Dans cet article nous traitons de la gestion des passerelles réseaux (gateway) sous pfSense.
Passerelle - la clé de voûte du routage
Une passerelle réseau (gateway) est un dispositif permettant de donner accès d'un réseau à un autre réseau.
La passerelle la plus connue est la passerelle par défaut (default gateway) ; c'est celle qui nous permet d'accéder à Internet ou à tout autre réseau inconnu d'une façon plus générale.
Généralement, les passerelles disposent d'une adresse IP dans chaque sous-réseau qu'elles permettent de joindre. Si ce n'est pas le cas, elles posséderont alors, à leur tour, une passerelle par défaut.
Il existe une exception notable avec les interfaces point à point, comme celles utilisées avec les protocoles PPP. Ces interfaces ont souvent des adresses IP de passerelle dans un autre sous-réseau car elles ne sont pas utilisées de la même manière.
Pour une introduction plus complète, nous proposons la consultation de la page Wikipédia Passerelle (informatique).
Nous allons voir comment pfSense gère ses passerelles et les possibilités de configuration qui nous sont offertes.
Passerelle - IPv4 et IPv6
Les principes de routage et de fonctionnement des passerelles sont les mêmes avec IPv4 et IPv6.
Cependant, il n'est pas possible de mélanger les deux types d'adresses IP dans ses configurations. Par exemple, un réseau IPv4 devra avoir une passerelle disposant d'une adresse IPv4 ; une route ne peut pas être créée en utilisant une passerelle IPv6 pour un réseau IPv4.
De la même façon, lorsque l'on travaille avec des groupes de passerelles (dont nous verrons la configuration plus loin dans cet article), il n'est pas possible de mixer des passerelles IPv4 et IPv6 au sein d'un même groupe.
Gestion des passerelles
La gestion des passerelles s'effectue depuis le menu System > Routing :
Depuis ce menu il est possible de modifier une passerelle existante, ajouter/supprimer une passerelle, définir des routes statiques, créer des groupes de passerelles et choisir sa passerelle par défaut.
Certaines passerelles sont obtenues automatiquement via DHCP ; dans ce cas, il n'est pas possible de les supprimer. Il est cependant possible des les personnaliser.
Dans la suite de cet article nous passons en revue les configurations possibles pour les passerelles.
Création / Modification d'une passerelle
L'ajout d'une nouvelle passerelle se fait en cliquant sur le bouton "+ Add" depuis l'onglet "Gateways" (onglet par défaut).
La modification se fait en cliquant sur l'icône en forme de crayon 
se trouvant sur la ligne de la passerelle.
Enfin, il est possible de dupliquer une passerelle en cliquant sur l'icône associée 
.
Les éléments configurables sont les suivants :
- Disabled : permet de désactiver une passerelle.
- Interface : l'interface sur laquelle la passerelle est joignable. Dans une configuration classique pour une accès vers Internet, il s'agit de l'interface "WAN".
- Address Family : IPv4 ou IPv6.
- Name : le nom que l'on souhaite donner à notre passerelle. Ce nom ne peut contenir que des caractères alphanumériques ou underscore ; pas de caractères spéciaux, ni d'espace.
- Gateway : l'adresse IP de la passerelle ; cette adresse IP doit être dans le même sous-réseau que celui configuré sur l'interface choisie (WAN, dans notre exemple). Si ce n'est pas le cas, il faudra cocher la case "Use non-local gateway" dans les options avancées.
- Gateway Monitoring : cocher la case permet de désactiver la supervision de la passerelle. Ainsi, la passerelle sera considérée comme étant toujours joignable. Sauf si vous avez une bonne raison, cette case ne devrait pas être cochée.
- Gateway Action : cocher cette case permet de considérer que la passerelle est toujours joignable. Cette option peut être pratique si l'on souhaite superviser l'état de la passerelle sans pour autant laisser pfSense modifier le routage automatiquement en cas d'injoignabilité de la passerelle. Sauf bonne raison, cette case devrait rester décochée.
- Monitor IP : l'adresse IP qui sera pinguée afin de déterminer si la passerelle est joignable ou non-joignable. Par défaut, si ce champ est laissé vide, c'est l'adresse IP de la passerelle elle-même qui sera pinguée. Il peut être pratique de choisir une autre adresse IP si la passerelle ne répond pas aux PING ou si on préfère pinguer une adresse IP sur Internet plutôt que l'adresse IP de la BOX de l'opérateur, par exemple.
- Force state : cocher cette case permet de forcer l'état de la passerelle à "injoignable" ; ainsi, elle ne sera pas utilisée par pfSense. Ce peut être une option pratique si on rencontre du bagot (instabilité) sur une passerelle ; cela permet alors de la désactiver sans avoir besoin de la supprimer.
- Description : un champ description.
Exemple de résultat obtenu :
On peut également, si on le souhaite, personnaliser les options avancées de la passerelle en cliquant sur le bouton "Display Advanced". Les paramètres avancés que l'on peut configurer sont les suivants :
Weight
Le poids de la passerelle. Cette valeur est utilisée dans les groupes de passerelle pour répartir le trafic de manière inéquitable entre deux passerelles. Par exemple, si nous avons 2 accès à Internet : WAN1 avec 10 Mbps de bande-passante et WAN2 avec 20 Mbps de bande-passante, alors nous pouvons configurer la passerelle de WAN1 avec un poids de 1 et celle de WAN2 avec un poids de 2 ; ainsi pour 3 trafics sortant, 2 passeront par WAN2 et 1 passera par WAN1 (répartition 1/3 - 2/3). Le poids donné peut aller de 1 à 30.
Data Payload
Par défaut, le ping envoyé vers la passerelle a une taille de payload à 0 (aucune donnée n'est contenue dans la requêtes ICMP). Dans de très rares circonstances, cela peut poser des problèmes (routeur intermédiaire refusant les paquet avec un payload à 0) ; dans ce cas, passer le payload à 1 devrait corriger le problème.
Latency thresholds
Permet de configurer les seuils d'alerte pour la latence de la passerelle.
Les valeurs sont exprimées en millisecondes.
Le premier seuil définit le seuil d'alerte : lorsqu'il est atteint, une alerte est générée, mais la passerelle est considérée comme étant toujours joignable. Par défaut, cette valeur est de 200 ms.
Le second seuil définit le seuil maximal de tolérance : lorsqu'il est atteint, la passerelle est considérée comme n'étant plus joignable. Par défaut, cette valeur est de 500 ms.
Packet Loss thresholds
Permet de configurer les seuils d'alerte pour le taux de perte de paquets de la passerelle.
Les valeurs sont exprimées en pourcentage (0 signifie 0% de perte de paquets, 100 signifie 100% de perte de paquets).
Le premier seuil définit le seuil d'alerte : lorsqu'il est atteint, une alerte est générée, mais la passerelle est considérée comme étant toujours joignable. Par défaut, cette valeur est de 10%.
Le second seuil définit le seuil maximal de tolérance : lorsqu'il est atteint, la passerelle est considérée comme n'étant plus joignable. Par défaut, cette valeur est de 20%.
Probe Interval
La valeur du champ "Probe Interval" détermine la fréquence à laquelle une requête ping est envoyée vers l'adresse IP de la passerelle (ou l'adresse IP à superviser, si elle a été personnalisée), en millisecondes. Par défaut, une requête ping est envoyée deux fois par seconde (500 ms).
Loss Interval
La durée au bout de laquelle les PING restés sans réponse sont considérés comme perdus. La valeur par défaut est 2000 ms (2 secondes).
Cette valeur doit être supérieure ou égale au seuil maximale toléré pour la latence.
Time Period
La durée sur laquelle les résultats du ping sont moyennés. La valeur par défaut est 60000 ms (60 secondes, une minute).
Saisir une durée plus longue mettra ainsi plus de temps pour que la latence ou la perte déclenche une alarme ; en revanche, elle sera moins susceptible d'être affectée par un comportement erratique dans les résultats de ping.
La durée choisie doit être supérieure à deux fois la somme de Probe Interval et de Loss Interval, autrement les résultats retournés peuvent être incohérents.
Alert interval
L'intervalle de temps, en millisecondes, entre deux vérifications de la présence d'une alerte. La valeur par défaut est 1000 ms (1 seconde).
Cette valeur devrait être supérieure ou égale à la valeur de Probe Interval, car il n'est pas possible qu'une alerte soit déclenchée entre deux mesures distinctes (c'est la nouvelle mesure qui peut potentiellement déclencher une alerte si les seuils configurés ont été atteints).
Use non-local gateway
Cocher cette option permet une configuration non-standard où l'adresse IP de la passerelle n'est pas dans le même sous-réseau que celui configuré sur l'interface de pfSense. Il reste très rare d'avoir besoin d'activer cette option ; cependant avec la pénurie d'IPv4, un certain nombre d'opérateurs ont, semble-t-il, tendance à recourir à cet artifice pour économiser le nombre d'adresses IP publiques consommées par client.
