Comme la majorité des gens, j’utilise la box de mon FAI (Free) pour permettre à ma moitié de regarder la télévision. Mais souhaitant maîtriser mon infrastructure, j’utilise la Freebox Server uniquement en mode bridge relié à mon pfsense.
Après quelques recherches, je suis tombé sur deux articles (liens à la fin de l’article) expliquant comment faire fonctionner la Freebox Server en mode bridge pour ubiquiti et fortinet.

Je me suis donc dis qu’il fallait en faire un avec pfsense.

Lire la suite de

Depuis la mise en place de mon Alix APU1D4 je refais une passe sur toute ma configuration pfsense. Je me souviens avoir galéré la première fois pour dédier un pool d’adresse IP spécifique via le DHCP pour mes machines virtuelles fonctionnant sous Vmware.
Alors je pose ça ici histoire d’avoir une trace écrite et si ça peut servir à quelqu’un d’autre…

L’idée est d’avoir au sein du pool principal un sous-pool uniquement réservé aux machines virtuelles. Ainsi je peux mettre des options supplémentaires telles que le TFTP ou un DNS different, utile lorsque vous utilisez une solution type foreman pour générer vos machines.

Tout d’abord dans le pool principal, on indique que les machines ayant des adresses MAC VMware ne peuvent pas bénéficier d’une adresse IP de ce pool.

L’adresse MAC des machines virtuelles Vmware lorsqu’elles sont gérées par un vCenter est la suivante :00:50:56:00:00:00-00:50:56:3F:FF:FF ref.

Pfsense-mac-control-01

Une fois que cela est fait, on créer notre pool d’addresse IP destiné à recevoir nos machines virtuelles

Pfsense-mac-control-02

Et enfin on autorise uniquement les machines Vmware a avoir une adresse de ce pool :

Pfsense-mac-control-03

J’ai récemment été confronté à un problème. Je souhaitais connecter un Pfsense à un VPN Cisco.
Apres avoir glané pas mal d’informations sur le web, j’ai compris que cela n’allait pas être facile puisque les paquets permettant la connexion ne sont pas inclus dans Pfsense.
Pour se connecter au Cisco on va utiliser un utilitaire : Openconnect. Par défaut il n’est pas installé dans Pfsense, on va donc l’installer.
Le souci c’est que la version de Pfsense que j’utilise (la 2.1.5) est basée sur un FreeBSD 8.3. Hors le paquet officiel précompilé est pour la version 8.4 de FreeBSD. J’ai quand même essayé de l’installer :

pkg_add ftp://ftp.freebsd.org/pub/FreeBSD/ports/amd64/packages-8-stable/Latest/openconnect.tbz
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/amd64/packages-8-stable/Latest/openconnect.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/amd64/packages-8-stable/All/vpnc-scripts-20130311_1.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/amd64/packages-8-stable/All/libiconv-1.14_1.tbz... Done.
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/amd64/packages-8-stable/All/libxml2-2.8.0_3.tbz... Done.

A priori tout a l’air bon.
Afin que la commande soit disponible directement depuis la shell on utilise la commande rehash
A partir de maintenant vous pouvez déjà vous connecter via la commande openconnect.

openconnect --background --user=USERNAME --no-cert-check vpn.domain.tld

Openconnect va directement faire appel à vpnc et créer l’interface tun pour vous. Si vous voulez gérer cette interface via l’interface web de Pfsense, vous n’allez pas pouvoir. En effet un filtre s’applique à toutes les interfaces de type tun. Il faut donc renommer l’interface une fois que le vpn est connecté. Et pourquoi seulement après ? Car Openconnect n’accepte pas des interfaces de connexion différentes de tunX (hard codé dans le logiciel).
On peut donc renommer l’interface comme ceci :
ifconfig tun8 name ovpnc8
elle apparaitra donc dans l’interface et vous pourrez la gérer et l’affecter a une interface dans Pfsense.

Ok, maintenant on va rendre tout cela automatique via un script et le positionner dans la cron :

 #!/bin/sh
 #Variable to adjust
 HOSTPING=HOST_TO_PING
 HOSTPVN=VPN_ADDRESS
 USER=wolfyxvf
 PASS=strongpassword
 INITTUN=tun8
 NAMETUN=ovpnc8
 #Tools
 PING='/sbin/ping'
 IFCONFIG='/sbin/ifconfig'
 OPENCONNECT='/usr/local/sbin/openconnect'
 DATE=`date`
 PINGRES=`$PING -c 2 $HOSTPING`
 PLOSS=`echo $PINGRES : | grep -o '[0-9][0-9][0-9].[0-9]% packet loss' | cut -f1 -d%'`
 echo "$DATE : Loss Result : $PLOSS"
 if [ "100.0" = "$PLOSS" ];
 then
 echo "$DATE : Deleting Old Interface : $NAMETUN"
 $IFCONFIG $NAMETUN down
 $IFCONFIG $NAMETUN destroy
 echo "$DATE : Creating Interface : $INITTUN"
 $IFCONFIG $INITTUM create
 $IFCONFIG $INITTUM up
 echo "$DATE : Starting : $NAMETUN"
 echo -n $PASS | exec $OPENCONNECT --background --interface=$INITTUN --user=$USER --no-cert-check $HOSTPVN
 echo "$DATE : Renaming Interface : $INITTUN to $NAMETUN"
 $IFCONFIG tun8 name ovpnc8
 echo "$DATE : Now running : $NAMETUN"
 else
 echo "$DATE : Already running"
 fi

Puis on le met dans la cron de root :

crontab -e
*/10 * * * * /root/openconnect-vpn.sh >> /var/log/openconnect_pinger.log 2>&1

Petite note :

J’ai eu un souci lors du montage du VPN. Celui-ci me modifiait mon resolv.conf. Etant donné mon installation je ne souhaitais pas que cela arrive, j’ai donc mis en place un flag immutable

chflags schg /etc/resolv.conf

References :

  1.  : Installation des paquets FreeBSD sur Pfsense
  2. : Interface tun non disponible dans l’interface Pfsense
  3. : Script d’automatisation du VPN