Di Caprio Louis CEFF Industrie | Rue Baptiste-Savoye 26 | 22.03.2022 INSTALLATI

Di Caprio Louis CEFF Industrie | Rue Baptiste-Savoye 26 | 22.03.2022 INSTALLATION D’OPNSENSE 0/38 CENTRE DE FORMATION PROFESSIONNELLE BERNE FRANCOPHONE Boulahdjar Ahmed ICH-184 1/38 TABLE DES MATIÈRES 1. INTRODUCTION 2. SCHEMA RESEAU 3. INSTALLATION - OPNSENSE 4. CONFIGURATION DU ROUTEUR – ADRESSES 5. INTERFACE WEB – CONFIGURATION DU ROUTEUR 6. CREATION DU VLAN 7. INSTALLATION DU MODULE – LLDP 8. CONFIGURATION DU NAS 9. CREATION DE LA DMZ 10. ADRESSAGE LAN 11. DECOUVERTE DU RESEAU 12. MISE EN PLACE D’UN VPN 2/38 1. INTRODUCTION Dans ce cours, nous allons voir tous les moyens de pouvoir protéger son propre réseau l’aide des Firewall, des restrictions du WAN. 3/38 2. SCHEMA RESEAU 4/38 3. INSTALLATION - OPNSENSE Une fois que le routeur est connecté à tous le reste et au PC, il faut allez sur TeraTerm pour pouvoir se connecter à sa console OPNSENSE. Sur TeraTerm  Configuration  Port Série  Vitesse à 115200 Normalement le routeur et la carte réseau du PC doivent être sur le même sous-réseau pour pouvoir se connecter à l’interface Web avec l’adresse IP : 192.168.1.1 5/38 4. CONFIGURATION DU ROUTEUR – ADRESSES Lan : N 172.21.n0.1 /24 Lan : none tracking --> none range : 172.21.n0.100 172.21.n0.199 HTTPS -> HTTP : none Generate new self-signed GUI certificate ? : none GUI Access default ? : none Sur le PC client : adresse donné : 172.21.n0.100 --> première adresse de la plage Lorsque l'on va sur l'interface web (172.21.n0.1) --> Attention certificat auto-généré..., c'est pour cela qu'il dit attention Login site web : admin... Configuration interface WEB : 6/38 Nom : routeur Domaine : zes.ich184 Langue : Anglais Timezone : Zurich WAN : DHCP (pas toucher) Pare-feu (dans l'onglet system) : Block RFC1918 Private Networks : Block On bloque car sur Internet, les adresses internet ne circule pas 7/38 5. INTERFACE WEB – CONFIGURATION DU ROUTEUR Pour configurer le routeur, une fois connecté sur l’interface Web de celui-ci il faut lancer le Wizard. Sur System  Wizard, on suit les étapes. Dans la première étape il est possible de modifier certains paramètres comme : le nom de l’hôte, le domaine, la langue, l’ip du DNS, etc.. Dans la prochaine étape, il faut modifier le format de la Timezone et la mettre sur Europe/Zurich pourque l’heure du routeur corresponde à l’heure de la suisse. 8/38 9/38 Ici, il n’y a rien à modifier Ensuite on laisse l’adresse IP car on l’a déjà modifié auparavant. 10/38 L’étape d’après permet de modifier le mot de passe ROOT Cliquez ensuite sur Reload pour que les paramètres s’appliquent. 11/38 6. CREATION DU VLAN Depuis le routeur OPNSENSE, il faut créer un VLAN pour pouvoir connecter le WAN.  Dans Interfaces  Other Types  VLAN, on va pouvoir cliquer sur la croix pour en ajouter 1. (Normalement, aucun ne sera déjà créé). 12/38  Ensuite, on choisit pour quoi on veut créer le VLAN (en l’occurrence on prend le WAN)  Sur la deuxième ligne (VLAN tag) on choisit avec quel numéro on veut le tagger. (le 8 dans ce cas)  Dans VLAN priority on laisse par défaut sauf en cas de spécifications  Description (si on veut rajouter un texte en cas de grands nombre de VLAN pour mieux se retouver, mais ce n’est pas obligatoire) 13/38 7. INSTALLATION DU MODULE – LLDP Sur l’onglet Firmware  Updates, on installe les mises à jour pour que le routeur prenne en compte le modules OS-LLDP.  Une fois la mise à jour terminée, on va sur Plugins et on recherche LLPD.  On l’installe et une fois installer il se retrouve sur l’onglet Services  LLDP Pour pouvoir ensuite communiquer avec ses voisins, il faut activer Daemon. On pourra ensuite sur l’onglet Neighbors, voir sur quel port on est. 14/38 15/38 8. CONFIGURATION DU NAS Pour attribuer une adresse IP statique sur le NAS, une fois connecté dessus il faut :  Panneau de configuration  Système  Réseau et services  Network & Virtual Switch  Adapter 2 (Configurer)  Et on va pouvoir attribuer ici une adresse IP statique 16/38 9. CREATION DE LA DMZ Sur le routeur, en allant dans la catégorie : Interfaces  Assignments, on va pouvoir créér un DMZ.  En cliquant sur le « + », on peut ensuite choisir quelle connexion on veut le OPT1  On clique ensuite sur OPT1 pour pouvoir activer l’interface et la renommer en DMZ. 17/38  En cochant la case Enable, une série de paramètres va s’ouvrir. On clique sur la liste déroulant IPv4 Connection Type  Static IPv4 et on va la définir un peu plus bas  172.21.31.1/24  Ensuite sur Services DHCPv4  DMZ on va activer le DHCP et définir une plage d’adresse. 