Création d'un groupe de passerelles
Un groupe de passerelles est une solution efficace pour mettre en place de la redondance (une passerelle primaire, une secondaire) ou de la répartition de charge (deux passerelles primaires).
La configuration d'un groupe de passerelles est utile dans un environnement multi-WAN, par exemple.
La création ou la modification d'un groupe de passerelles s'opère depuis l'onglet "Gateway Groups" du menu System > Routing.
Les éléments configurables sont les suivants :
Group Name
Le nom du groupe de passerelles. Ce nom ne peut contenir que des caractères alphanumériques ou underscore ; pas de caractères spéciaux, ni d'espace.
La longueur maximale est de 32 caractères.
Gateway Priority
Cette liste contient toutes les passerelles disponibles. Pour chaque passerelle, deux éléments de configuration sont à définir :
Tier : l'ordre de priorité de la passerelle ; il y a cinq niveaux de priorité de Tier 1 (le plus prioritaire) à Tier 5 (le moins prioritaire). Si deux passerelles sont configurées avec deux niveaux de priorité différente, alors seule la passerelle avec le niveau de priorité le plus fort sera utilisée.
Pour bien comprendre, c'est-à-dire que ce sont les passerelles disposant du niveau de priorité Tier 1 qui seront utilisées exclusivement ; s'il n'y pas ou plus de passerelles Tier 1 de disponibles, alors ce seront les passerelles disposant d'une priorité Tier 2 qui seront utilisées exclusivement ; etc.
Si deux passerelles sont configurées avec le même niveau de priorité, alors le trafic sera réparti sur ces deux passerelles en fonction de leur poids respectif (configurable dans les options de la passerelle - champ "Weight" des options avancées).
Enfin, il est possible de choisir "Never" pour ne pas inclure la passerelle en question dans le groupe.
Virtual IP : l'adresse IP à utiliser. Par défaut, il s'agit de l'adresse IP de pfSense sur l'interface concernée, mais cela pourrait aussi être une adresse IP virtuelle, par exemple.
Trigger Level
Ce champ permet de définir selon quelle condition une passerelle doit être exclue du groupe. 4 valeurs sont possibles :
Member Down : exclu la passerelle que si elle est considérée comme non-joignable.
Packet Loss : exclu la passerelle si le taux de perte de paquet atteint la valeur du seuil d'alerte de Packet Loss thresholds de la passerelle (10% par défaut).
High Latency : exclu la passerelle si la latence atteint la valeur du seuil d'alerte de Latency thresholds de la passerelle (200ms par défaut).
Packet Loss or High Latency : exclu la passerelle si la latence ou le taux de perte de paquets atteint le seuil d'alerte de la passerelle.
Description
Un champ description.
Exemple configuration :
Sur la capture d'écran ci-dessus, la configuration est la suivante : uniquement la passerelle "WAN_Gateway_1" sera utilisée (c'est la seule en Tier 1) ; si elle devient injoignable, alors les deux passerelles "WAN_Gateway_2" et "WAN_Gateway_3" seront utilisées en répartition de charge (toutes les deux sont en Tier 2).
Dès que la passerelle "WAN_Gateway_1" sera de nouveau joignable, alors le trafic rebasculera exclusivement sur celle-ci.
Configuration d'une route statique
Les routes statiques sont utilisées lorsque des hôtes ou des réseaux sont accessibles par un routeur autre que la passerelle par défaut.
Le firewall connaît les réseaux qui lui sont directement rattachés et il atteint tous les autres réseaux selon les indications de la table de routage ; c'est-à-dire via sa passerelle par défaut ou via une route statique.
Ainsi, dans les réseaux où un routeur interne connecte des sous-réseaux internes supplémentaires, une route statique doit être définie pour que ces réseaux soient accessibles.
Pour ajouter une nouvelle route, se rendre dans l'onglet "Static Routes" du menu System > Routing.
Les éléments configurables sont les suivants :
Destination network
L'adresse IP ou le réseau de destination.
Ce peut être une adresse IPv4, un préfixe IPv6 ou un alias.
Nous déconseillons très fortement l'utilisation d'un alias car la table de routage n'est pas mise à jour quand un alias est mis à jour. Il s'agit donc d'une solution totalement déconseillée.
Gateway
La passerelle par laquelle le réseau sera joignable.
Disabled
Permet de désactiver une route sans pour autant la supprimer.
Description
Un champ de description.
Que l'on ait créé ou modifié une passerelle, un groupe de passerelles ou une route statique, il faut penser à cliquer sur le bouton "Apply Changes" afin que les configurations soient prises en compte.
Choix de la passerelle par défaut
Le choix de la passerelle par défaut s'opère depuis l'onglet Gateways du menu System > Routing (en bas de page).
Il est possible de définir une passerelle par défaut pour IPv4 et une autre pour IPv6.
Par défaut, IPv6 aura la priorité sur IPv4.
Si l'on préfère qu'IPv4 ait la préférence sur IPv6, alors il faut cocher la case "Prefer IPv4 over IPv6" depuis l'onglet Networking du menu System > Advanced.
Pour le choix de la passerelle par défaut, les valeurs suivantes seront proposées :
- Automatic : choix par défaut ; pfSense utilisera la première passerelle disponible dans la liste des passerelles configurées, en allant du haut vers le bas.
- Choisir une passerelle : cette passerelle sera systématiquement utilisée comme passerelle par défaut par pfSense.
- Choisir un groupe de passerelles : pfSense utilisera les passerelles du groupe dans l'ordre de priorité dans lequel elles ont été définies ; pour que cela fonctionne correctement, il faut qu'il n'y ait qu'une seule passerelle par priorité (il n'est pas possible de faire du load-balancing sur la passerelle par défaut).
- None : aucune passerelle par défaut ne sera définie pour ce type d'adresse (IPv4 ou IPv6).
Ordre de priorité des règles de routage
L'ordre de priorité suivant lequel le routage se fera est le suivant :
- Règle de filtrage : si dans une règle de filtrage (menu Firewall > Rules), une passerelle a été choisie dans les options avancées de configuration de la règle, alors c'est vers cette passerelle que le trafic sera routé, quel que soit l'état de la table de routage de pfSense.
- Réseau attaché à une interface : si un sous-réseau est connu par pfSense car il est configuré sur une de ses interfaces, alors pfSense va router directement le trafic sans passer par une passerelle.
- Route statique : si la destination d'un trafic correspond à un route statique configurée, alors pfSense suivra cette route statique.
- Passerelle par défaut : enfin, si la destination n'est pas connue de pfSense, alors il routera le trafic vers sa passerelle par défaut.
Enfin, si un doute subsiste sur le routage que va suivre pfSense ou sur l'état de la table de routage, on peut s'appuyer sur notre article dédié : [pfSense] Comprendre et analyser ses règles de routage
Voilà, nous avons fait un tour complet des éléments à connaître pour la gestion de ses passerelles réseaux sous pfSense !
Pour aller plus loin
[pfSense] Comprendre et analyser ses règles de routage
[pfSense] Configurer un dual-WAN (plusieurs connexions Internet)
Tous nos articles classés par thème
Voir un article au hasard
Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.
Retrouvez nos services et firewall pour pfSense
store.provya.fr
Tags de l'article : passerellespfSense
English version: pfSense 2.5.2 now available
Mercredi 07 juillet 2021 est sortie la dernière version de pfSense. La version 2.5.2.
Il s'agit d'une mise à jour qui apporte principalement des corrections de bugs, ainsi qu'un timide retour de Wireguard.
Dans cet article, nous faisons le tour rapide des éléments marquants de cette mise à jour.
Bugs / Améliorations
Concernant le routage, il existait deux bugs importants qui ont été corrigés :
- Correction de l'énorme bug qui empêchait de mettre en œuvre des redirections de ports sur les WAN secondaires. Ce problème était apparu avec la version 2.5.1.
- Correction d'un bug qui empêchait de faire du 1:1 NAT sur les VPN IPsec.
De nombreuses anomalies liées à l'interface web ou à PHP ont également été corrigées :
- Dashboard / sonde de température : les valeurs retournées étaient vides ou fausses pour certains matériels.
- Widget IPsec : uniquement la première phase 2 était affichée dans certain cas sur le tableau de bord.
- La modification de Widget pouvait provoquer des avertissements PHP (Warning).
- Le Widget NTP affichait des valeurs incorrectes ou incohérentes.
- Affichage / code PHP : correction d'un certain nombre d'erreurs d'affichage ou d'erreurs PHP.
- Corrections des erreurs PHP qui étaient affichées lorsque le fichier PHP_error.log était trop volumineux.
