Nous avons déjà installé et configuré pfSense, mais jusqu’à présent, nous n’utilisions qu’un seul réseau LAN. Cependant, pfSense permet d’ajouter plusieurs réseaux LAN afin de mieux segmenter le réseau.
pfSense est un logiciel open source que l’on peut installer sur une petite machine équipée d’au moins deux cartes réseau, ce qui la transforme en routeur. Il est également possible d’acheter un routeur Netgate, qui est déjà livré avec pfSense préinstallé, puisque Netgate développe pfSense. Vous pouvez aussi installer pfSense sur un hyperviseur pour l’utiliser comme un routeur virtuel, afin de séparer votre réseau virtuel de votre réseau domestique ou d’entreprise.
Dans cet article, nous allons voir comment ajouter un nouveau LAN à pfSense. Il est important de noter qu’une nouvelle carte réseau est nécessaire pour chaque segment LAN distinct que vous souhaitez ajouter. Dans le cas d’un ancien ordinateur, il sera nécessaire d’ajouter une nouvelle carte réseau. Si vous utilisez un routeur Netgate, il dispose généralement de plusieurs ports LAN, et pour une installation de pfSense sur une machine virtuelle (VM), il vous faudra simplement ajouter une nouvelle carte réseau virtuelle.
Pour cette démonstration, je vais utiliser pfSense installé sur VMware Workstation. La première étape consiste donc à ajouter une nouvelle carte réseau à notre VM.
Voici la topologie du réseau.
Ajouter une nouvelle carte réseau dans VMware Workstation
Dans la fenêtre de configuration de VMware Workstation, sélectionnez votre machine virtuelle pfSense et cliquez sur “Settings“.
Ensuite, cliquez sur “Add” pour ajouter un nouvel adaptateur réseau (Network Adapter), puis cliquez sur “Finish“.
Dans la colonne de gauche, un nouvel adaptateur réseau apparaît. Sélectionnez cet adaptateur, puis choisissez “LAN Segment”. Ici, vous pouvez sélectionner “LAN 2” ou, si ce réseau n’existe pas encore, le créer en cliquant sur “LAN Segment” et en suivant les instructions.
Configuration dans pfSense
Ensuite, connectez-vous à l’interface web de pfSense. Pour cela, j’utilise une autre VM connectée au réseau LAN1, déjà configuré lors de l’installation initiale de pfSense.
Dans le menu “Interfaces“, sélectionnez “Assignments“.
Dans la fenêtre suivante, cliquez sur “Add” pour ajouter un nouveau port réseau disponible, dans mon cas, il s’agit de em2.
pfSense va automatiquement nommer cette interface “OPT” (pour “Optical Interface”). Dans mon cas, elle est nommée “OPT2“, car “OPT1” est déjà utilisé. Cliquez sur l’interface nouvellement ajoutée.
Configuration du LAN2
Activez cette interface en cochant la case “Enable Interface”. Renommez-la “LAN2“. Ensuite, dans “IPv4 Configuration Type“, choisissez “Static IPv4“, puis saisissez l’adresse IP 192.168.2.1/24, puisque j’utilise déjà le réseau 192.168.1.0/24 pour LAN1.
En bas de la page, cliquez sur “Save“, puis sur “Apply Changes” pour appliquer les modifications.
Activer le serveur DHCP pour LAN2
Pour que les ordinateurs connectés au réseau LAN2 reçoivent automatiquement une adresse IP, il est nécessaire d’activer le serveur DHCP pour ce réseau.
Allez dans l’onglet “Services“, puis cliquez sur “DHCP Server“.
Dans la fenêtre suivante, allez dans l’onglet “LAN2“, cochez la case pour activer le serveur DHCP pour cette interface. Définissez la plage d’adresses IP attribuées par le serveur DHCP, dans mon exemple de 192.168.2.15 à 192.168.2.254, afin de laisser les adresses 192.168.2.1 à 192.168.2.14 disponibles pour des serveurs ou autres périphériques ayant besoin d’adresses IP statiques. Cliquez sur “Save“, puis sur “Apply Changes” pour appliquer les modifications.
Tester la configuration
Pour tester la configuration, j’ai ajouté un nouvel ordinateur dans le réseau LAN2. J’ai créé une seconde VM que j’ai connectée au réseau LAN2.
Premièrement, je vérifie l’adresse IP attribuée. L’ordinateur a bien reçu une adresse IP à partir de notre serveur DHCP : 192.168.2.15, qui est la première adresse de la plage que nous avons configurée pour notre serveur DHCP.
ip a
Cependant, je constate que je ne peux pas pinguer d’autres machines dans LAN1 ou accéder à Internet depuis LAN2.
ping 192.168.1.10
J’ai essayé de pinguer cette machine à partir de LAN1, et j’ai constaté que le réseau LAN2 est accessible depuis le réseau LAN1.
ping 192.168.2.15
Configurer le pare-feu pour LAN2
Pour permettre la communication entre LAN2 et les autres réseaux, ainsi que l’accès à Internet, nous devons configurer le pare-feu.
Allez dans l’onglet “Firewall“, puis cliquez sur “Rules“.
Dans la fenêtre suivante, sélectionnez “LAN2” et cliquez sur “Add“.
Dans la configuration de la règle du pare-feu, définissez les options suivantes :
Action : Pass
Interface : LAN2
Address Family : IPv4
Protocol : Any
Source : LAN Subnets
Destination : Any
Cliquez sur “Save“, puis sur “Apply Changes” pour appliquer la nouvelle règle.
Redémarrer pfSense
Afin que les modifications prennent effet, redémarrez pfSense. Pour cela, allez dans l’onglet “Diagnostics“, choisissez “Reboot” et cliquez sur “Submit“.
Vérification de l’accès à LAN1 et à Internet depuis LAN2
Pour vérifier l’accès à LAN1 à partir de LAN2, pinguez une machine dans le réseau LAN1 avec la commande suivante :
ping 192.168.1.10
Pour tester l’accès à Internet, pinguez un site web externe, par exemple :
ping oleks.ca
Et voilà ! Nous avons configuré un deuxième réseau LAN sur pfSense.
Bonne chance!