Astuces diverses - pfsense

De Wiki doc


Cette page regroupe les éléments à prendre en compte après une installation de pfSense pour ne pas avoir à galérer inutilement.

Rendre fonctionnel le réseau client

Par défaut, les clients du réseau LAN ne peuvent avoir accès au réseau WAN et encore moins à Internet IPv4. J'ai répertorié 3 points à prendre en compte après une installation pour rendre ceci fonctionnel:

  • Mettre une règle d’acceptation sur l'interface LAN dans le pare-feu
  • Si IPv4 est utilisé, activer le NAT "Outbound" sur la première puce (Automatic outbound NAT rule generation)
  • Si le pfSense est utilisé en serveur DNS et que cela ne fonctionne pas, sa propre adresse IP LAN doit être renseignée (section "DNS servers") dans le bail DHCP distribué aux clients afin d'ajouter le réseau LAN dans la liste blanche du résolveur DNS (j'ai plus l'impression qu'il s'agit d'un bogue que d'une réelle fonctionnalité, cette étape n'étant pas systématiquement nécessaire...)

Connexion SSH par clé

Comme sous Linux, il est possible de se connecter à pfSense via des clés SSH.

Ceci se fait soit:

  • en passant par la traditionnelle copie de la clé publique du client dans le fichier /root/.ssh/authorized_keys

soit:

  • en passant par l'interface WEB: System > User Manager > Admin > Action (Edit) > Keys > Authorized SSH Keys > save

Installation de paquets

Il peut être utile d'installer des programmes non présents par défaut dans pfSense pour par exemple, s'en servir de proxy ou plus simplement installer vim (vi c'est vraiment de la merde).

Voici 2 méthodes:

  • par l'utilitaire pkg en ligne de commande:
# Mise à jour du catalogue
pkg update
# Recherche du nom du paquet à télécharger
pkg search vim
# Installation du paquet
pkg install vim-console-8.1.0039
# Rendre disponible le paquet
rehash
  • par l'interface WEB: System > Package Manager > Available Packages

Source de la section

Désactiver la supervision des passerelles

Une fonction activée par défaut est la supervision des passerelles, derrière ce mot à connotation positive se cache une véritable déferlante de paquet ICMP (étonnant que ce soit activé par défaut) par l'intermédiaire du démon /usr/local/bin/dpinger.

Si vous ne voulez pas que votre réseau soit pollué d'un paquet toute les 500ms (!!!), il va falloir désactiver cette merde: System > Routing > Edit gateway > Gateway Monitoring > Disable Gateway Monitoring.

Source de la section

Correction de bogues

Bogue de routage

Description du bogue

En virtualisant pfSense avec KVM (via Proxmox), le routage des paquets du LAN vers le WAN ne laisser passer que les PING et les premiers paquets de chaque requêtes (rendant la prise en main d'une machine en SSH ou tout autre protocole complexe impossible).

Origine du bogue

Le problème viens de la virtualisation de la carte réseau. Par défaut, Proxmox utilise VirtIO, très bien géré par Linux, il n'en est pas de même pour FreeBSD. Ceci entraîne des incompatibilités avec le pilote réseau.

Résolution du bogue

Il suffit de changer les cartes réseaux de la machine virtuelle pfSense en e1000 et de reconfigurer ces dernières dans pfSense (leur nom ayant changé).

Source de la section

Clavier Shell en AZERTY

Pour passer le clavier de PFSense en Français, il faut entrer la commande suivante (ne persiste pas au redémarrage):

kbdcontrol -l /usr/share/vt/keymaps/fr.kbd

Source de la section