Les autres corrections notables sont les suivantes :
- Portail captif : correction d'une faille de sécurité de type XSS qui permettait l'exécution de code javascript s'il était passé dans la variable redirurl ;
- Résolveur DNS (Unbound) : retour vers Unbound 1.12.x car il y avait trop d'instabilité avec Unbound 1.13.x. C'est temporaire, les futures version de pfSense re-basculeront sur Unbound 1.13.x dès que cela aura été stabilisé ;
- AES-NI (accélération cryptographique) : correction d'un bug sur le support de SHA1 et SHA-256 lorsqu'AES-NI est utilisé ;
- IPsec : correction de nombreux bugs résiduels qui étaient apparus avec pfSense 2.5.0 et qui n'avaient pas été corrigés avec la version 2.5.1 ;
- OpenVPN : correction de plusieurs petits bugs et mise à jour d'OpenVPN vers la version 2.5.2 ;
- Interfaces réseaux : correction d'un bug qui empêchait de modifier la MTU si IPv4 et IPv6 étaient tous les deux actifs sur l'interface.
Enfin, plusieurs améliorations au niveau du système d'exploitation (FreeBSD) ont été ajoutées :
- Ajout du pilote RTL8153 (qui est un adaptateur USB vers Ethernet) au noyau FreeBSD ;
- Ajout du support pour la console Xen ;
- Ajout de nouveaux algorithmes de contrôle de la congestion réseau.
Nouveautés
Il n'y a pas de grosses nouveautés pour cette version de pfSense.
On peut cependant noter l'ajout du support des fournisseurs de DNS dynamique suivant : Mythic-Beasts, one.com, Yandex PDD, NIC.RU et Gandi LiveDNS IPv6.
Dernier élément notable, le package WireGuard est réintroduit en tant que package expérimental.
À utiliser avec précaution, donc.
Processus de mise à jour
Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.
Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :
pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade
Pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.
Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.5.2 New Features and Changes [EN]
Pour aller plus loin
[pfSense] Mettre à jour son serveur pfSense
WireGuard est retiré de pfSense pour des raisons de sécurité
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard
Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.
Retrouvez nos services et firewall pour pfSense
store.provya.fr
Tags de l'article : mise à jour pfSensepfSense
English version: [pfSense] Making automatic backups with a script
Dans cet article, nous présentons une solution pour sauvegarder automatiquement son pfSense avec un script shell.
Nous nous appuyons sur le script shell bm-backup-pfsense proposé par le site Blogmotion.
Principe de fonctionnement
Le script va se connecter sur l'interface web du pfSense à sauvegarder et va "naviguer" dans les menus afin de déclencher le téléchargement du fichier de configuration (config.xml).
L'intérêt de ce script est qu'il passe par l'interface web de pfSense pour effectuer la sauvegarde. Ainsi, il n'y a pas besoin d'activer un accès SSH sur le serveur pfSense que l'on souhaite sauvegarder et l'on peut créer un compte utilisateur avec les droits strictement nécessaires pour effectuer la sauvegarde.
D'une façon générale, nous recommandons de se méfier des scripts ou applications qui nécessitent un accès SSH "root" sur les firewall pfSense ; cela représente un risque trop important en terme de sécurité.
Le script bm-backup-pfsense fonctionne très bien sous pfSense 2.4.x, 2.5.x et 2.6.x.
Création d'un compte utilisateur
Pour commencer, nous allons créer un compte utilisateur dédié à la sauvegarde.
Se rendre dans le menu System > User Manager :
Depuis l'onglet "Users" (onglet par défaut), cliquer sur le bouton "+ Add".
Nous créons un nouvel utilisateur en précisant simplement un nom d'utilisateur (username) et un mot de passe (password). Les autres champs peuvent être laissés vides.
Exemple de résultat obtenu :
Création d'un utilisateur dédié pour la sauvegarde
Pour en savoir plus sur la gestion des utilisateurs sous pfSense, consultez notre article dédié : [pfSense] La gestion des utilisateurs.
Nous pouvons maintenant modifier cet utilisateur afin de lui assigner les bons droits d'accès.
Pour cela, cliquer sur l'icône en forme de crayon se situant sur la ligne de l'utilisateur que nous venons de créer :
Descendre au niveau de la rubrique "Effective Privileges" et cliquer sur le bouton "+ Add" :
Nous ajoutons le droit d'accès à la page de Sauvegarde / Restauration en sélectionnant la ligne "WebCfg - Diagnostics: Backup & Restore" :
Nous validons notre choix en cliquant sur le bouton "Save", puis nous sauvegardons la modification de l'utilisateur en cliquant de nouveau sur le bouton "Save".
Ainsi, notre utilisateur "sauvegarde-auto" peut se connecter sur l'interface web de pfSense mais n'aura accès qu'à la page Backup & Restore :
L'utilisateur sauvegarde-auto n'a accès qu'à une seule page de notre pfSense
Configuration du script
Le script bm-backup-pfsense doit pouvoir s'exécuter sur n'importe quelle distribution GNU/Linux ou serveur FreeBSD/pfSense.
Dans notre cas, nous exécuterons ce script depuis un serveur de sauvegarde Linux hébergé sur notre réseau local (LAN).
Nous téléchargerons le script pfmotion_curl.sh.
Il existe deux autres versions de bm-backup-pfsense : une version utilisant le programme wget et une version permettant de sauvegarder plusieurs pfSense (à condition que le nom d'utilisateur et le mot de passe soient identiques sur tous les pfSense à sauvegarder).
Le fichier pfmotion_curl.sh est très simple à paramétrer ; il suffit de compléter les variables suivantes :
- PFSENSE_HOST (ligne 14) : l'adresse IP du serveur pfSense à sauvegarder
- PFSENSE_USER (ligne 17) : le compte utilisateur pour se connecter à pfSense. Dans notre cas : sauvegarde-auto
- PFSENSE_PASS (ligne 18) : le mot de passe associé au compte utilisateur
- BACKUP_DIR (ligne 21) : le dossier de sauvegarde (par défaut, les sauvegardes seront enregistrées dans le dossier conf_backup du répertoire où est exécuté le script)
Exemple de résultat obtenu :
Il ne nous reste plus qu'à lancer le script :
Le script s'est déroulé avec succès. Sauvegarde effectuée
Nous pouvons automatiser le lancement de ce script, toutes les nuits par exemple, via une tâche cron.
Enfin, et pour être complet, nous proposons d'ajouter deux fonctionnalités complémentaires au script :
- Une alerte par e-mail si la sauvegarde ne s'effectue pas correctement
- La suppression des sauvegardes de plus de 30 jours
Alerte par e-mail si la sauvegarde ne s'effectue pas correctement
Il suffit d'ajouter le code suivant aux lignes 71 et 78 :
echo "Erreur lors de la sauvegarde de pfSense" | mail -s "Sauvegarde auto pfSense - ERREUR" mon@adresse.tld
Ce qui donnera quelque chose comme ceci :
Il faut, bien-sûr, remplacer mon@adresse.tld par l'adresse e-mail destinée à recevoir les notifications.
Il faut également avoir préalablement configuré sur son serveur un programme d'envoi d'email tel que Postfix ou Sendmail.
Nous proposons un article succinct sur l'installation et la configuration de Postfix sur un serveur Ubuntu ou Debian : [Postfix] Installer et configurer Postfix pour envoyer ses e-mails depuis un serveur dédié
Suppression des sauvegardes de plus de 30 jours
Nous proposons d'ajouter le code suivant qui va s'occuper de rechercher et supprimer les fichier de plus de 30 jours se trouvant dans le dossier de sauvegarde.
# Suppression au dela de 30 jours
find "$BACKUP_DIR/" -type f -mtime +30 -exec rm {} \;
Ce code est à placer en fin de script, juste avant les deux dernières lignes :
echo
exit 0
Voilà, nous disposons d'une solution simple, pratique et efficace pour sauvegarder automatiquement notre serveur pfSense.
Merci à Mr Xhark du site Blogmotion pour sa réalisation et son partage.
Pour aller plus loin
[pfSense] Sauvegarder automatiquement sa configuration avec AutoConfigBackup
[Postfix] Installer et configurer Postfix pour envoyer ses e-mails depuis un serveur dédié
Tous nos articles classés par thème
Voir un article au hasard
Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors visitez notre boutique en ligne.
Retrouvez nos services et firewall pour pfSense
store.provya.fr
Tags de l'article : pfSensesauvegarder son pfSense
English version: [pfSense] The package system in pfSense
pfSense propose l'installation de packages afin de pouvoir lui ajouter des fonctionnalités supplémentaires.
Dans cet article, nous présentons le fonctionnement des packages, leur gestion (installation, mise à jour, suppression), ainsi que les principaux packages.
