pfSense Plus : Firewall Open Source — Guide Complet

Compétences à acquérir

À l'issue de ce guide, vous serez capable de :

• ✅ Installer et configurer pfSense Plus en tant que firewall/routeur
• ✅ Créer et gérer des règles de pare-feu, interfaces et adresses IP virtuelles
• ✅ Maîtriser le NAT (Port Forward, 1:1 NAT, Outbound NAT)
• ✅ Configurer les services réseaux (DHCP, DNS, NTP, SNMP)
• ✅ Déployer des VPN IPsec et OpenVPN (Site-to-Site et Point-to-Site)
• ✅ Mettre en œuvre le Multi-WAN, le Traffic Shaping et la haute disponibilité (CARP)

Table des matières

Chapitre 1 : Introduction à pfSense Plus

1.1 Qu'est-ce que pfSense ?

pfSense est une distribution FreeBSD spécialisée, transformant un ordinateur standard en un firewall/routeur de classe entreprise. pfSense Plus est la version commerciale supportée par Netgate.

💡 pfSense signifie « making sense of pf » — pf étant le Packet Filter de OpenBSD/FreeBSD.

Comparatif pfSense vs solutions commerciales

1.2 Fonctionnalités principales

pfSense offre un ensemble complet de fonctionnalités :

1.3 Architecture de pfSense

┌──────────────────────────────────────────────────────────┐
│                    pfSense Plus                           │
│  ┌──────────┐  ┌──────────┐  ┌──────────┐  ┌──────────┐│
│  │ Pare-feu │  │   NAT    │  │   VPN    │  │ Services ││
│  │   (pf)   │  │          │  │IPsec/OVPN│  │DHCP/DNS  ││
│  └────┬─────┘  └────┬─────┘  └────┬─────┘  └────┬─────┘│
│       │              │              │              │      │
│  ┌────┴──────────────┴──────────────┴──────────────┴────┐│
│  │              FreeBSD Kernel (pf + ALTQ)               ││
│  └──────────────────────┬───────────────────────────────┘│
│                         │                                 │
│  ┌──────────┐  ┌───────┴────────┐  ┌──────────────────┐ │
│  │   WAN    │  │      LAN       │  │   OPT (DMZ...)   │ │
│  │ igb0/em0 │  │   igb1/em1     │  │   igb2/em2...    │ │
│  └──────────┘  └────────────────┘  └──────────────────┘ │
└──────────────────────────────────────────────────────────┘

1.4 Prérequis matériels

Configuration minimale

⚠️ Cartes réseau : Les cartes Intel (igb, em, ix, ixl) sont les plus fiables. Éviter les Realtek (re) en production.

1.5 Installation de pfSense Plus

Étape 1 : Téléchargement de l'image

1. Se rendre sur https://www.pfsense.org/download/
2. Choisir :
   • Architecture : AMD64 (64-bit)
   • Type d'image : USB Memstick Installer (pour clé USB) ou ISO (pour VM)
   • Console : VGA (interface graphique d'installation)

Étape 2 : Création du média bootable

# Sous Linux/macOS — écrire l'image sur une clé USB
dd if=pfSense-CE-2.7.2-RELEASE-amd64.img.gz of=/dev/sdX bs=4M status=progress

# Sous Windows — utiliser Rufus ou Etcher

Étape 3 : Installation

Étape 4 : Configuration initiale (console)

Après le premier démarrage, pfSense présente un menu console :

*** Welcome to pfSense 2.7.2-RELEASE (amd64) ***

 WAN (wan)       -> em0        -> v4: DHCP
 LAN (lan)       -> em1        -> v4: 192.168.1.1/24

 0) Logout (SSH only)                  9) pfTop
 1) Assign Interfaces                 10) Filter Logs
 2) Set interface(s) IP address       11) Restart webConfigurator
 3) Reset webConfigurator password    12) PHP shell + pfSense tools
 4) Reset to factory defaults         13) Update from console
 5) Reboot system                     14) Enable Secure Shell (sshd)
 6) Halt system                       15) Restore recent configuration
 7) Ping host                         16) Restart PHP-FPM
 8) Shell

Configuration réseau initiale :

1. Option 1 — Assigner les interfaces :
   • WAN : em0 (ou igb0)
   • LAN : em1 (ou igb1)
2. Option 2 — Configurer les IP :
   • LAN : 192.168.1.1/24, activer DHCP (plage : .100 à .254)
   • WAN : DHCP (automatique) ou IP statique selon l'ISP

1.6 Interface Web (webConfigurator)

Accéder à l'interface depuis un poste connecté au LAN :

https://192.168.1.1

Assistant de configuration (Setup Wizard)

L'assistant guide les premiers paramétrages :

🔒 IMPORTANT : Toujours changer le mot de passe admin par défaut dès la première connexion !

1.7 Navigation dans l'interface

L'interface webConfigurator est organisée en menus :

TP 1 : Mise en place d'un firewall pfSense

Objectifs

• Installer pfSense dans un environnement virtualisé
• Configurer les interfaces WAN et LAN
• Accéder à l'interface web et réaliser la configuration initiale
• Tester la connectivité de base

Topologie du lab

Internet
    │
    │  (NAT / Bridged)
    │
┌───┴───────────────┐
│   pfSense VM      │
│  WAN: DHCP (em0)  │
│  LAN: 10.0.0.1/24 │
│       (em1)       │
└───┬───────────────┘
    │
    │ Réseau interne (Host-Only / Internal)
    │
┌───┴───────────────┐
│   Client VM       │
│  (Windows/Linux)  │
│  IP: DHCP         │
│  10.0.0.x/24      │
└───────────────────┘

Étape 1 : Création de la VM pfSense

VirtualBox :

VMware Workstation :

Étape 2 : Installation

1. Démarrer la VM sur l'ISO
2. Suivre l'assistant d'installation (cf. section 1.5)
3. Redémarrer après installation

Étape 3 : Configuration des interfaces

Via la console pfSense :

Assign Interfaces:
  WAN -> em0
  LAN -> em1

Set LAN IP:
  IPv4 Address: 10.0.0.1
  Subnet: 24
  Enable DHCP: yes
  Start: 10.0.0.100
  End:   10.0.0.200

Étape 4 : Configuration du client

Sur la VM cliente (connectée au réseau LAN) :

# Vérifier l'obtention d'une IP via DHCP
ip addr show    # Linux
ipconfig        # Windows

# Résultat attendu : IP dans la plage 10.0.0.100-200
# Passerelle : 10.0.0.1
# DNS : 10.0.0.1

Étape 5 : Accès à l'interface web

1. Ouvrir un navigateur sur le client : https://10.0.0.1
2. Accepter l'avertissement de certificat auto-signé
3. Se connecter : admin / pfsense
4. Compléter le Setup Wizard

Étape 6 : Vérifications

Livrables du TP

• ✅ pfSense installé et accessible via l'interface web
• ✅ Client obtient une IP via DHCP
• ✅ Client accède à Internet via pfSense
• ✅ Capture d'écran du Dashboard pfSense

Chapitre 2 : Le pare-feu — Interfaces, VIP et règles

2.1 Les interfaces réseau

Types d'interfaces

Configuration d'une interface

Interfaces → WAN (ou LAN, OPTx) :

Configuration d'un VLAN

Interfaces → VLANs → Add :

Après création, assigner le VLAN via Interfaces → Assignments → onglet Interface Assignments → ajouter le VLAN comme nouvelle interface OPT.

