Provya

Sécurité et téléphonie

Articles & Tutoriaux  -  Liens & Actualités

[pfSense] Comprendre la gestion des interfaces réseaux

icon 13/01/2015

La gestion des interfaces réseaux sous pfSense peut être quelque peu déroutante pour un débutant. Nous présentons ici les rappels de base et les cas d'utilisation de chaque type d'interface.

Il existe 3 types d'interfaces sous pfSense :

  • interface physique : correspond aux interfaces physiques réelles du serveur sur lequel tourne pfSense. Ces interfaces sont généralement nommées re0, re1, etc.
  • interface virtuelle : ces interfaces sont automatiquement créées lors de la création d'un VLAN, d'un serveur OpenVPN, etc. Elles sont donc associées à un service.
  • interface logique : ce sont les interfaces que nous pouvons configurer (attribution d'adresse IP, règle de filtrage du firewall, etc.). Ces interfaces sont associées à une interface physique ou virtuelle.

Les deux premiers types d'interfaces (interface physique et interface virtuelle) sont appelés "ports réseaux".

Une interface logique doit être associée à un port réseau.

Un port réseau (c'est-à-dire une interface physique ou virtuelle) ne peut être associé qu'à une seule interface logique (c'est-à-dire configurable).



Interfaces physiques

Une interface physique correspond à une carte réseau du serveur pfSense.
Ces interfaces sont généralement nommées re0, re1, re2, etc. Elles sont identifiées par leur adresse MAC.

Lors de l'installation de pfSense, il est proposé de configurer les interfaces. Ce sont des interfaces logiques. Elles sont créées, configurées et associées aux interfaces physiques.
Ainsi, dans le cas d'un pfSense disposant de deux interfaces (une interface LAN et une interface WAN), on aurait eu l'association suivante :

WAN [interface logique] = re0 [port réseau]
LAN [interface logique] = re1 [port réseau]





Interfaces virtuelles

Ces interfaces sont créées lors de l'activation de certains services (VLAN, OpenVPN).

La configuration d'un serveur OpenVPN entraîne automatiquement la création d'une interface virtuelle associée à cette instance serveur OpenVPN (elle sera nommée ovpns1, ovpns2, etc.). Cette interface n'est pas configurable en l'état : ce n'est qu'un port réseau. Il est nécessaire de l'associer à une interface logique afin de pouvoir lui associer des règles de firewall ou de NAT spécifiques.

Exemple de résultat obtenu :



Dans la capture d'écran ci-dessus, on voit que l'interface logique "monVPN" est associée à l'interface virtuelle "ovpns1" qui a été créée lors de la configuration du serveur OpenVPN "serveur VPN Provya".

De la même façon, la création d'un VLAN entraîne la création d'une interface virtuelle (qui sera nommée VLAN1, VLAN2, etc.).
Cette interface virtuelle devra être associée à une interface logique afin de pouvoir lui associer des règles de firewall ou de NAT spécifiques.



Interfaces logiques

Les interfaces logiques sont les interfaces configurables. Ce sont ces interfaces que l'on va configurer : associer une adresse IP ; activer un serveur DHCP ; configurer des règles de firewall ou de NAT ; etc.

Ainsi, lors de la configuration d'un service (DHCP, OpenVPN, Portail Captif, etc.) les interfaces proposées seront toujours les interfaces logiques.

Les interfaces logiques les plus connues sont LAN et WAN.

Une interface logique est obligatoirement associée à un port réseau (c'est-à-dire à une interface physique ou virtuelle).



Groupe d'interfaces

Un groupe d'interfaces rassemble plusieurs interfaces logiques.
Ce groupe est donc un groupe logique auquel on peut appliquer des règles de firewall ou de NAT.

L'utilisation d'un groupe d'interfaces est utile si l'on dispose de plusieurs interfaces logiques sur lesquelles on souhaite appliquer exactement les mêmes règles.
Ainsi, les règles de firewall définies pour ce groupe s'appliqueront à toutes les interfaces du groupe.