Qu'est-ce qu'un "package"
Dans son installation par défaut, pfSense offre une large palette de fonctionnalités. Il est en plus possible de lui adjoindre des fonctionnalités supplémentaires par l'installation de packages. Ces packages peuvent offrir des services complémentaires ou des informations statistiques avancées.
Ces packages sont intégrés à pfSense. C'est-à-dire que leur utilisation se fait généralement via l'interface web de pfSense.
De même, la liste des packages disponibles est maintenue et vérifiée par Netgate, l'éditeur du logiciel pfSense, afin de s'assurer que les packages proposés soient correctement mis à jour et maintenus.
Les packages sont les seuls outils additionnels que l'on peut installer aisément sur un pfSense existant. En effet, le logiciel pfSense tournant sur une base FreeBSD modifiée, l'ensemble des packages ou logiciels habituellement disponibles sous FreeBSD (via pkg, par exemple, l'outil de gestion des paquets de FreeBSD) ne pourra pas forcément être installé sur pfSense (pour des problématiques de dépendances, principalement).
Enfin, il est important de rappeler que l'installation de packages sur pfSense doit se faire de manière mesurée et pragmatique ; pour des raisons de sécurité, il est recommandé de n'installer que les package strictement nécessaires.
Comment installer un package
L'installation d'un package s'opère depuis le menu System > Package Manager :
La gestion des packages est organisée sous la forme de deux onglets :
Le premier onglet (Installed Packages) permet de visualiser les packages installés. Il est également possible depuis cet onglet de réinstaller un package ou de le mettre à jour.
Le deuxième onglet (Available Packages) permet de parcourir la liste complète des packages disponibles et pas encore installés.
Pour chaque package, les informations suivantes sont présentées :
- Name : le nom du package ; un lien peut être présent sur le nom du package en priorité vers la page de documentation associée, vers la catégorie dédiée sur le forum pfSense ou vers le site de l'éditeur.
- Version : la version installée ou installable.
- Description : une description succincte en anglais du package.
Depuis l'onglet "Available Packages", il est également possible de lancer une recherche sur un mot clef.
Pour installer un package donné, il suffit de cliquer sur le bouton "Install" se situant sur la même ligne.
Une confirmation nous sera demandée, il suffira de cliquer sur le bouton "Confirm" :
Le processus d'installation se déroule et les informations d'installation sont affichées à l'écran. Une fois l'installation réalisée avec succès, un message d'information est affiché :
De la même façon, en cas d'erreur ou d'anomalie lors de l'installation d'un package, un message d'erreur explicite est affiché.
Gérer les mises à jour de package
Les packages disposent de leur propre rythme de mise à jour.
Aussi, lorsque l'on installe un package, il est important de maintenir ce dernier à jour.
Lorsqu'un package dispose d'une mise à jour, son nom apparaît en jaune et l'icône 
est également affichée :
Les packages ntopng et openvpn-client-export peuvent être mis à jour
Pour lancer la mise à jour, il suffit de cliquer sur l'icône de mise à jour .
Pour les packages à jour, l'icone affichée est la suivante : 
.
Le package acme est à jour
Point d'attention concernant les mises à jour : lors de la sortie d'une nouvelle version de pfSense, les dépôts proposés par défaut sont mis à jour pour correspondre à la nouvelle version de pfSense ; ainsi les packages (et les mises à jour) proposés sont ceux correspondant à la nouvelle version de pfSense.
Si on n'utilise pas la dernière version de pfSense et que l'on souhaite installer ou mettre à jour un package, il faut modifier la branche de version utilisée pour les dépôts. Nous détaillons la procédure dans le paragraphe suivant.
Enfin, lors d'une mise à jour de pfSense, il faut d'abord mettre à jour pfSense, avant de mettre à jour les packages. Nous présentons la procédure complète pour mettre à jour son pfSense dans notre article dédié : [pfSense] Mettre à jour son serveur pfSense
Installer et mettre à jour des packages pour les anciennes versions de pfSense
Si une nouvelle mise à jour de pfSense est sortie et que l'on ne souhaite pas y passer, mais que l'on veut continuer à pouvoir installer/mettre à jour ses packages, il faut modifier les dépôts cibles.
Pour cela, il faut se rendre dans le menu System > Update :
Se rendre sur l'onglet "Update Settings" et dans liste déroulante "Branch", choisir la branche correspondant à notre version de pfSense actuellement installée :
Il faut, bien-sûr, cliquer sur le bouton "Save" pour valider le changement.
Désinstaller ou réinstaller un package
Il peut parfois être utile de réinstaller un package lorsque celui-ci rencontre des problèmes de stabilité ou suite à une mise à jour qui ne s'est pas bien passée.
Il y a deux approches possibles : réinstaller le package ou désinstaller puis installer de nouveau le package.
Pour cela, deux icônes sont proposées pour chaque package installé ; la première icône permet de désinstaller le package 
, la seconde de le réinstaller 
.
Il faudra confirmer l'action choisie en cliquant sur le bouton "Confirm".
Présentation des principaux packages
Il existe plus ou moins une soixantaine de packages. Nous proposons ici de présenter succinctement les principaux :
ACME
Le paquet ACME (Automated Certificate Management Environment) permet la gestion des certificats auprès des fournisseurs supportant le protocole ACME, comme Let's Encrypt par exemple.
arping et arpwatch
Ces deux paquets permettent d'envoyer des requêtes ARP de type who-has et de surveiller / alerter dès qu'une nouvelle adresse MAC est détectée sur le réseau.
apcupsd
Ce paquet permet de contrôler tous les modèles d'onduleurs APC. Il peut surveiller et enregistrer l'état actuel de l'alimentation et de la batterie, effectuer un arrêt automatique et peut aussi fonctionner en mode réseau pour mettre hors tension d'autres hôtes sur le réseau.
BIND
Ce paquet fournit une interface graphique pour le serveur DNS BIND (permettant de mettre en place un serveur DNS faisant autorité ou un résolveur DNS).
Cron
Propose une interface graphique pour manipuler le programme cron (qui est un planificateur de tâches) de pfSense.
HAproxy
Installe le logiciel HAProxy qui est un reverse proxy et équilibreur de charge (load balancing) puissant.
LADVD et lldpd
Ces deux paquets offrent des fonctionnalités similaires et permettent la prise en charge des protocoles LLDP (Link Layer Discovery Protocol), CDP (Cisco Discovery Protocol), EDP (Extreme Discovery Protocol) et NDP (Nortel Discovery Protocol).
squid, squidGuard et Lightsquid
Ce paquets permettent d'installer le serveur proxy squid, de filtrage d'URL ou de noms de domaine squidGuard et l'analyseur de logs Lightsquid.
ntopNG
ntopNG agit comme une sonde réseau qui montre l'utilisation détaillée du réseau. ntopNG dispose d'un émetteur/collecteur NetFlow/sFlow.
OpenVPN Client Export
Ce paquet permet de générer des fichiers de configuration OpenVPN pré-configurés pour les clients, des installateurs de clients Windows pré-configurés et des bundles de configuration Viscosity.
pfBlockerNG
Installe le logiciel pfBlockerNG qui est un utilitaire très complet permettant de contrôler les connexions à travers le pare-feu sur la base de critères plus généraux que les règles du pare-feu elles-mêmes (par exemple, par pays, par nom de domaine, etc.).
pfBlockerNG gère des listes d'adresses IP dans des formats de type "Deny, Permit ou Match", permet d'accéder à la base de données GeoIP, gère des liste noire DNS (DNSBL), etc.
Siproxd
Ce paquet permet d'installer un proxy SIP pour la VoIP. Pour la plupart des configurations SIP modernes, ce type de logiciel n'est absolument plus du tout nécessaire. Le paquet Siproxd ne doit donc être installé / utilisé que si c'est vraiment utile.
Snort et Suricata
Ces paquets offrent des fonctionnalités très similaires. Ils permettent d'installer un système de prévention d'intrusion de type IDS/IPS.
System Patches
Ce paquet permet l'installation de correctifs (patches) personnalisés.
Zabbix-agent et Zabbix-proxy
Ces paquets permettent la collecte et la remontée d'informations de supervision vers un serveur Zabbix.
Nous avons fait le tour de la gestion des packages sous pfSense et listé les principaux d'entre eux.
Dans de prochains articles, nous présenterons plus en détail certains packages : leurs intérêts concrets et leurs utilisations détaillées.
Pour aller plus loin
[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard
Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.
Retrouvez nos services et firewall pour pfSense
store.provya.fr
Tags de l'article : packagespfSense
English version: pfSense 2.5.1 now available
Mardi 13 avril 2021 est sortie la dernière version de pfSense. La version 2.5.1.
Il s'agit d'une mise à jour qui corrige principalement les très nombreux bugs apportés avec pfSense 2.5.0. Autre nouveauté importante : le logiciel WireGuard est retiré de pfSense.
Dans cet article, nous faisons un tour rapide des éléments marquants de cette mise à jour.
