAN_D_Link.png (0.2MB)

Mise en place d'un portail captif