La création de groupe d'interfaces se fait dans le menu Interfaces > (assign) :



Puis onglet "Interface Groups".
L'ajout se fait en cliquant sur l'icône en forme de "+".
On renseigne le nom du groupe d'interfaces, une description (facultative) et la liste des interfaces faisant partie du groupe :



Ce groupe d'interfaces sera visible dans les onglets du firewall :



Il est à noter qu'au niveau du firewall, ce sont les règles du groupe d'interfaces qui sont vérifiées, avant les règles de l'interface logique.



Cas particuliers : OpenVPN

Lors de la création d'une instance serveur ou client OpenVPN, hormis les interfaces virtuelles (ovpns1 ou ovpnc1), un groupe d'interfaces nommé "OpenVPN" est automatiquement créé.

Les configurations réalisées sur ce groupe "OpenVPN" s'appliquent à l'ensemble des services OpenVPN (c'est-à-dire tous les serveurs ou tous les clients OpenVPN configurés).

Si l'on souhaite une granularité de configuration par instance OpenVPN, alors on doit créer une interface logique pour chaque interface virtuelle OpenVPN existante.



Cas d'application

Lors de la configuration d'un service (DHCP, OpenVPN, Portail Captif, etc.) les interfaces proposées seront toujours les interfaces logiques.
Pour les services dont la configuration peut se faire pour plusieurs interfaces (une règle de firewall, par exemple), il sera également proposé les groupes d'interfaces.

Il existe deux cas particuliers à noter : la configuration des clients ou serveurs OpenVPN et IPsec.
Pour ces services, le choix de l'interface sera :
  1. les interfaces logiques
  2. les groupes de gateway
  3. les adresses VIP
  4. l'interface localhost
  5. toutes les interfaces logiques existantes (choix "any")
Les groupes d'interfaces ne seront pas proposés.


Nous voila maintenant armés pour bien comprendre et configurer correctement les services sur les bonnes interfaces réseau !


Vous avez aimé cet article ? Vous cherchez un support professionnel ? Alors contactez-nous.

Nouveau : découvrez nos firewall Gbps full-SSD pour pfSense 2.4+

       

store.provya.fr

icon Tags de l'article :

6 commentaires

ideal - 30/08/2017 à 08:43:31

bonjour
en faite j'ai installé pfsense avec virtualbox et jaimerai que ma machine physique peut le voir, je l'ai deja attribuer des adresses ip en meme reseau mais jene peu tjr pas pinguer

@répondre #lien

Guillaume - 31/08/2017 à 15:34:40

@ideal : Bonjour,
Solution simple pour écarter un problème de configuration côté pfSense : vous autorisez tout au niveau du firewall.
Mais il est fort probable que le problème vienne de votre configuration de virtualbox. Je vous recommande de poser votre question sur un forum consacré à virtualbox.

Cordialement,

Guillaume
--
Provya

@répondre #lien

ideal - 31/08/2017 à 15:57:13

@Guillaume :
merci, maintenant,je l'ai installé, physiquement, et j'aimera faire un portail captif,utilisant ldap et radius mais je ne sais pas ou créer les utilisateurs de radius, du coup je suis moi meme bloqué de monportail captif et je recommence a zero pour pouvoir connecté

@répondre #lien

berhe - 04/10/2018 à 16:40:51

bonjour au faite moi mon probleme est au niveau de l'interface logique.
au niveau de ma machine physique si je ping l'adresse lan du pfsense sa ne ping pas
aussi au niveau du client sa ne ping toujours pas je suis sur vmware, tendre moi la perche

@répondre #lien

Guillaume - 04/10/2018 à 17:41:56

@berhe :
Bonjour,

Avez-vous autorisé le ping sur l'interface LAN du pfSense ? Il faut vérifier qu'une règle de filtrage permettant le ping depuis le réseau local à destination du firewall soit bien présente.
Après cette vérification, si cela ne fonctionne toujours pas, vous devriez vérifier votre configuration réseau côté vmware.

Cordialement,

Guillaume
--
Provya

@répondre #lien

icon Flux RSS des commentaires de cet article