Windows OSWindows ServerWindows Server 2008 R2Windows Server 2012 R2Windows Server 2016

Utiliser pfSense comme routeur virtuel pour votre LAB multisite (HyperV, VMware, Proxmox…)

Vous le savez maintenant, j’utilise un lab dans lequel j’ai quelques machines virtuelles. Le but étant de me former sur certaines technologies et de retrouver ce que l’on peut avoir en entreprise. Dans le cas de mon lab, on y trouve deux contrôleurs de domaines, plusieurs serveurs et quelques machines clients. Pour interconnecter ces contrôleurs de domaine, j’utilise un routeur/firewall virtuel : pfSense.

Dans ce guide, nous verrons ensemble comment j’ai connecté mes deux réseaux virtuels entre eux et comment je leur ai donné accès à internet. Voici un rapide schéma de mon infrastructure réseau maison et Lab :

Prérequis

Vous pouvez utiliser cette méthode pour votre lab quelques soit le type d’hyperviseur : VMware, Hyper-V, Virtual Machine, Proxmox et j’en passe…

  • Télécharger la dernière version de pfSense
Télécharger pfSense
  • Un hyperviseur avec plusieurs switchs virtuel (en fonction de votre besoin, dans ce guide, deux virtuals lan seront créé)

Préparation

Dans ce guide, nous utiliserons Hyper-V comme hyperviseur, cependant, vous pouvez suivre le même principe sur d’autres hyperviseurs.

Créer vos réseaux virtuels

Si vous êtes sur Hyper-V, depuis le Gestionnaire, cliquer sur « Virtual Switch Manager » puis créer vos réseaux. Dans mon cas, deux réseaux interne et un réseau externe qui nous permettra de fournir internet à nos réseaux privés.

  • Réseau externe (ma freebox)
    • Nom du réseau : Switch External (connecté au réseau physique de la machine hôte)
    • Type de connexion : External Network
    • Adresse du réseau : 192.168.1.0
  • Réseau France
    • Nom du réseau : ZBLAB_FR
    • Type de connexion : Internal Network
    • Adresse du réseau : 192.168.2.0
  • Réseau Germany
    • Nom du réseau : ZBLAB_DE
    • Type de connexion : Internal Network
    • Adresse du réseau : 192.168.3.0

Création de la machine virtuelle pour le routeur pfSense

L’étape suivante est de créer une machine virtuelle ou nous pourrons ensuite installer pfSense.

Depuis votre hyperviseur, créer une machine avec une carte réseau sur chacun de vos réseaux.

Dans mon cas, sur Hyper-V :

  1. Créer une machine virtuelle de génération 1 puis donner lui un nom, ajoutez-lui 512Mo de mémoire vive et 60Go de disque
  2. Dans les paramètres de la machine virtuelle, nous ajoutons une carte réseau sur « External Network »
  3. Dans les paramètres de la machine virtuelle, nous ajoutons une carte réseau sur « ZBLAB_FR »
  4. Dans les paramètres de la machine virtuelle, nous ajoutons une carte réseau sur « ZBLAB_DE »
  5. Démarrer votre machine virtuelle une fois pour que les adresses mac soient affectées
  6. Noter ces adresses mac, elles vous seront utiles pour identifier vos réseaux une fois pfSense installé.

Dans notre cas, nous avons les adresses suivantes :

  • Switch External : 00-15-5D-01-6E-49
  • ZBLAB_FR : 00-15-5D-01-6E-4a
  • ZBLAB_DE : 00-15-5D-01-6E-4b

Installation et configuration de pfSense

Installation de pfSense

On y est ! Si vous n’avez pas encore téléchargé l’iso de pfSense, il est encore temps.

Télécharger pfSense

Ensuite, donner à manger l’ISO fraichement téléchargée à votre machine virtuelle, puis démarrer là !

Au premier démarrage, appuyer sur la touche I, ou patienter quelques secondes pour démarrer automatiquement l’installation de pfSense sur votre nouveau routeur virtuel.