Exemple de topologie VLAN :
                    ┌─── VLAN 10 (Serveurs) : 10.10.10.0/24
em1 (trunk) ───────┼─── VLAN 20 (Postes)   : 10.10.20.0/24
                    └─── VLAN 30 (VoIP)     : 10.10.30.0/24

2.2 Adresses IP Virtuelles (VIP)

Les VIP permettent d'ajouter des adresses IP supplémentaires à pfSense, utiles pour le NAT, le HA ou l'hébergement multi-services.

Types de VIP

Créer une VIP (IP Alias)

Firewall → Virtual IPs → Add :

Créer une VIP CARP (pour HA)

2.3 Aliases

Les aliases simplifient la gestion des règles en regroupant des IP, ports ou URL sous un nom logique.

Types d'aliases

Créer un alias

Firewall → Aliases → Add :

Nom      : SERVEURS_WEB
Type     : Host(s)
Entrées  : 10.0.0.10, 10.0.0.11, 10.0.0.12
Description : Serveurs web internes

Nom      : PORTS_WEB
Type     : Port(s)
Entrées  : 80, 443, 8080
Description : Ports HTTP/HTTPS

2.4 Règles de pare-feu

Principes fondamentaux

⚠️ IMPORTANT : Les règles sont évaluées sur le trafic ENTRANT de l'interface. Une règle sur WAN filtre le trafic venant d'Internet. Une règle sur LAN filtre le trafic venant du réseau local.

Structure d'une règle

Options avancées des règles

Règles par défaut

Exemples de règles courantes

Autoriser uniquement HTTP/HTTPS depuis le LAN :

Bloquer l'accès à un réseau spécifique :

💡 Bonnes pratiques :

• Placer les règles Block avant les règles Pass
• Toujours utiliser des aliases plutôt que des IP en dur
• Documenter chaque règle avec une description claire
• Activer le log sur les règles sensibles
• Restreindre le LAN (supprimer le « pass any ») en production

2.5 Floating Rules

Les Floating Rules sont des règles spéciales qui peuvent s'appliquer sur plusieurs interfaces et dans les deux directions (in/out).

Cas d'usage des Floating Rules

• Bloquer un trafic sur toutes les interfaces à la fois
• Appliquer du Traffic Shaping (direction Out)
• Règles de politique globale (ex: bloquer un pays)

Chapitre 3 : NAT 101 — Traduction de réseau

3.1 Rappel : qu'est-ce que le NAT ?

Le NAT (Network Address Translation) permet de traduire les adresses IP entre le réseau privé (LAN) et le réseau public (WAN). C'est une fonctionnalité essentielle de tout firewall.

Types de NAT dans pfSense

3.2 Outbound NAT (Source NAT)

L'Outbound NAT traduit les adresses IP sources privées en adresse IP publique WAN lors de la sortie vers Internet.

Modes de l'Outbound NAT

💡 Recommandation : Utiliser le mode Hybrid pour conserver les règles automatiques tout en ajoutant des règles personnalisées.

Firewall → NAT → Outbound :

Créer une règle Outbound NAT manuelle

⚠️ Static Port : Certaines applications (SIP, jeux en ligne, IPsec passthrough) nécessitent que le port source ne soit pas modifié. Cocher cette option dans ce cas.

3.3 Port Forward (Destination NAT)

Le Port Forward redirige le trafic arrivant sur un port spécifique de l'IP WAN vers un serveur interne.

Firewall → NAT → Port Forward → Add :

Exemple : Rediriger le trafic web vers un serveur interne

💡 L'option Filter Rule Association crée automatiquement la règle de firewall correspondante sur l'interface WAN. Choisir « Add associated filter rule » pour simplifier la configuration.

Exemples courants de Port Forward

⚠️ Sécurité : Ne jamais exposer directement des ports sensibles (SSH 22, RDP 3389) sur les ports standards. Utiliser des ports non standard (ex: 2222 pour SSH) et activer le log.

3.4 NAT 1:1

Le NAT 1:1 crée un mapping complet entre une IP publique et une IP privée. Tout le trafic entrant sur l'IP publique est redirigé vers l'IP privée, et tout le trafic sortant de l'IP privée utilise cette IP publique.

Firewall → NAT → 1:1 → Add :

Quand utiliser le NAT 1:1 ?

💡 Prérequis : Le NAT 1:1 nécessite une VIP (Virtual IP) sur l'interface WAN pour l'adresse IP publique externe (sauf si c'est l'IP WAN principale).

3.5 NAT Reflection

Le NAT Reflection (ou NAT Hairpinning) permet aux clients internes d'accéder aux services internes via l'adresse IP publique (WAN).

Problème sans NAT Reflection

Client LAN (10.0.0.50) → accède à http://203.0.113.1 (IP publique)
  → Le paquet arrive sur le WAN de pfSense
  → Port forward vers 10.0.0.10 (serveur web)
  → Le serveur répond directement à 10.0.0.50 (même LAN)
  → Le client rejette la réponse (source IP inattendue) ❌

Configuration

System → Advanced → Firewall & NAT :

3.6 NPt (Network Prefix Translation IPv6)

Le NPt traduit les préfixes IPv6 entre réseaux, permettant une forme de NAT pour IPv6 (bien que controversée).

Firewall → NAT → NPt → Add :

3.7 Dépannage du NAT

Outils de diagnostic

Checklist de dépannage Port Forward

1. ✅ La règle de Port Forward existe dans Firewall → NAT → Port Forward
2. ✅ Une règle de firewall correspondante existe sur l'interface WAN
3. ✅ Le serveur interne écoute bien sur le bon port
4. ✅ La passerelle par défaut du serveur interne pointe vers pfSense
5. ✅ Pas de firewall local sur le serveur bloquant le port
6. ✅ NAT Reflection configuré si test depuis le LAN
7. ✅ Vérifier dans Diagnostics → States si la connexion apparaît

Chapitre 4 : pfSense — Les Services réseaux

4.1 Serveur DHCP

pfSense intègre un serveur DHCP complet basé sur ISC DHCP (ou Kea DHCP dans les versions récentes).

Services → DHCP Server (onglet par interface) :

Configuration du pool DHCP

Mappages statiques (réservation DHCP)

Permet d'attribuer toujours la même IP à un périphérique via son adresse MAC.