Nouveautés
Il s'agit de la seule nouveauté de pfSense 2.5.1, comme nous l'avions annoncé dans un précédent article, WireGuard est retiré de pfSense 2.5.1 pour des raisons de sécurité.
/!\ Attention : pour bénéficier de cette mise à jour, vous devez supprimer toutes configurations existantes de WireGuard : si vous avez configuré un VPN WireGuard sur votre pfSense, la mise à jour 2.5.1 ne pourra pas se faire.
Bugs / Améliorations
Les principaux bugs corrigés ou les principales améliorations apportées sont les suivantes :
- Alias : il n'était plus possible de renommer un alias déjà en cours d'utilisation. C'est corrigé.
- Authentification : correction d'un problème d'authentification LDAP pour les accès SSH à pfSense.
- Certificats : plusieurs bugs ont été corrigés. Notamment des bugs portant sur le renouvellement de certificat.
- Tableau de bord : correction de plusieurs indicateurs qui remontaient des valeurs incorrectes, notamment sur le processeur ou sur la table d'états.
- Gateway : plusieurs bugs corrigés notamment sur la gestion de passerelles se trouvant sur un sous-réseau différent de l'interface WAN.
- IPsec : énormément de bugs ont été corrigés (bugs qui avaient été introduits par la version 2.5.0).
- OpenVPN : plusieurs bugs, plutôt mineurs, ou anomalies d'affichage ont été corrigés.
- IPv6 : correction d'une anomalie sur la gestion des RA (Routeur Advertisements).
- Notifications : certaines notifications (notamment via Telegram) ne respectaient pas la configuration du proxy. C'est corrigé.
- Haute-disponibilité : correction d'erreurs de synchronisations avec XMLRPC.
Processus de mise à jour
Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.
Vous ne pourrez pas mettre à jour si vous utilisez un VPN WireGuard : la mise à jour vous sera proposée, mais elle échouera. Vous devez d'abord supprimer les configuration WireGuard existantes avant de pouvoir mettre à jour.
Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :
pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade
Pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.
Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 21.02.2/2.5.1 New Features and Changes [EN]
Pour aller plus loin
[pfSense] Mettre à jour son serveur pfSense
WireGuard est retiré de pfSense pour des raisons de sécurité
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard
Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.
Retrouvez nos services et firewall pour pfSense
store.provya.fr
Tags de l'article : mise à jour pfSensepfSense
Netgate, l'éditeur du logiciel pfSense, a annoncé le 18/03/2021 que le logiciel WireGuard était retiré de pfSense 2.5.
Cette annonce fait suite à une annonce similaire de la part de l'équipe de base (core team) de FreeBSD : WireGuard sera retiré de FreeBSD 13, jusqu'à ce qu'une version plus mature puisse être ajoutée par la suite.
La raison de ce retrait est la présence de graves lacunes en terme de sécurité au niveau du code-source de la version de WireGuard livrée avec pfSense / FreeBSD.
Dans cet article, nous présentons ce qu'il s'est passé.
WireGuard, qu'est-ce que c'est ?
WireGuard est à la fois un logiciel open-source et un protocole de communication permettant de mettre en place un réseau privé virtuel (VPN).
Il s'agit d'une alternative à OpenVPN et IPsec.
La solution WireGuard se veut être une solution simple à mettre en oeuvre, à l'état de l'art en termes de développement, de fonctionnalités et de sécurité et offrir des performances réseaux particulièrement intéressantes.
WireGuard est développé par Jason A. Donenfeld et par les sociétés ZX2C4 et Edge Security.
WireGuard a, à l'origine, été développé et intégré au noyau Linux.
Implémentation de WireGuard sous FreeBSD / pfSense
Il s'agissait d'une des principales nouveautés de pfSense 2.5 : l'intégration de WireGuard au noyau de FreeBSD.
La plupart des distributions GNU/Linux supportent WireGuard depuis un petit moment déjà (car WireGuard a été intégré au noyau Linux 5.6), ainsi qu'OPNsense qui a intégré un support de WireGuard dans l'espace utilisateur (en attendant une intégration au noyau de FreeBSD).
Le développement de WireGuard pour FreeBSD a été assuré par des développeurs de Netgate (l'éditeur de pfSense). Le développement a duré pratiquement un an.
Le code a ensuite été intégré au noyau FreeBSD.
Malheureusement, il est vite apparu que le code intégré au noyau FreeBSD ne respectait pas les standards habituels de qualité et de sécurité.
Le fondateur du projet WireGuard, Jason Donenfeld (qui n'a pas participé au développement de la version présente dans pfSense 2.5) s'est penché sur le code ajouté au noyau de FreeBSD et a émis des critiques sévères que nous retranscrivons ici :
Ce code, c'est ce qui donne une mauvaise image au langage C !
Il y a des instructions "sleep" aléatoires pour corriger des problématiques d'accès concurrents, des fonctions de validation qui renvoient systématiquement "true", des vulnérabilités cryptographiques absolument catastrophiques, des pans entiers du protocole WireGuard non-implémentés, des "kernel panic", des contournements de sécurité, des dépassements de tampon, des "printf" arbitraires enfouis dans la partie cryptographique du code-source, et toute la litanie habituelle des choses horribles qui peuvent aller mal quand les gens ne font pas attention à ce qu’ils écrivent en C.
Il semblerait que cette déclaration soit légèrement exagérée (par exemple en employant le pluriel, là où un seul cas a été constaté). Cependant, toutes ces alertes de sécurité et de qualité du code sont bien réelles et confirmées par d'autres développeurs dont Kyle Evans qui est un guru FreeBSD et mainteneur du package WireGuard pour FreeBSD.
Des problématiques de sécurité sur les Jumbo frame ou d'élévation des privilèges ont également été rapportées.
Dans un premier temps Netgate a annoncé que l'implémentation de WireGuard ne posait pas de réels problèmes de sécurité pour les utilisateurs de pfSense, avant de finalement déconseiller son utilisation, puis enfin retirer le logiciel WireGuard de pfSense.
Peut-on utiliser WireGuard sous pfSense ou FreeBSD ?
Techniquement, la réponse est oui. Mais c'est totalement déconseillé.
Il vaut mieux éviter d'utiliser WireGuard pour le moment et privilégier d'autres solutions comme OpenVPN ou IPsec.
Si vous voulez ou devez à tout prix continuer à utiliser WireGuard sur votre pfSense, alors il est indispensable que celui-ci ne soit pas configuré sur une interface dont le MTU est supérieur à 1420.
Pour vérifier le MTU employé sur votre interface, rendez-vous dans le menu Status > Interfaces :
La valeur du MTU sera indiquée pour chacune de vos interfaces.
Je suis utilisateur d'OPNsense, suis-je concerné ?
Non, pas directement. Le plugin WireGuard proposé sous OPNsense n'est pas celui implémenté avec le noyau FreeBSD.
Il s'agit d'une version tournant dans l'espace utilisateur.
Cependant, la version de WireGuard proposée sous OPNsense reste expérimentale : il reste déconseillé de l'utiliser en production.
Un avertissement est d'ailleurs présent dans la documentation d'OPNsense :
Pour notre part, nous déconseillons l'utilisation de WireGuard aussi bien sous pfSense que sous OPNsense.
Est-ce que WireGuard reviendra sous FreeBSD / pfSense ?
Oui, bien-sûr. Un nouveau développement complet, en repartant de l'implémentation de WireGuard réalisée pour OpenBSD, et auquel participe Jason Donenfeld (à l'origine du projet WireGuard), les équipes de Netgate et des développeurs de FreeBSD et d'OpenBSD a été lancé.
Il est fort probable que WireGuard fasse son retour pour la version FreeBSD 13.1 (ou une suivante).
La future implémentation de WireGuard pour FreeBSD promet d'être de haute qualité, ce qui est une très bonne nouvelle pour tous les utilisateurs de FreeBSD, pfSense et OPNsense.
Si vous souhaitez obtenir davantage d'informations sur le sujet (en anglais), vous pouvez consulter les liens suivants :
WireGuard est supprimé des logiciels pfSense® CE et pfSense® Plus
Suppression du support WireGuard de la base FreeBSD
Déclaration sur la controverse Wireguard
E-mail de Jason A. Donenfeld
Article d'Ars Technica - WireGuard intégré au noyau est en route vers FreeBSD et le routeur pfSense
Pour aller plus loin
[pfSense] Configurer un VPN IPsec site à site
[pfSense] Monter un accès OpenVPN site-à-site
[pfSense] Sécurisez l'accès distant de vos collaborateurs nomades avec OpenVPN
Tous nos articles classés par thème
Voir un article au hasard
Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.