Dans la configuration de la console, vous pouvez laisser les paramètres par défaut en sélectionnant « Accept these Settings »

Puisqu’on aime bien quand c’est simple et rapide et aussi parce que nous sommes dans un lab, sélectionner « Quick/Easy Install » puis accepter l’avertissement.

Sur la page de sélection du Kernel, choisissez « Standard Kernel ».

Après quelques secondes, pfSense est maintenant installé. Vous pouvez sélectionner « Reboot » et seulement une fois qu’elle aura complètement redémarré, retirer l’ISO de votre lecteur DVD virtuel.

Dans certains cas, l’ISO n’est pas démontable, il faut attendre le reboot pour éjecter l’ISO.

Configuration de pfSense

Laisser votre routeur virtuel redémarrer. Nous pouvons maintenant passer à la configuration.

A la phrase « Should VLANs be set up now » appuyez sur « n ». Noter également que le nom des interfaces ainsi que les adresses mac correspondantes sont affichés à l’écran.

A la phrase « Enter the WAN interface name or ‘a’ for auto-detection » sélectionnez votre interface connectée à votre réseau domestique, dans mon cas, hn0

A la phrase « Enter the LAN interface name or ‘a’ for auto-detection » sélectionner « hn1 » puis valider.

A la phrase « Enter the LAN interface name or ‘a’ for auto-detection » sélectionner « hn2 » puis valider.

Ensuite si vous avez d’autres réseau, vous pouvez encore continuer, si vous n’avez pas d’autres cartes connectées, alors vous pouvez simplement appuyer sur la touche « Entrée »

Un récapitulatif va alors s’afficher, si vous êtes d’accord avec ce qui est affiché, taper « Y » puis valider avec la touche « Entrée ». La configuration des interfaces va être effectuée.

Dans le nouveau menu qui s’affiche après la configuration des interfaces, selectionner « Set Interface(s) IP address » en appuyant sur 2 suivi de la touche « Entrée »

Vous pouvez maintenant sélectionner l’interface LAN (qui correspond au réseau FR dans mon cas), puis définissez lui une adresse IP fixe.

Dans mon cas, 192.168.2.254 et un masque de 24 bits (255.255.255.0).

Passer la partie upstream gateway en appuyant sur « Entrée », idem pour la partie IPV6.

A la question « Do you want to enable the DHCP server on LAN ? » répondez non si vous avez déjà un serveur DHCP dans votre infrastructure. Dans le cas de mon LAB, j’ai déjà un DHCP installer sur Windows Server 2016 sur le réseau « France ».

A la question « Do you want to revert to HTTP as the webConfigurator protocol ? » répondez par oui en pressant la touche « y » puis valider par la touche « Entrée ».

La configuration de votre interface « LAN 1 » va être chargée. Appuyer sur Entrée pour continuer.

Vous retrouvez alors le menu de base et vous pouvez passer à la configuration des interfaces restante depuis l’interface web de pfSense.

 

Vous pouvez maintenant accéder au webconfiguration via l’adresse afficher sur le menu, en l’occurrence ici, nous avons activé le webconfigurator sur l’interface 192.168.2.254. Depuis une machine sur le réseau 192.168.2.0, démarrer votre navigateur web puis accéder à l’URL, dans mon cas : http://192.168.2.254

Attention, depuis Windows Server, certains paramètres bloquent l’interface web via Internet Explorer. Utiliser plutôt un autre OS ou un autre navigateur.

Connectez-vous avec les identifiants par défaut de pfSense.

  • Utilisateur : admin
  • Mot de passe : pfsense

Cliquez sur « Next » pour commencer à configurer pfSense via l’interface web.

Sur la page « Bling your pfSense with pfSense Gold » cliquez sur « Next ».

Sur la page d’information générale, entrer le nom de votre routeur, puis laisser les autres paramètres par défaut.

Dans la page concernant le serveur de temps, sélectionnez votre fuseau horaire, puis cliquez sur Suivant.

Dans la page « Configure WAN Interface », vous pouvez configurer l’interface en DHCP ou en IP static, ce qui peut être plus simple à gérer par la suite.