Services → DHCP Server → [interface] → DHCP Static Mappings :

Options avancées DHCP

4.2 DNS Resolver (Unbound)

Le DNS Resolver utilise Unbound, un résolveur DNS récursif, validant et cachant les requêtes DNS.

Services → DNS Resolver :

Configuration principale

Host Overrides (entrées DNS locales)

Permet de créer des entrées DNS personnalisées :

→ srv-web01.local.lan résoudra en 10.0.0.10

Domain Overrides

Redirige les requêtes DNS d'un domaine vers un serveur DNS spécifique :

💡 Utile pour les environnements avec Active Directory : les requêtes pour le domaine AD sont envoyées au contrôleur de domaine.

DNS Resolver vs DNS Forwarder

4.3 Serveur NTP

pfSense peut servir de serveur NTP pour synchroniser l'horloge de tous les périphériques du réseau.

Services → NTP :

💡 Configurer les clients (Windows, Linux) pour pointer vers l'IP LAN de pfSense comme serveur NTP unique.

4.4 SNMP

Le service SNMP permet la supervision de pfSense par des outils comme Zabbix, PRTG, LibreNMS ou Nagios.

Services → SNMP :

⚠️ Sécurité : Ne jamais exposer SNMP sur le WAN. Utiliser SNMPv3 si disponible pour le chiffrement.

4.5 Dynamic DNS

Permet de mettre à jour automatiquement un nom de domaine avec l'IP WAN dynamique.

Services → Dynamic DNS → Add :

4.6 Wake on LAN

Services → Wake on LAN :

Permet de réveiller des machines du réseau à distance en envoyant un Magic Packet.

4.7 IGMP Proxy

Pour relayer le trafic multicast (IPTV, streaming) entre les interfaces.

Services → IGMP Proxy :

TP 1 : Configuration avancée du firewall pfSense

Objectifs

• Créer des VLANs (DATA, VOIX, MGMT) et configurer le routage inter-VLAN
• Mettre en place des aliases et des règles de firewall granulaires
• Configurer le NAT (Port Forward + Outbound)
• Configurer les services DHCP et DNS

Adressage par groupe

Chaque groupe travaille avec sa propre plage d'adresses. Repérez votre groupe et utilisez les adresses correspondantes pour tout le TP.

Groupe 1 — Plage : 10.1.10.0 — 10.1.30.0

Groupe 2 — Plage : 10.2.10.0 — 10.2.30.0

Groupe 3 — Plage : 10.3.10.0 — 10.3.30.0

Groupe 4 — Plage : 10.4.10.0 — 10.4.30.0

Groupe 5 — Plage : 10.5.10.0 — 10.5.30.0

Groupe 6 — Plage : 10.6.10.0 — 10.6.30.0

Groupe 7 — Plage : 10.7.10.0 — 10.7.30.0

💡 Convention de notation : dans les exercices ci-dessous, VLAN_DATA, VLAN_VOIX et VLAN_MGMT font référence aux VLANs de votre groupe. Remplacez par vos valeurs réelles.

Topologie

                Internet
                    │
           ┌────────┴────────┐
           │    pfSense       │
           │  WAN: DHCP       │
           │                  │
           │  VLAN DATA : .1  │
           │  VLAN VOIX : .1  │
           │  VLAN MGMT : .1  │
           └──┬──────┬───┬───┘
              │      │   │
         VLAN     VLAN   VLAN
         DATA     VOIX   MGMT
       Postes   Téléphones  Admin

Exercice 1 : Configuration des VLANs

1. Créer les 3 VLANs sur pfSense (les tags correspondent à votre groupe) :
   • VLAN DATA sur l'interface parent LAN (em1) → description : DATA
   • VLAN VOIX sur l'interface parent LAN (em1) → description : VOIX
   • VLAN MGMT sur l'interface parent LAN (em1) → description : MGMT
2. Assigner les VLANs comme interfaces OPT1, OPT2 et OPT3
3. Configurer les IP passerelle sur chaque interface (selon votre tableau de groupe)
4. Activer le DHCP sur chaque VLAN :

⚠️ Sur le VLAN VOIX, ajouter l'option DHCP 66 (TFTP Server) si des téléphones IP sont présents, et l'option 150 pour les téléphones Cisco.

Exercice 2 : Règles de firewall avec aliases

1. Créer les aliases (adapter les IP à votre groupe) :

   • SERVEURS_WEB (Hosts) : premier et deuxième serveur du VLAN DATA (ex G1 : 10.1.10.10, 10.1.10.11)
   • PORTS_WEB (Ports) : 80, 443
   • PORTS_VOIP (Ports) : 5060, 5061, 10000:20000
   • DNS_PUBLICS (Hosts) : 1.1.1.1, 8.8.8.8
   • VLAN_ALL (Networks) : les 3 réseaux de votre groupe

2. Configurer les règles sur le VLAN DATA :

3. Configurer les règles sur le VLAN VOIX :

4. Configurer les règles sur le VLAN MGMT :

⚠️ L'ordre est crucial : les règles Pass spécifiques doivent toujours être avant les règles Block générales. Le VLAN MGMT est le seul à pouvoir accéder aux autres VLANs (administration).

Exercice 3 : Port Forward

Rendre le serveur web interne du VLAN DATA accessible depuis Internet (adapter l'IP à votre groupe) :

1. Créer le Port Forward :
   • Interface : WAN
   • Port externe : 80 et 443
   • IP cible : premier serveur du VLAN DATA (ex G1 : 10.1.10.10)
   • Port cible : 80 et 443
2. Vérifier que la règle WAN associée a été créée
3. Tester depuis une machine externe ou depuis pfSense (Diagnostics → Test Port)

Exercice 4 : DNS Resolver

1. Configurer les Host Overrides (adapter à votre groupe) :
   • srv-web01.local.lan → IP du premier serveur DATA
   • srv-web02.local.lan → IP du deuxième serveur DATA
   • phone01.local.lan → IP du premier téléphone VOIX
2. Activer le DNSSEC
3. Tester la résolution depuis un client :

nslookup srv-web01.local.lan <IP_PASSERELLE_DATA>

Exercice 5 : Vérifications et tests inter-VLAN

Valider l'isolation et les accès autorisés :

Livrables

• ✅ 3 VLANs créés (DATA, VOIX, MGMT) avec les adressages de votre groupe
• ✅ DHCP fonctionnel sur chaque VLAN
• ✅ Règles de firewall avec aliases testées et validées
• ✅ Isolation inter-VLAN vérifiée (DATA ↔ VOIX bloqué, MGMT → tous autorisé en HTTPS/SSH)
• ✅ Port Forward fonctionnel vers le serveur DATA
• ✅ Résolution DNS personnalisée fonctionnelle
• ✅ Captures d'écran des règles, tests ping et logs firewall

TP 2 : Sécurité et troubleshooting du firewall pfSense

Objectifs

• Renforcer la sécurité de pfSense
• Utiliser les outils de diagnostic intégrés
• Dépanner des problèmes courants