Retrouvez nos services et firewall pour pfSense
store.provya.fr
Tags de l'article : pfSensesécuritéWireGuard
English version: pfSense 2.5.0 and pfSense Plus 21.02 now available
Mercredi 17 février 2021 est sortie la dernière version de pfSense. La version 2.5.0. Ainsi que la première version de pfSense Plus : la version 21.02.
Il s'agit d'une mise à jour importante en terme de fonctionnalités, de correctifs de sécurité et de stabilité.
Dans cet article, nous faisons le tour des éléments marquants de cette mise à jour.
Nouveautés
Les nouveautés principales sont les suivantes :
- mise à jour de l'OS vers FreeBSD 12.2 (qui est la dernière version stable de FreeBSD) ;
- implémentation de Wireguard, qui est une solution VPN open-source qui se veut être très simple à mettre en œuvre et très performante ;
- suppression de la fonctionnalité "Load Balancer" intégrée à pfSense : il est recommandé de se tourner vers le package HAProxy ;
- Ajout de l'authentification Radius pour les utilisateurs SSH ;
- Amélioration de la gestion des sauvegardes (davantage d'options sont disponibles, notamment pour sauvegarder les baux DHCP, ou les adresses MAC utilisées sur le portail captif, ...)
- mise à jour d'OpenSSL vers la version 1.1.1 ;
- mise à jour d'OpenVPN vers la version 2.5.0 ;
- mise à jour de PHP (7.4) et de Python (3.7)
Bugs / Améliorations
Plusieurs bugs ont été corrigés et des améliorations apportées :
- Alias : correction de plusieurs bugs (notamment pour les alias mélangeant des adresses IPv4 et IPv6).
- LDAP / Radius : correction de plusieurs bugs pour l'authentification LDAP / Radius.
- Portail captif : correction de plusieurs bugs mineurs sur la gestion de l'authentification.
- Certificats : amélioration sur la gestion, la création et le renouvellement des certificats.
- Service DHCP : ajout de fonctionnalités diverses (suppression de tous les baux en un clic, ajout d'options DHCP pour les entrées statiques, ...).
- Passerelle : amélioration de la gestion des passerelles par défaut : il est maintenant possible d'obtenir une passerelle par DHCP qui soit en dehors du sous-réseau de l'interface ; et corrections de quelques bugs mineurs liés à IPv6.
- IPsec : pas mal d'améliorations cosmétiques ou techniques : plusieurs petits bugs ont été corrigés et la gestion des VPN IPsec gagne en lisibilité.
- Notifications : évolution de la gestion des notifications : les notifications via Growl ont été supprimées ; ajout de la possibilité d'envoi de notifications via Telegram.
- OpenVPN : il n'est plus possible de désactiver la négociation des paramètres de sécurité (NCP - Negotiable Cryptographic Parameters) ; et dorénavant par défaut, lorsqu'un client envoie des paquets compressés, pfSense les décompresse, mais les réponses ne seront pas compressées (la compression sous OpenVPN est dépréciée depuis très longtemps pour des raisons de sécurité et de performance).
Processus de mise à jour
Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.
Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (en saisir en console ou depuis un shell) :
pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade
Pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.
Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 21.02/2.5.0 New Features and Changes [EN]
Pour aller plus loin
[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard
Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.
Retrouvez nos services et firewall pour pfSense
store.provya.fr
Tags de l'article : mise à jour pfSensepfSense
Netgate, l'éditeur du logiciel pfSense a annoncé en janvier 2021 de grands changements dans le cycle de développement du logiciel pfSense avec l'arrivée d'un nouveau logiciel : "pfSense Plus".
pfSense Plus sera une version propriétaire et plus évoluée de pfSense.
Dans cet article nous faisons le point sur cette annonce et ses conséquences.
pfSense, pfSense CE, pfSense FE, etc : commençons par quelques précisions liminaires
Il nous paraît important de commencer par bien préciser les termes que nous employons.
pfSense est une marque déposée par la société Netgate. Cette marque est déposée et protégée internationalement.
Autour de cette marque, deux logiciels sont proposés :
pfSense Community Edition (également appelé pfSense CE) qui désigne le logiciel open-source pfSense en tant que tel. Aussi, lorsque nous parlons de "pfSense" pour désigner le logiciel, ceci est un abus de langage : pour être très précis, nous devrions parler de "pfSense CE".
Cet abus de langage est communément répandu pour deux raisons : à l'origine, le terme pfSense désignait le logiciel et la marque (jusqu'au rachat par Netgate en 2014) ; et l'éditeur communique très majoritaire sur le terme "pfSense software" pour parler du logiciel pfSense CE.
pfSense Factory Edition (également appelé pfSense FE) qui désigne un logiciel propriétaire que l'on retrouve sur les firewall commercialisés par Netgate et chez des fournisseurs de solutions de cloud (Cloud Service Provider - CSP) comme AWS ou Azure.
Aussi, il faut bien avoir en tête que lorsque vous achetez des firewall Netgate ou que vous installez pfSense via le marketplace d'AWS ou d'Azure, vous n'utilisez en aucun cas un logiciel open-source : vous utilisez le logiciel propriétaire pfSense FE.
pfSense CE et pfSense FE : quelles différences ?
Les principales caractéristiques de pfSense FE, par rapport à pfSense CE, sont les suivantes :
- pfSense FE n'est pas open-source ;
- pfSense FE supporte les firewall Netgate qui tourne sur des architectures ARM ;
- pfSense FE est proposée sur les marketplace d'AWS et d'Azure ;
- pfSense FE propose des options de configurations spécifiques aux ports switch des firewall Netgate (la plupart des firewall Netgate ne dispose pas de ports réseaux indépendants, mais de ports switch : cela leur permet d'offrir une plus grande densité de ports réseaux pour un coût plus faible, mais au prix d'une performance plus limitée).
Les autres fonctionnalités que l'on trouve sous pfSense CE ou pfSense FE sont exactement les mêmes. Ce sont donc des logiciels très proches.
pfSense Plus, qu'est-ce que c'est ?
En février 2021, le logiciel propriétaire pfSense Factory Edition sera renommé pfSense Plus.
À partir de cette date, les logiciel pfSense CE et pfSense Plus vont diverger.
Netgate va procéder à une ré-écriture d'une grande partie du code-source de pfSense Plus afin de le rendre plus lisible, plus sécurisé et plus facilement maintenable.
Il s'agit là d'un des reproches majeurs formulés à l'encore de pfSense : un code-source à la qualité inégale et pas suffisamment structuré.
Ensuite, pfSense Plus incorporera rapidement de nouvelles fonctionnalités très demandées, comme par exemple :
- Une refonte complète de l'interface graphique (plus sécurisée)
- Un tableau de bord plus moderne et efficace
- Des outils de statistiques et de reporting avancés
- La prise en charge des normes sans-fil 802.11ac (Wi-Fi 5) et 802.11ax (Wi-Fi 6)
- Le support du mode Zero Touch Provisioning pour des déploiements facilités
La roadmap détaillée de développement sera précisée prochainement par Netgate.
Autre élément important, pfSense Plus sera publié selon un rythme beaucoup plus régulier que pfSense CE. Il y a aura 3 versions majeures par an : janvier, mai et septembre.
C'est également là un des reproches formulés à l'encore de pfSense : un rythme de mise à jour trop irrégulier et ne respectant pas les cycles de versions de FreeBSD.
Par exemple, la dernière version stable de pfSense à ce jour est la version 2.4.5-RELEASE-p1 qui repose sur FreeBSD 11.3. Or, FreeBSD 11.3 est arrivé en fin de vie le 30/09/2020 et n'est donc plus maintenu depuis plusieurs mois déjà !
Le nommage des versions de pfSense Plus se fera selon le format AA.MM (année sur deux chiffres, mois sur deux chiffres). La première version de pfSense Plus, qui devrait sortir en février 2021, sera donc la version 21.02.
Dernier élément important : pfSense Plus sera dans un premier temps proposé uniquement pour les firewall Netgate, puis sur les instances de cloud partenaire, et enfin (d'ici la fin de l'année 2021) pour tous, installable sur tous matériels.
Quel sera le prix de pfSense Plus ?
Ces informations n'ont pas encore été communiquées par Netgate.
Ce que l'on sait pour le moment, c'est que l'utilisation de pfSense Plus pour un usage non-commercial (usage personnel, labo de tests, etc.) sera gratuite.
Pour les usages commerciaux, la grille de prix n'a pas encore été communiquée. Elle le sera dans le courant du mois de juin 2021.
À titre de comparaison, les tarifs de tnsr (logiciel propriétaire de Netgate pour des réseaux de + 40 Gbps) démarrent à 400 dollars / an. On peut donc, a priori, s'attendre à un tarif similaire ou inférieur pour pfSense Plus.
pfSense Plus marque-t-il la fin de pfSense CE ?
Le message délivré par Netgate est très clair : la priorité de développement est donnée à pfSense Plus. La plupart des améliorations qui seront apportées à pfSense Plus ne seront pas directement reversées à pfSense.