18/38 10. ADRESSAGE LAN Il faut maintenant définir des adresses IP fixe pour chacun de nos composants connectés au réseau. 19/38 11. DECOUVERTE DU RESEAU Sur la VM du serveur ESXI, après l’installation du logiciel spiceworks, on veut scanner le réseau pour voir toutes nos adresses IP liées à notre réseau.  Une fois le logiciel installé, on va le lancer.  On se connecte ensuite avec ce compte :  Ensuite on entre les informations par rapport au groupe : A3  On choisit ensuite l’option du scan 20/38 21/38  Ensuite on vien spécifier des credentials lié au domaine A3\ 22/38 12. MISE EN PLACE D’UN VPN 12.1. SÉLECTION DU TYPE D’AUTHENTIFICATION DES UTILISATEURS La première étape consiste à sélectionner comment authentifier les utilisateurs du VPN. Dans notre cas nous utiliseron le choix par défaut : « Local User Access ». A titre d’information, voici les choix possibles :  Local User Access : utilisateurs créés localement dans le routeur  LDAP (Lightweight Directory Access Protocol) : serveur LDAP (p.ex.un contrôleur de domaine Active Directory)  Radius (Remote Authentication Dial-In User Service) : serveur Radius (p.ex. Microsoft NPS) 12.2. SÉLECTION / CRÉATION D’UNE AUTORITÉ DE CERTIFICATION (CA) Pour pouvoir délivrer des certificats, il faut préalablement créer une autorité de certification. L’assistant vous propose soit de sélectionner une autorité existante ou d’ans créer une nouvelle. Normalement, on n’a besoin que d’une autorité de certification pour l’entreprise. Donc si vous en avez déjà créé une, sélectionnez celle-là, sinon créez en une nouvelle : 23/38 Dans la capture d’écran ci-dessus, une autorité de certification est déjà existante, on pourrait donc simplement cliquer sur « Next ». Si vous n’avez pas encore créé d’autorité, cliquez sur « Add new CA » pour en créer une nouvelle. 24/38 Voici le dialogue de création d’une autorité de certification : Les champs encadrés en rouges sont à modifier, pour les autres nous laisserons les valeurs par défaut. Voici quelques explications : 1. Nom descriptif de l’autorité de certification 2. Longueur de la clé de cryptage, la valeur par défaut (2048 bits) est un bon compromis entre sécurité et charge CPU 25/38 3. La durée de vie de l’autorité de certification est par défaut 2 ans, il n’est pas rare de choisir des durées plus longues, p.ex. 3650 jours (10 ans) 4. Code ISO du pays, « CH » pour la Suisse 5. En Suisse, on utilise généralement le canton pour le champ état ou province 6. Localité du siège de l’autorité 7. Nom de l’entreprise gérant l’autorité 8. Email permettant de contacter l’entreprise 12.3. SÉLECTION / CRÉATION D’UN CERTIFICAT POUR LE SERVEUR OPENVPN A cette étape, vous pouvez choisir ou créer un certificat pour votre serveur VPN : Lors de l’installation de OPNsense, un certificat est automatiquement généré pour l’interface Web de gestion du routeur « Web GUI TLS Certificate ». N’utilisez pas ce certificat, mais créez en un dédié à votre serveur. Il est important que ce certificat soit émis par votre autorité de certification. Cliquez donc sur « Add new Certificate » pour lancez l’assistant : 26/38 A part pour le champ encadré en rouge, les valeurs par défaut peuvent utilisées sans autres. A titre indicatif, voici la signification de ces champs : 1. Nom descriptif de certificat : cette valeur est purement descriptive, entrez un texte qui a du sens pour vous permettre d’identifier ce certificat par la suite 2. Longueur de la clé de cryptage du certificat : 2048 bits est une valeur raisonnable 3. Durée de vie du certificat : 397 jours (un peu plus d’un an) est suffisant pour cet exercice, mais pour un serveur réel une valeur plus élevée (p.ex. 5 ans) évitera d’avoir à redéployer ce certificat trop fréquemment 4. Code ISO du pays, « CH » pour la Suisse 5. En Suisse, on utilise généralement le canton pour le champ état ou province 27/38 6. Localité du siège de l’autorité 7. Nom de l’entreprise gérant l’autorité 8. Email permettant de contacter l’entreprise Les champs 4-8 sont simplement repris de ceux de l’autorité de certification. S’ils ne correspondent pas, adaptez-les à votre situation. 1. Définition des paramètres du serveur OpenVPN 12.4. DÉFINITION DES PARAMÈTRES DU SERVEUR OPENVPN Le serveur OpenVPN a de nombreux paramètres possibles et uploads/Ingenierie_Lourd/ documentation-opnsense.pdf