Exercice 1 : Hardening (renforcement de la sécurité)

1.1 Sécurisation de l'accès web

System → Advanced → Admin Access :

1.2 Gestion des utilisateurs

System → User Manager :

1. Créer un utilisateur administrateur personnalisé
2. Désactiver ou renommer le compte admin par défaut
3. Activer l'authentification à deux facteurs (TOTP) si disponible
4. Créer des groupes avec des privilèges limités :

1.3 Sécurisation SSH

System → Advanced → Secure Shell :

1.4 Blocage des bogons et réseaux privés

Interfaces → WAN :

Exercice 2 : Outils de diagnostic

2.1 Packet Capture

Diagnostics → Packet Capture :

1. Lancer une capture sur l'interface LAN, filtrer sur un client spécifique
2. Depuis le client, naviguer sur un site web
3. Arrêter la capture et analyser les résultats
4. Télécharger le fichier .pcap et l'ouvrir dans Wireshark

2.2 pfTop

Diagnostics → pfTop :

Affiche les connexions actives en temps réel, triées par :

• Bytes (volume de données)
• Rate (débit)
• Age (ancienneté)
• Peak (pic de bande passante)

2.3 States Table

Diagnostics → States :

Affiche la table d'états du firewall (connexions actives) :

Interface  Protocol  Source                Destination           State
WAN        TCP       10.0.0.50:52341  →   93.184.216.34:443     ESTABLISHED:ESTABLISHED
LAN        UDP       10.0.0.50:45123  →   1.1.1.1:53            SINGLE:MULTIPLE

Filtrer par IP source, destination ou interface pour le dépannage.

2.4 DNS Lookup

Diagnostics → DNS Lookup :

Tester la résolution DNS directement depuis pfSense :

Hostname: google.com
→ A: 142.250.179.110 (résolu en 12ms)
→ AAAA: 2a00:1450:4007:818::200e

2.5 Ping et Traceroute

Diagnostics → Ping / Traceroute :

Exercice 3 : Scénarios de dépannage

Scénario A : « Le client n'a pas Internet »

Scénario B : « Le Port Forward ne fonctionne pas »

Scénario C : « Les VLANs ne communiquent pas »

Livrables

• ✅ Paramètres de sécurité appliqués (HTTPS, port personnalisé, SSH sécurisé)
• ✅ Capture de paquets réalisée et analysée dans Wireshark
• ✅ Trois scénarios de dépannage documentés avec résolution
• ✅ Rapport de synthèse sur l'état de sécurité du firewall

Chapitre 5 : VPN et IPsec

5.1 Introduction aux VPN

Un VPN (Virtual Private Network) crée un tunnel chiffré entre deux points à travers un réseau non sécurisé (Internet).

Types de VPN

Protocoles VPN supportés par pfSense

5.2 Concepts IPsec

IPsec fonctionne en deux phases :

Phase 1 (IKE — Internet Key Exchange)

Établit le tunnel sécurisé pour la négociation :

Phase 2 (IPsec SA — Security Association)

Définit le tunnel de données :

Phase 1 : Négociation du tunnel sécurisé (IKE)
┌───────────┐        IKE (UDP 500/4500)       ┌───────────┐
│  Site A   │◄────────────────────────────────►│  Site B   │
│  pfSense  │  Authentification + Chiffrement  │  pfSense  │
└───────────┘                                  └───────────┘

Phase 2 : Tunnel de données (ESP)
┌───────────┐        ESP (protocole 50)        ┌───────────┐
│ 10.0.0.0  │◄═══════════════════════════════►│192.168.0.0│
│   /24     │     Données chiffrées (AES)      │   /24     │
└───────────┘                                  └───────────┘

5.3 Configuration IPsec Site-to-Site

Schéma

Site A (Paris)                              Site B (Lyon)
LAN: 10.0.0.0/24                           LAN: 192.168.0.0/24
pfSense WAN: 203.0.113.1      ◄──IPsec──►  pfSense WAN: 198.51.100.1

Configuration sur le Site A (Paris)

VPN → IPsec → Tunnels → Add P1 :

Phase 1 :

Phase 2 (Show Phase 2 → Add P2) :

Configuration sur le Site B (Lyon)

Configuration miroir :

• Remote Gateway : 203.0.113.1 (IP WAN Site A)
• Même Pre-Shared Key
• Local Network : 192.168.0.0/24
• Remote Network : 10.0.0.0/24
• Mêmes algorithmes de chiffrement

Règles de firewall pour IPsec

Firewall → Rules → IPsec :

💡 Créer cette règle sur les deux sites pfSense.

Vérification du tunnel

Status → IPsec :

# Depuis un poste du Site A, pinger un poste du Site B
ping 192.168.0.10

# Depuis pfSense (Diagnostics → Ping)
Source: LAN
Host: 192.168.0.1

5.4 Dépannage IPsec

Logs IPsec

Status → System Logs → IPsec :

Checklist de dépannage

1. ✅ Les deux sites ont la même Pre-Shared Key
2. ✅ Les algorithmes Phase 1 sont identiques des deux côtés
3. ✅ Les algorithmes Phase 2 sont identiques des deux côtés
4. ✅ Les réseaux Local/Remote sont inversés (miroir) entre les sites
5. ✅ Les ports UDP 500 et 4500 sont ouverts sur le WAN
6. ✅ Les règles de firewall sur l'onglet IPsec autorisent le trafic
7. ✅ Pas de conflit d'adresses entre les réseaux des deux sites
8. ✅ NAT-T (NAT Traversal) activé si un site est derrière un NAT

Chapitre 6 : OpenVPN

6.1 Pourquoi OpenVPN ?

6.2 Infrastructure à clé publique (PKI)

Avant de configurer OpenVPN, il faut créer une autorité de certification (CA) et des certificats.

Créer la CA (Certificate Authority)

System → Cert. Manager → CAs → Add :

Créer le certificat serveur

System → Cert. Manager → Certificates → Add/Sign :

Créer les certificats utilisateurs

Pour chaque utilisateur VPN :

System → Cert. Manager → Certificates → Add/Sign :

6.3 Configuration OpenVPN Remote Access (Point-to-Site)

Utilisation du Wizard

VPN → OpenVPN → Wizards :

Le wizard simplifie la configuration. Sinon, configuration manuelle :

VPN → OpenVPN → Servers → Add :

Cryptographic Settings :

Tunnel Settings :

Créer les utilisateurs VPN

System → User Manager → Users → Add :

Règles de firewall

Firewall → Rules → WAN :

Firewall → Rules → OpenVPN :

Export du client (Client Export Package)

Installer le package openvpn-client-export :

System → Package Manager → Available Packages → chercher openvpn-client-export → Install

Puis VPN → OpenVPN → Client Export :