Cependant, les développements concernant des éléments communs aux deux versions de pfSense seront bien évidemment reversés vers pfSense CE ; comme par exemple les contributions à FreeBSD ou à packet filter.
Il faut garder en tête que Netgate est, depuis des années, et restera, un gros contributeur à de nombreux projets open-source.
pfSense CE continuera à être maintenu.
Le rythme de développement continuera comme aujourd'hui : c'est-à-dire qu'une nouvelle version sortira quand elle sera prête !
Beaucoup de monde avait déjà constaté que le rythme de développement de pfSense CE avait énormément ralenti. Il faut visiblement s'attendre à ce qu'il soit peut-être encore plus faible.
Ainsi, les corrections de bugs, les mises à jour de sécurité ou les améliorations apportées aux briques open-source utilisées dans pfSense CE continueront à être proposées. En revanche, il ne faut pas s'attendre à l'ajout de nouvelles fonctionnalités importantes. Ces nouvelles fonctionnalités seront réservées prioritairement (voire quasi-uniquement ?) à pfSense Plus.
Vraisemblablement, pfSense CE va continuer à être maintenu mais ne va plus vraiment évoluer.
pfSense Plus, bonne ou mauvaise nouvelle ?
Les deux !
C'est une bonne nouvelle car :
Ces annonces permettent de clarifier la stratégie de développement de Netgate concernant pfSense.
Tout le monde avait constaté un ralentissement du rythme de développement et des mises à jour. Il était donc nécessaire de clarifier le projet industriel porté par Netgate. C'est chose faite.
Netgate annonce un rythme de développement soutenu de pfSense Plus, la refonte d'une partie du code source (qui en a bien besoin...) et l'ajout de nouvelles fonctionnalités très attendues.
Si les tarifs annuels proposés sont raisonnables et que le côté "logiciel propriétaire" n'est pas un point de blocage pour vous, alors pfSense Plus être une très bonne solution.
Enfin, cette solution reste gratuite d'utilisation pour un usage non-commercial.
Mais c'est également une mauvaise nouvelle car :
Les annonces faites sont très claires : le développement sera prioritairement (quasi-exclusivement ?) sur pfSense Plus. Il n'y aura aucun rythme de développement nouveau pour pfSense CE.
Aucune nouvelle fonctionnalité n'est annoncée pour pfSense CE, hormis les corrections de bugs, mises à jour de sécurité et les mises à jour des briques open-source utilisées dans pfSense CE.
Il ne faut pas se voiler la face : ces annonces augure très visiblement la fin à petit feu de la version open-source de pfSense.
Que faire ? Quelles solutions envisagées ?
Notre première réponse est surtout de ne pas se précipiter !
pfSense CE 2.5.0 va sortir très prochainement (en février 2021). Il s'agit d'une version majeure qui apportera son lot de nouveautés. Wireguard sera notamment intégré à pfSense 2.5.0.
Il n'y a donc pas d'urgence à migrer. pfSense reste un bon logiciel, robuste, stable et sécurisé. Au cours des prochaines années il continuera d'être maintenu, mais évoluera très peu.
Nous attendons de voir l'offre tarifaire associée à pfSense Plus. Nous ne rejetons pas, a priori, cette solution. Les fonctionnalités et le rythme de développement annoncés pour pfSense Plus attirent notre curiosité.
Nous attendons les annonces complémentaires de Netgate sur le sujet.
Il est à noter que Netgate annonce que la compatibilité de migration de pfSense CE vers pfSense Plus sera maintenue. Il sera ainsi possible de migrer facilement de pfSense CE vers pfSense Plus à l'avenir.
Enfin, il est possible de se tourner vers OPNsense qui est un fork de pfSense né fin 2014, début 2015.
OPNsense bénéficie d'un code-source qui a été en très grande partie réécrit (+ 90 %), sécurisé, épuré et simplifié. L'interface graphique d'OPNsense est moderne et vraiment bien pensée.
OPNsense bénéficie d'un rythme de mise à jour important et régulier : deux mises à jour majeures par an, ainsi que des mises à jour additionnelles mineures dès que nécessaire.
Au cours de ses premières années, OPNsense souffrait de bugs trop nombreux pour en faire un bon firewall utilisable en production. Depuis, le logiciel a grandement gagné en maturité et en stabilité. Il s'agit donc sûrement de la solution idéale vers laquelle se tourner à l'avenir.
Nous sommes curieux de savoir si nous allons assister à une migration massive des utilisateurs de pfSense vers OPNsense ?
Wait & see.
Vous pouvez retrouver toutes les informations détaillées concernant pfSense Plus sur le blog de Netgate (en anglais) :
Et vous, que pensez-vous des annonces liées à la sortie de pfSense Plus ?
Pour aller plus loin
Tous nos articles classés par thème
Voir un article au hasard
Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.
Retrouvez nos services et firewall pour pfSense
store.provya.fr
Tags de l'article : pfSensepfSense Plus
English version: [pfSense] Making automatic backups with AutoConfigBackup
Cet article est le premier d'une série présentant des solutions pour sauvegarder automatiquement la configuration de son pfSense.
Dans cet article nous nous appuyons sur le service AutoConfigBackup directement intégré à pfSense.
Principe de fonctionnement
AutoConfigBackup (ACB) est un service directement intégré de base à pfSense. Aucun package supplémentaire n'est nécessaire pour l'utiliser.
Lorsqu'il est activé, dès qu'un changement est fait sur le firewall, ou à intervalle régulier, AutoConfigBackup extrait la configuration du firewall, la chiffre à l'aide d'une phrase secrète (passphrase), puis l'envoie via HTTPS vers les serveurs de sauvegarde de Netgate (l'éditeur du logiciel pfSense).
Il est également possible de forcer une sauvegarde manuelle via AutoConfigBackup.
Les cent dernières sauvegardes sont conservées sur les serveurs de Netgate. Il est donc possible de revenir jusqu'à cent sauvegardes en arrière.
Principe de sécurité
Afin de garantir la confidentialité des données sauvegardées, le firewall les chiffre à l'aide de l'algorithme AES-256-CBC et d'une phrase secrète, puis envoie les données chiffrées vers les serveurs de Netgate.
Ainsi, les données envoyées et stockées sur les serveurs Netgate sont indéchiffrables sans cette phrase secrète.
Cette phrase secrète est personnalisable et conservée exclusivement en local sur le firewall. Elle n'est jamais directement transmise aux serveurs Netgate.
Il est important de faire une sauvegarde manuelle de cette phrase secrète car elle sera nécessaire en cas de restauration. Si cette phrase secrète est perdue, il n'y a aucune possibilité de la retrouver. Il ne sera donc pas possible de restaurer les données sauvegardées via AutoConfigBackup.
Enfin, pour identifier de manière unique un firewall, AutoConfigBackup utilise un hash SHA256 de la clé publique SSH du firewall.
Cet identifiant unique doit également être conservé. En cas de perte de cet identifiant, il ne sera pas possible de restaurer les données sauvegardées via AutoConfigBackup.
Il y a donc deux éléments que nous devons conserver précieusement :
- la phrase secrète
- l'identifiant unique
Passons à la configuration du service AutoConfigBackup.
Configuration du service AutoConfigBackup
Pour démarrer la configuration, nous nous rendons dans le menu Services > Auto Config Backup, onglet Settings
Les éléments à configurer sont les suivants :
- Enable ACB : cocher cette case pour activer le service AutoConfigBackup.
- Backup Frequency : 2 choix sont possibles - sauvegarder la configuration à chaque changement (Automatically backup on every configuration change) ou sauvegarder la configuration à intervalle régulier (Automatically backup on a regular schedule).
- Schedule : si nous choisissons de faire une sauvegarde à intervalle régulier, il faut préciser les heures et jours de sauvegarde. Le format à utiliser est le format cron.
- Encryption Password : notre phrase secrète. Les données sauvegardées étant envoyées sur des serveurs tiers, il est important que cette phrase secrète soit suffisamment robuste. Si cette phrase secrète est perdue, il n'y a aucune possibilité de restaurer les données sauvegardées.
- Hint/Identifier : il est possible de préciser un identifiant qui sera transmis en clair avec les sauvegardes et qui pourra être utilisé par le support Netgate dans le cas où nous aurions perdu l'identifiant unique du firewall. Ce champ est utile uniquement si vous avez souscrit un contrat de support auprès de Netgate. Attention cependant, Netgate prévient officiellement qu'ils ne garantissent pas qu'ils puissent récupérer les sauvegardes via ce paramètre.
- Manual backups to keep : le nombre de sauvegarde manuelle à conserver. Sur les cent sauvegardes conservées, il est possible de réserver jusqu'à cinquante places pour les sauvegardes manuelles. Nous proposons le nombre 10, qui nous semble être un bon compromis.