Documents similaires

WWW.RESEAUMAROC.COM Cours/formation /Video en informatique: Linux,Cisco,2003 Se 0 0

1 CNED BTS SIO – 2 e année 8 2952 DG WB 01 BTS Services informatiques aux organ 0 0

1 MWIL Tech Group 30 Avenue de la libération, 75008 Paris Paris, le 08/03/2021 0 0

1 Curriculum vitae Abdelali Baka Réseautique 6954, 16E Avenue, app. 09 Montréal 0 0

Concepts fondamentaux pour le routage IP Prof. Noureddine Idboufker n_idboufker 0 0

C o m m u t a t i o n d e R é s e a u L o c a l e t R L s a n s f i l C h a p i 0 0

IntraWeb Tutorial - John COLIBRI.  résumé : comment créer ses pages Web de faç 0 0

1/4 EWAN Chapter 4 - CCNA Exploration: Accès au réseau étendu (Version 4.0) EWA 0 0

Administrateur de réseaux Groupe alternance Didier OURABAH, Maxime GUILLET, Léo 0 0

3 Conception d'un réseau Avant d'acheter l'équipement ou de choisir une platefo 0 0

• Détails
• Publié le Jul 08, 2022
• Catégorie Heavy Engineering/...
• Langue French
• Taille du fichier 0.9515MB