6.4 Configuration OpenVPN Site-to-Site

Architecture

Site A (Paris)                              Site B (Lyon)
LAN: 10.0.0.0/24                          LAN: 192.168.0.0/24
pfSense (Serveur OpenVPN)   ◄──OpenVPN──►  pfSense (Client OpenVPN)
Tunnel: 10.9.0.1                           Tunnel: 10.9.0.2

Côté Serveur (Site A)

VPN → OpenVPN → Servers → Add :

Côté Client (Site B)

VPN → OpenVPN → Clients → Add :

6.5 Surveillance OpenVPN

Status → OpenVPN :

TP 1 : Mise en place d'une solution VPN — Point To Site et Site To Site

Objectifs

• Configurer un VPN Remote Access (Point-to-Site) avec OpenVPN
• Configurer un VPN Site-to-Site avec IPsec
• Tester la connectivité et le routage à travers les tunnels

Topologie du lab

                  Internet (NAT)
                       │
          ┌────────────┼────────────┐
          │            │            │
    ┌─────┴─────┐ ┌───┴───┐ ┌─────┴─────┐
    │  pfSense  │ │Client │ │  pfSense  │
    │  Site A   │ │ VPN   │ │  Site B   │
    │WAN:.1     │ │mobile │ │WAN:.2     │
    │LAN:10.0.0 │ │       │ │LAN:192.168│
    │     .1/24 │ │       │ │    .0.1/24│
    └─────┬─────┘ └───────┘ └─────┬─────┘
          │                       │
     ┌────┴────┐             ┌────┴────┐
     │ SRV-A   │             │ SRV-B   │
     │10.0.0.10│             │192.168. │
     │         │             │  0.10   │
     └─────────┘             └─────────┘

Partie 1 : VPN Remote Access (Point-to-Site) avec OpenVPN

Étape 1 : Créer la PKI

1. Créer la CA : CA-Lab-VPN (RSA 4096, SHA256, 10 ans)
2. Créer le certificat serveur : Cert-OVPN-Server (Server Certificate)
3. Créer un utilisateur testuser avec certificat utilisateur

Étape 2 : Configurer le serveur OpenVPN

1. VPN → OpenVPN → Servers → Add avec les paramètres :
   • Mode : Remote Access (SSL/TLS + User Auth)
   • Protocol : UDP, Port : 1194
   • Tunnel Network : 10.8.0.0/24
   • Local Network : 10.0.0.0/24
   • DNS : 10.0.0.1

Étape 3 : Règles de firewall

1. WAN : Autoriser UDP 1194 vers WAN Address
2. OpenVPN : Autoriser tout le trafic du tunnel 10.8.0.0/24 vers le LAN

Étape 4 : Installer le Client Export Package

1. Installer openvpn-client-export
2. Exporter la configuration pour testuser
3. Installer OpenVPN sur le client
4. Importer la configuration .ovpn

Étape 5 : Test du VPN Remote Access

Partie 2 : VPN Site-to-Site avec IPsec

Étape 1 : Configurer le tunnel IPsec

Sur Site A :

1. Phase 1 : IKEv2, PSK LabIPsecKey2024!, AES-256-GCM, SHA256, DH14
2. Phase 2 : Local 10.0.0.0/24, Remote 192.168.0.0/24, ESP, AES-256-GCM

Sur Site B :

1. Configuration miroir (inverser Local/Remote)

Étape 2 : Règles IPsec

Sur chaque site, créer une règle sur l'onglet IPsec :

• Pass Any depuis le réseau distant vers le réseau local

Étape 3 : Test du tunnel Site-to-Site

Livrables

• ✅ VPN Remote Access fonctionnel — un client se connecte et accède au LAN
• ✅ VPN Site-to-Site IPsec fonctionnel — les deux réseaux communiquent
• ✅ Captures d'écran : Status OpenVPN, Status IPsec, tests ping
• ✅ Fichier de configuration OpenVPN client exporté

Chapitre 7 : Multi-WAN

7.1 Concepts du Multi-WAN

Le Multi-WAN permet de connecter pfSense à plusieurs fournisseurs d'accès Internet (FAI) simultanément, offrant redondance et/ou répartition de charge.

Modes de fonctionnement

Architecture typique

        FAI 1 (Fibre)              FAI 2 (4G/ADSL)
        203.0.113.1                198.51.100.1
             │                          │
        ┌────┴────┐                ┌────┴────┐
        │  WAN1   │                │  WAN2   │
        │  (em0)  │                │  (em2)  │
        └────┬────┘                └────┬────┘
             │      ┌──────────┐       │
             └──────┤ pfSense  ├───────┘
                    │          │
                    └────┬─────┘
                         │
                    ┌────┴────┐
                    │   LAN   │
                    │  (em1)  │
                    │10.0.0.0 │
                    │  /24    │
                    └─────────┘

7.2 Configuration de la deuxième interface WAN

Étape 1 : Assigner l'interface

Interfaces → Assignments → Ajouter la nouvelle interface (ex: em2) → Sauvegarder

Interfaces → OPT1 (renommer en WAN2) :

⚠️ Cocher Block private networks et Block bogon networks sur WAN2 (comme sur WAN1).

Étape 2 : Configurer les passerelles

System → Routing → Gateways :

Les passerelles WAN et WAN2 sont normalement créées automatiquement. Vérifier :

💡 Monitor IP : Utiliser une IP publique fiable et différente pour chaque WAN. pfSense pingue cette adresse pour déterminer si le WAN est bien accessible (up).

7.3 Gateway Groups

Les Gateway Groups définissent le comportement Multi-WAN (failover, load balancing, ou mixte).

System → Routing → Gateway Groups → Add :

Configuration Failover (WAN1 prioritaire)

| Trigger Level | Member Down | | Description | WAN1 principal, WAN2 secours |

💡 Tier : Les passerelles du même Tier sont en load balancing. Les Tiers supérieurs sont en failover.

• Tier 1 + Tier 2 = Failover
• Tier 1 + Tier 1 = Load Balancing

Configuration Load Balancing

→ Le trafic est réparti entre les deux WAN.

Configuration Mixte (Load Balancing + Failover)

→ WAN1 et WAN2 en load balancing, WAN3 en secours si les deux tombent.

Trigger Levels

7.4 Policy Routing (routage par politique)

Le Policy Routing permet de forcer certains types de trafic vers un WAN spécifique.

Application via les règles de firewall

Dans une règle de firewall, section Advanced → Gateway :

⚠️ Ordre des règles : Les règles avec des passerelles spécifiques doivent être avant la règle générale avec le Gateway Group.

7.5 DNS Multi-WAN

Chaque WAN peut avoir ses propres serveurs DNS. Configurer correctement le DNS est crucial.

System → General Setup :

💡 Associer chaque serveur DNS à sa passerelle respective pour que les requêtes DNS sortent par le bon WAN.

7.6 Outbound NAT Multi-WAN

En mode Hybrid ou Manual, créer des règles Outbound NAT pour chaque WAN :

7.7 Monitoring et dépannage Multi-WAN

Status → Gateways :

Problèmes courants Multi-WAN

Chapitre 8 : Traffic Shaping

8.1 Introduction au Traffic Shaping

Le Traffic Shaping (ou QoS — Quality of Service) permet de contrôler et prioriser le trafic réseau pour garantir la qualité des applications critiques.