Exemple de résultat obtenu pour une sauvegarde automatique à chaque changement de configuration :
Exemple de résultat obtenu pour une sauvegarde automatique à intervalle régulier :
Les sauvegardes sont réalisées tous les samedi à 23h30
Il reste, bien-sûr, à cliquer sur le bouton "Save" afin de sauvegarder notre configuration.
Le service AutoConfigBackup est configuré !
Pour s'assurer que le service fonctionne bien, il nous reste à faire une modification sur la configuration de notre firewall (comme modifier une règle de filtrage, par exemple), puis se rendre dans le menu Services > Auto Config Backup, onglet Restore pour visualiser les sauvegardes automatiques réalisées :
Dans le cas où nous avons choisi de faire une sauvegarde à intervalle régulier, plutôt qu'à chaque changement, il faut attendre que la sauvegarde planifiée ait lieu.
Faire une sauvegarde manuelle
Une sauvegarde manuelle peut être réalisée à n'importe quel moment. Par exemple, avant et après une mise à jour ou des modifications importantes.
Pour lancer une sauvegarde manuelle, il suffit de se rendre dans le menu Services > Auto Config Backup, onglet Backup Now :
Il faut saisir les informations liées à la modification afin de pouvoir la retrouver plus facilement, puis cliquer sur le bouton "Backup".
Restauration des sauvegardes
La restauration d'une sauvegarde se fait depuis le menu Services > Auto Config Backup, onglet Restore :
Il est possible de personnaliser le champ "Device key" afin de restaurer la configuration provenant d'un autre firewall ; la phrase secrète sera également nécessaire.
Pour chaque sauvegarde, il est possible de réaliser 3 actions :
- Restaurer : Restore this revision - permet de restaurer la sauvegarde choisie - il est conseillé de redémarrer le firewall après avoir lancé la restauration
- Visualiser : Show info - permet de visualiser le fichier de configuration au format xml
- Supprimer : Delete config - permet de supprimer une sauvegarde donnée
Voilà, votre firewall est sauvegardé régulièrement et vous savez comment procéder à une restauration depuis une sauvegarde réalisée par AutoConfigBackup.
Limites du service AutoConfigBackup
Le service AutoConfigBackup est très pratique car directement intégré à pfSense et configurable en quelques clics. Il permet d'avoir des sauvegardes régulières et de faire face sereinement en cas de nécessité de retour-arrière ou en cas de défaillance du firewall.
Il s'agit d'une solution efficace et vraiment très simple à mettre en œuvre.
Cependant, en utilisant ce service, les sauvegardes sont envoyées sur les serveurs d'une entreprise tiers, située aux États-Unis et par conséquent soumis au droit américain. De plus, vous devez avoir pleine confiance dans la disponibilité et la fiabilité des serveurs Netgate : en cas de panne chez eux, vous risquez de perdre en partie, voire en totalité, vos sauvegardes.
Pour ces raisons, nous ne conseillons pas forcément d'utiliser ce service. En tout état de cause, si vous décidez d'utiliser AutoConfigBackup, nous vous recommandons de le coupler, a minima, avec des sauvegardes manuelles régulières.
Dans un prochain article, nous présenterons une solution pour sauvegarder soi-même, en toute autonomie et de manière automatisée, la configuration de son pfSense : [pfSense] Sauvegarder automatiquement son firewall avec un script.
Pour aller plus loin
[pfSense] Sauvegarder automatiquement son firewall avec un script
[pfSense] Mettre à jour son serveur pfSense
Tous nos articles classés par thème
Voir un article au hasard
Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.
Retrouvez nos services et firewall pour pfSense
store.provya.fr
Tags de l'article : pfSensesauvegarder son pfSense
English version: [pfSense] Site-to-site IPsec VPN with overlapping subnets
Un cas fréquent lorsque l'on souhaite connecter deux sites en VPN est que ces deux sites soient sur le même plan d'adressage.
Dans ce cas, une bonne solution peut être de recourir au NAT pour la mise en place d'un VPN natté.
Par exemple, si l'on souhaite connecter deux sites utilisant le sous-réseau 192.168.1.0/24, ceux-ci ne pourront pas communiquer l'un vers l'autre à travers le VPN car le plan d'adressage du réseau distant est le même que celui du réseau local.
Afin d'y remédier, nous proposons d'utiliser le NAT pour communiquer d'un réseau à l'autre. C'est le principe du VPN natté (overlap network).
À noter : nous ne détaillons pas dans cet article comment configurer un VPN IPsec site-à-site. Il existe déjà un article dédié sur le sujet : [pfSense] Configurer un VPN IPsec site à site.
Principe de fonctionnement
Nous allons prendre l'exemple de deux sites (A et B) disposant tous deux du même plan d'adressage 192.168.1.0/24 :
Afin de pouvoir relier ces deux sites en VPN, nous avons deux possibilités :
- translater l'intégralité du plan d'adressage réseau du site A afin qu'il soit joignable depuis le site B à travers le VPN IPsec. Et inversement, nous ferons de même du plan d'adressage réseau du site B afin qu'il soit joignable depuis le site A à travers le VPN IPsec.
- translater l'intégralité du trafic sur une seule adresse IP. C'est un peu ce principe qui est utilisé lors de la navigation sur Internet : toutes les adresses IP privées du réseau local sont nattées sur l'adresse IP publique de la connexion Internet.
Le choix du type de NAT dépend du contexte et des attendus.
Si l'on souhaite accéder à plusieurs équipements et que le plan d'adressage disponible le permet, le mieux est de réaliser un NAT un-pour-un (1:1 NAT) - c'est-à-dire la première solution évoquée ci-dessus.
Dans le cas contraire, un NAT simple sur une seule adresse IP suffira.
Dans notre exemple, nous allons faire en sorte que :
- depuis le site A : le réseau local du site B sera joignable via le sous-réseau 192.168.200.0/24 ; ainsi, depuis le site A, pour joindre le serveur 192.168.1.222 (présent sur le site B), on attaquera l'adresse IP 192.168.200.222.
- depuis le site B : le réseau local du site A sera joignable via le sous-réseau 192.168.100.0/24 ; ainsi, depuis le site B, pour joindre le serveur 192.168.1.111 (présent sur le site A), on attaquera l'adresse IP 192.168.100.111.
Configuration du VPN natté
Sur le serveur pfSense du site A, nous nous rendons dans le menu VPN > IPsec :
Nous ne détaillons pas la configuration de la phase 1; cette partie est traitée dans notre article dédié [pfSense] Configurer un VPN IPsec site à site.
Concernant la phase 2, les éléments spécifiques à configurer sont les suivants :
- Mode : choisir Tunnel IPv4. Attention, le NAT n'est pas possible avec la mise en place d'un VPN IPsec routé [Routed (VTI)].
- Local Network : choisir "LAN subnet", ou d'une façon générale, le sous-réseau local réel que nous souhaitons rendre accessible à travers le VPN IPsec (192.168.1.0/24, dans notre cas).
- NAT/BINAT translation : choisir "Network" et indiquer "192.168.100.0/24" pour les champs adresses et masques.
- Remote Network : choisir "Network" et indiquer "192.168.200.0/24".
Les autres paramètres de la phase 2, ne sont pas spécifiques au fait de monter un VPN natté, nous ne les détaillons donc pas ici.
Exemple de résultat obtenu pour le site A :
Sur le serveur pfSense du site B, nous réalisons la même configuration, mais en pensant à bien inverser les valeurs.
Exemple de résultat obtenu pour le site B :
Configuration des règles de filtrage
Il nous reste à adapter nos règles de filtrage au plan d'adressage translaté.
Ainsi, sur notre interface LAN, pour filtrer le trafic du réseau local du site A à destination du site B, en source nous préciserons le LAN subnet (192.168.1.0/24) et en destination le sous-réseau natté pour le site B (192.168.200.0/24).
Exemple de résultat obtenu pour le site A :
Pour filtrer le trafic en provenance du VPN IPsec (onglet IPsec), l'opération de NAT ayant déjà eu lieu, le filtrage doit bien se faire sur les adresses IP réelles du site local et sur les adresses IP nattées du site distant.
Exemple de résultat obtenu pour le site A :
Voilà, nous avons vu comment mettre en œuvre un VPN IPsec natté avec pfSense.
Pour aller plus loin
[pfSense] Configurer un VPN IPsec site à site
[pfSense] NAT / filtrage - Comprendre l'ordre des traitements appliqués par pfSense
[pfSense] Monter un VPN natté (Overlap network) avec OpenVPN
Tous nos articles classés par thème
Voir un article au hasard
Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.
Retrouvez nos services et firewall pour pfSense
store.provya.fr
Tags de l'article : IPsecNATpfSenseVPN
05/10/2021 - Aucun commentaire