Sélectionnez l’ option DHCP ou Static IPV4 en fonction de vos besoins. Dans le cas d’un choix d’IP static, remplissez les champs adéquats (IP, Masque et passerelle).

Si votre réseau WAN a une plage d’adresses RFC1918 (10/8, 172.16 / 12 ou 192.168 / 16), dans la zone « Block RFC1918″ , décocher la case « Block private networks from entering via WAN« . Puis cliquez sur « Next ».

Dans la page Configuration de l’interface LAN , acceptez les paramètres actuels (192.168.1.1/24) sauf si vous souhaitez les changer, puis cliquez sur Suivant .

Il est maintenant temps de configurer un mot de passe pour pfSense, puis, vous pouvez sauvegarder et charger votre configuration.

Vérifiez la fonctionnalité NAT pour le réseau France

Nos deux premières interfaces sont maintenant configurées (WAN et FRANCE). Il est temps de vérifier que la fonction NAT fonctionne correctement pour le réseau France.

Depuis une machine sur le réseau France (192.168.2.0), configurer votre carte réseau en y ajoutant la passerelle 192.168.1.254

Lancer un ping vers votre nouvelle passerelle : 192.168.2.254

Puis lancer un ping vers internet, vous devriez maintenant être en mesure de sortir vers internet depuis n’importe quelle machine du réseau France.

Configuration du réseau « Germany »

Il est maintenant temps de configurer notre troisième interface, celle connectée au réseau « Germany » (192.168.3.0).

Toujours depuis l’ordinateur connecté au réseau France, retourner sur l’interface web de pfSense (192.168.2.254) puis connecter vous en administrateur en utilisant le mot de passe configuré un peu plus tôt.

Dans le menu interfaces, sélectionner le réseau « LAN » et profitez en pour le renommer en « France » (ou le nom de votre réseau), cela permettra d’y voir un peu plus clair surtout si vous avez un paquet de réseaux/interfaces.

Maintenant, vous pouvez sélectionner « OPT1 » depuis l’interface web de pfSense. Puis configurer votre troisième interface. Dans mon cas :

  • Description : Germany
  • Enable : Cocher « Enable Interface »
  • IPv4 Configuration Type : Static IPv4
  • IPv6 Configuration Type : None
  • Adresse IP : 192.168.3.254/24

Plus cliquez sur « Save »

Enfin, appliquer les changements en cliquant sur « Apply Changes »

Configuration du Pare-Feu

pfSense est un routeur, mais aussi un pare-feu, il convient donc de le configurer pour notre utilisation, dans notre cas, c’est un lab donc on peut y aller gaiement et ouvrir tous les ports 🙂

Depuis le menu « Firewall », sélectionnez Rules, puis Ensuite, sur la page Firewall / Rules / WAN , sélectionnez Germany (dans mon cas) et ajoutez une règle de pare-feu avec les paramètres suivants:

  • Action: Pass
  • Interface: GERMANY
  • Adresse Family: IPv4+IPv6
  • Protocole: Any
  • Source: GERMANY net

Puis appliquer les modifications.

Vérifier le routage sur le réseau Germany

Si vous avez suivi les étapes plus haut, votre routage devrait être correct cependant, il convient de vérifier tout ça.

Depuis une machine du réseau Germany, attribuer lui la passerelle « 192.168.3.254 » puis vérifier que vous pouvez effectuer un ping sur :

  • Votre passerelle : 192.168.3.254
  • Internet : www.google.fr
  • Une machine du ou des autres réseaux configurés précédemment

Vous avez maintenant un lab qui permet de simuler un réseau multi site. Et dans la suite des articles, nous verrons comment créer un Active Directory avec plusieurs sites synchronisés.

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 pour la société zerobug. Je partage mes connaissances, problèmes et solutions à travers articles ou tweets !

Articles similaires

3 commentaires

  1. Bonjour Mikaël,
    Entre les trois possibilités de routeur virtuel/logiciel (windows server 2016/vyos/pfsense) le quel préfère/recommande tu ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page