Pourquoi le Traffic Shaping ?

8.2 Concepts ALTQ

pfSense utilise ALTQ (Alternate Queuing) intégré au noyau FreeBSD pour le Traffic Shaping.

Schedulers (disciplines de file d'attente)

💡 Recommandation : Utiliser HFSC pour la plupart des scénarios. C'est le scheduler le plus polyvalent.

8.3 Configuration avec le Wizard

Firewall → Traffic Shaper → Wizards :

Le wizard crée automatiquement les queues en fonction de vos besoins.

Wizard « Traffic Shaper »

⚠️ IMPORTANT : Configurer la bande passante à 90-95% de la capacité réelle du lien. Si votre connexion est de 100 Mbps, configurer 95 Mbps. Cela garantit que pfSense contrôle la mise en file d'attente plutôt que le routeur du FAI.

8.4 Configuration manuelle des queues

Firewall → Traffic Shaper → By Interface :

Créer la queue racine (Root Queue)

Créer les sous-queues

💡 Realtime (HFSC) : Garantit une bande passante minimale pour la queue, même en cas de congestion. Idéal pour la VoIP. Upperlimit (HFSC) : Limite maximale de bande passante. Empêche le P2P de consommer tout le lien.

8.5 Floating Rules pour le Traffic Shaping

Les Floating Rules avec direction Out sont utilisées pour assigner le trafic aux queues.

Firewall → Rules → Floating → Add :

Règle pour la VoIP (SIP + RTP)

Règle pour le trafic web

8.6 Limiters

Les Limiters offrent une alternative aux queues ALTQ pour limiter la bande passante par IP ou par flux.

Firewall → Traffic Shaper → Limiters → Add :

Créer un limiter de download

Créer un limiter d'upload

Appliquer via une règle de firewall

Dans une règle LAN, section Advanced :

💡 Limiters vs Queues :

• Queues (ALTQ) : Priorisation relative entre types de trafic
• Limiters : Limitation absolue de bande passante (par IP, par subnet)
• Les deux peuvent être combinés

8.7 Monitoring du Traffic Shaping

Status → Queues :

⚠️ Si Drops est élevé sur une queue, augmenter sa bande passante ou sa priorité.

Status → Traffic Graph :

Graphique en temps réel du trafic par interface, utile pour visualiser l'effet du Traffic Shaping.

Chapitre 9 : Disponibilité élevée (High Availability)

9.1 Concepts de haute disponibilité

La haute disponibilité (HA) garantit la continuité de service en cas de panne d'un firewall grâce à un cluster actif/passif de deux pfSense.

Composants du HA pfSense

Architecture HA

                    Internet
                       │
              ┌────────┴────────┐
              │  CARP VIP WAN   │
              │  203.0.113.10   │
              └───┬─────────┬───┘
                  │         │
           ┌──────┴──┐ ┌───┴──────┐
           │ Master  │ │  Backup  │
           │ pfSense │ │ pfSense  │
           │WAN: .11 │ │WAN: .12  │
           │LAN: .2  │ │LAN: .3   │
           └──┬───┬──┘ └──┬───┬───┘
              │   │pfsync │   │
              │   └───────┘   │
              │               │
              └───┬───────┬───┘
              ┌───┴───────┴───┐
              │  CARP VIP LAN │
              │  10.0.0.1     │
              └───────────────┘
                      │
                 ┌────┴────┐
                 │   LAN   │
                 │10.0.0.0 │
                 │  /24    │
                 └─────────┘

Adresses IP :
  Master WAN: 203.0.113.11    Backup WAN: 203.0.113.12
  Master LAN: 10.0.0.2        Backup LAN: 10.0.0.3
  CARP VIP WAN: 203.0.113.10  CARP VIP LAN: 10.0.0.1

💡 Les clients utilisent les IP CARP (VIP) comme passerelle et non les IP réelles des pfSense. En cas de bascule, l'IP ne change pas.

9.2 Prérequis

9.3 Configuration du Master

Étape 1 : Adresses IP des interfaces

Étape 2 : Configuration de pfsync

System → High Avail. Sync :

State Synchronization Settings (pfsync) :

Configuration Synchronization Settings (XMLRPC Sync) :

Éléments à synchroniser (cocher tout) :

Étape 3 : Créer les VIP CARP

Firewall → Virtual IPs → Add :

VIP WAN :

VIP LAN :

Étape 4 : Configurer le NAT et les services avec les VIP

Outbound NAT : Utiliser les VIP CARP comme adresse de traduction (pas l'adresse d'interface) :

DHCP Server : Configurer la passerelle distribuée sur la VIP LAN :

9.4 Configuration du Backup

Étape 1 : Adresses IP

Étape 2 : Configuration de pfsync

System → High Avail. Sync :

⚠️ Ne PAS configurer XMLRPC sur le Backup — la synchronisation de configuration est unidirectionnelle (Master → Backup).

Étape 3 : Vérification de la synchronisation

Après avoir configuré les deux pfSense :

1. Les VIP CARP apparaissent automatiquement sur le Backup (via XMLRPC)
2. Les règles de firewall, le NAT, le DHCP, etc. sont synchronisés
3. Vérifier dans Status → CARP (failover) :

9.5 Test du failover

Test 1 : Bascule manuelle

Status → CARP (failover) :

Test 2 : Simulation de panne

1. Depuis un client, lancer un ping -t 10.0.0.1 (VIP LAN)
2. Éteindre le pfSense Master (ou débrancher le câble LAN)
3. Observer :
   • Coupure de 1-3 secondes maximum
   • Le Backup prend le rôle de Master
   • Le ping reprend ✅
4. Rallumer le Master :
   • Il reprend automatiquement le rôle de Master (skew 0)
   • Les connexions existantes sont maintenues grâce à pfsync

Test 3 : Vérification des états

1. Établir une connexion SSH ou télécharger un fichier volumineux
2. Forcer le failover pendant le transfert
3. Le transfert doit continuer sans interruption (grâce à pfsync)

9.6 Bonnes pratiques HA

9.7 Dépannage HA

Règles de firewall pour SYNC

Firewall → Rules → SYNC :

TP 1 : Mise en place du HA avec pfSense

Objectifs

• Déployer un cluster HA avec deux pfSense
• Configurer CARP, pfsync et XMLRPC
• Tester le failover et valider la continuité de service

Topologie du lab

               Internet (NAT VirtualBox)
                       │
        ┌──────────────┼──────────────┐
        │              │              │
   ┌────┴────┐    ┌────┴────┐   (WAN segment)
   │ Master  │    │ Backup  │   203.0.113.0/24
   │ pfSense │    │ pfSense │
   │WAN: .11 │    │WAN: .12 │
   │LAN: .2  │    │LAN: .3  │
   │SYNC:.1  │◄──►│SYNC:.2  │   172.16.0.0/30
   └──┬──────┘    └──┬──────┘
      │               │
      └───────┬───────┘
              │
         ┌────┴────┐        (LAN segment)
         │  Switch │        10.0.0.0/24
         │ virtuel │
         └──┬───┬──┘
            │   │
    ┌───────┘   └───────┐
    │                   │
┌───┴───┐          ┌───┴───┐
│Client1│          │Client2│
│10.0.0.│          │10.0.0.│
│  .50  │          │  .51  │
└───────┘          └───────┘

CARP VIP WAN: 203.0.113.10
CARP VIP LAN: 10.0.0.1

Étape 1 : Préparation des VMs

Créer 2 VMs pfSense avec 3 interfaces réseau chacune :

Étape 2 : Configuration IP

Master :

Backup :

Étape 3 : Configuration CARP et pfsync (Master)

1. Créer les VIP CARP :
   • WAN : VIP appropriée, VHID 1, Skew 0
   • LAN : 10.0.0.1/24, VHID 2, Skew 0
2. Configurer pfsync via l'interface SYNC
3. Configurer XMLRPC vers 172.16.0.2
4. Cocher tous les éléments à synchroniser

Étape 4 : Configuration du Backup

1. Configurer pfsync via l'interface SYNC (peer: 172.16.0.1)
2. Ne pas configurer XMLRPC sur le Backup
3. Vérifier que les VIP et les règles sont synchronisées automatiquement

Étape 5 : Configuration du DHCP et NAT

Sur le Master (synchronisé automatiquement vers le Backup) :

1. DHCP : Passerelle = 10.0.0.1 (VIP CARP LAN), DNS = 10.0.0.1
2. Outbound NAT : Translation vers la VIP CARP WAN
3. Règles de firewall sur l'interface SYNC pour autoriser pfsync et XMLRPC

Étape 6 : Tests de validation

Test A : État du cluster

Test B : Connectivité client

Test C : Failover

1. Depuis Client1 : ping -t 10.0.0.1 (continu)
2. Éteindre le Master (ou Enter Persistent CARP Maintenance Mode)
3. Constater :
   • Interruption de 1-3 secondes
   • Le ping reprend ✅
   • Sur le Backup : Status → CARP affiche MASTER
4. Rallumer le Master :
   • Le Master reprend le rôle (preemption)
   • Le Backup redevient BACKUP
   • Pas d'interruption notable

Test D : Persistance des connexions

1. Démarrer un téléchargement volumineux depuis Client1
2. Forcer le failover (Maintenance Mode sur le Master)
3. Le téléchargement doit continuer sans interruption grâce à pfsync
4. Vérifier dans Diagnostics → States que les connexions sont présentes sur les deux pfSense

Livrables

• ✅ Cluster HA fonctionnel avec 2 pfSense
• ✅ VIP CARP correctement configurées (WAN + LAN)
• ✅ Synchronisation pfsync et XMLRPC validée
• ✅ Test de failover réussi avec continuité de service
• ✅ Captures d'écran : Status CARP (Master + Backup), test ping pendant failover
• ✅ Rapport documentant la configuration et les tests

Chapitre 10 : Accès Shell distant et déploiement de scripts SQL

10.1 Activer SSH sur pfSense

Par défaut, le service SSH est désactivé sur pfSense. Il faut l'activer avant de pouvoir se connecter à distance.

System → Advanced → Secure Shell :

Sauvegarder et appliquer les changements. Le service SSH démarre immédiatement.

10.2 Créer la règle firewall WAN pour autoriser SSH

Pour accéder à pfSense en SSH depuis le WAN, il suffit de créer une règle de firewall autorisant le port 22 vers l'adresse WAN de pfSense. Pas besoin de NAT puisqu'on se connecte directement au firewall lui-même.

Firewall → Rules → WAN → Add ↑ :

Sauvegarder → Apply Changes.

⚠️ En production : restreindre le champ Source à votre IP publique uniquement, ou désactiver cette règle après la maintenance.

10.3 Connexion SSH avec Termius

Termius est un client SSH/SFTP multiplateforme (Windows, macOS, Linux, iOS, Android) avec une interface moderne.

Étape 1 : Configurer l'hôte dans Termius

Ouvrir Termius → New Host :

Cliquer sur Connect.

Étape 2 : Le menu console pfSense

Une fois connecté en SSH, pfSense affiche son menu console :

*** Welcome to pfSense 2.7.2-RELEASE (amd64) ***

 WAN (wan)       -> em0        -> v4: DHCP
 LAN (lan)       -> em1        -> v4: 10.x.x.1/24

 0) Logout (SSH only)                  9) pfTop
 1) Assign Interfaces                 10) Filter Logs
 2) Set interface(s) IP address       11) Restart webConfigurator
 3) Reset webConfigurator password    12) PHP shell + pfSense tools
 4) Reset to factory defaults         13) Update from console
 5) Reboot system                     14) Enable Secure Shell (sshd)
 6) Halt system                       15) Restore recent configuration
 7) Ping host                         16) Restart PHP-FPM
 8) Shell

Étape 3 : Accéder au Shell

Taper 8 puis Entrée pour accéder au shell FreeBSD :

Enter an option: 8

[2.7.2-RELEASE][admin@fw01.local.lan]/root:

Vous êtes maintenant dans un shell root FreeBSD. Vous avez accès à toutes les commandes système : ls, cd, cat, mysql, pkg, etc.

⚠️ Attention : Le shell root donne un accès complet au système. Une mauvaise commande peut casser la configuration de pfSense. Toujours savoir ce que vous faites avant d'exécuter une commande.

10.4 Transférer le script PHP via SFTP avec Termius

Le protocole SFTP (SSH File Transfer Protocol) permet de transférer des fichiers de manière sécurisée via la connexion SSH existante.

Le script pfsense_firewall.php automatise les exercices 2, 3 et 4 du TP 1 :

• Création des aliases (SERVEURS_WEB, PORTS_WEB, PORTS_VOIP, DNS_PUBLICS, VLAN_ALL)
• Création des règles de firewall (DATA, VOIX, MGMT)
• Création des Port Forward HTTP/HTTPS vers le serveur web
• Configuration du DNS Resolver (Host Overrides + DNSSEC)

💡 Le script utilise l'API PHP interne de pfSense (/etc/inc/*.inc) pour modifier directement le config.xml et appliquer les changements. Pas besoin de MySQL — tout se fait via les fonctions natives de pfSense.

Étape 1 : Ouvrir une session SFTP dans Termius

Dans Termius :

1. Cliquer sur l'hôte pfSense-FW01 déjà configuré
2. Choisir SFTP au lieu de Terminal (ou utiliser l'icône de transfert de fichiers)
3. L'explorateur SFTP s'ouvre avec l'arborescence de pfSense

Étape 2 : Naviguer vers le dossier cible

Dans le panneau distant (pfSense), naviguer vers :

/root/

C'est le répertoire home de l'utilisateur admin (root) sur pfSense.

Étape 3 : Transférer le fichier PHP

1. Dans le panneau local (votre PC), naviguer vers le dossier contenant pfsense_firewall.php
2. Glisser-déposer le fichier du panneau local vers /root/ sur pfSense
3. Attendre la fin du transfert (barre de progression)

Transfert : pfsense_firewall.php → /root/pfsense_firewall.php ✅

Étape 4 : Vérifier le fichier transféré

Revenir dans le Terminal SSH (option 8 du menu pfSense) :

ls -la /root/pfsense_firewall.php

Résultat attendu :

-rw-r--r--  1 root  wheel  12845 Mar  1 10:30 /root/pfsense_firewall.php

10.5 Adapter le script à votre groupe AVANT le transfert

⚠️ IMPORTANT : Modifier le script sur votre PC avec un éditeur comme VSCode avant de le transférer sur pfSense. Ne pas essayer de l'éditer directement sur pfSense.

Étape 1 : Ouvrir le script dans VSCode

Sur votre poste de travail, ouvrir pfsense_firewall.php dans Visual Studio Code (ou tout autre éditeur de code).

Étape 2 : Localiser le bloc CONFIGURATION

Rechercher le bloc suivant (vers la ligne 70) avec Ctrl+G ou Ctrl+F :

// ============================================================
//  CONFIGURATION — Adapter à votre groupe
// ============================================================

Étape 3 : Modifier les variables selon votre groupe

Remplacer les valeurs par celles de votre groupe :

// Réseaux des VLANs (MODIFIER SELON VOTRE GROUPE)
$NET_DATA = '10.X.10.0/24';   // X = numéro de votre groupe
$NET_VOIX = '10.X.20.0/24';
$NET_MGMT = '10.X.30.0/24';

// Serveurs DATA
$SRV_WEB01 = '10.X.10.10';
$SRV_WEB02 = '10.X.10.11';

// Premier téléphone VOIX
$PHONE01 = '10.X.20.10';

⚠️ Prérequis : Les interfaces DATA, VOIX et MGMT doivent déjà être créées dans pfSense (Exercice 1 du TP) avec les bonnes descriptions (DATA, VOIX, MGMT). Le script les détecte automatiquement par leur nom.

10.6 Exécuter le script

Depuis le shell pfSense (option 8) :

php /root/pfsense_firewall.php

Sortie attendue

=== SCRIPT DEMARRE ===
[OK] Configuration chargee depuis /cf/conf/config.xml
[OK] Interface DATA => opt1
[OK] Interface VOIX => opt2
[OK] Interface MGMT => opt3
[10:30:01] Backup de la configuration en cours...
[10:30:01] Backup créé : config.xml.bak_20260301_103001
[10:30:01] === Création des aliases ===
[10:30:01]   Alias créé : SERVEURS_WEB
[10:30:01]   Alias créé : PORTS_WEB
[10:30:01]   Alias créé : PORTS_VOIP
[10:30:01]   Alias créé : DNS_PUBLICS
[10:30:01]   Alias créé : VLAN_ALL
[10:30:01] === Création des règles firewall ===
[10:30:01]   Création des règles VLAN DATA...
[10:30:01]   Création des règles VLAN VOIX...
[10:30:01]   Création des règles VLAN MGMT...
[10:30:01]   5 règles DATA créées
[10:30:01]   5 règles VOIX créées
[10:30:01]   5 règles MGMT créées
[10:30:01] === Création du Port Forward (NAT) ===
[10:30:01]   NAT créé : Port Forward HTTP vers srv-web01
[10:30:01]   NAT créé : Port Forward HTTPS vers srv-web01
[10:30:02] === Configuration DNS Resolver ===
[10:30:02]   DNSSEC activé
[10:30:02]   Host override : srv-web01.local.lan → 10.7.10.10
[10:30:02]   Host override : srv-web02.local.lan → 10.7.10.11
[10:30:02]   Host override : phone01.local.lan → 10.7.20.10
[10:30:02] === Sauvegarde de la configuration ===
[10:30:02]   config.xml mis à jour
[10:30:02] === Application des règles firewall ===
[10:30:05]   Règles firewall appliquées
[10:30:05] === Redémarrage du DNS Resolver ===
[10:30:07]   DNS Resolver redémarré
[10:30:07] === TERMINÉ - Configuration appliquée avec succès ===

⚠️ Si le script affiche [ERREUR] Interface DATA introuvable, vérifier que vos interfaces sont bien nommées DATA, VOIX et MGMT dans Interfaces → Assignments (la description doit correspondre exactement).

10.7 Vérifier dans l'interface web

Après exécution du script, ouvrir le webConfigurator et vérifier chaque élément :

10.8 Ce que fait le script en détail

Le script utilise les fonctions internes de pfSense pour modifier la configuration :

┌──────────────────────────────────────────────────────────┐
│           Fonctionnement du script                        │
│                                                          │
│  pfsense_firewall.php                                    │
│       │                                                  │
│       ├─ 1. parse_config() ──→ Lit config.xml            │
│       │                                                  │
│       ├─ 2. Modifie le tableau $config en mémoire        │
│       │     - $config['aliases']['alias'][]            │
│       │     - $config['filter']['rule'][]              │
│       │     - $config['nat']['rule'][]                 │
│       │     - $config['unbound']['hosts'][]            │
│       │                                                  │
│       ├─ 3. write_config() ──→ Écrit config.xml          │
│       │                                                  │
│       ├─ 4. filter_configure() ──→ Applique le firewall  │
│       │                                                  │
│       └─ 5. services_unbound_configure() ──→ Relance DNS │
└──────────────────────────────────────────────────────────┘

💡 Sécurité : Le script crée automatiquement un backup du config.xml avant toute modification. En cas de problème, restaurer avec :

cp /cf/conf/config.xml.bak_XXXXXXXX_XXXXXX /cf/conf/config.xml
rm /tmp/config.cache
/etc/rc.reload_all

Copier

10.9 Récapitulatif des étapes

💡 Astuce Termius : Vous pouvez sauvegarder vos hôtes, identifiants et clés SSH dans Termius pour vous reconnecter rapidement sans retaper les informations à chaque fois.

💡 Ré-exécution : Le script est idempotent — il supprime les règles qu'il a créées avant de les recréer. Vous pouvez donc le relancer en toute sécurité après avoir modifié les variables.

10.10 Où trouver le script ?

Télécharger le script : pfsense_firewall.php

Le script est servi depuis le wiki (dossier public/). Après téléchargement : ouvrez-le dans VSCode, adaptez les variables en tête (groupe G1 à G7, réseaux DATA/VOIX/MGMT), puis transférez-le sur pfSense via SFTP (voir § 10.4) et exécutez php /root/pfsense_firewall.php (voir § 10.6).