coimbrap
/
projet_serveur_krkn
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Corrections OPNSense

master
Pierre Coimbra 2020-03-21 14:16:10 +01:00
parent f08c8d899c
commit 94a8600fb8
No known key found for this signature in database
GPG Key ID: F9C449C78F6FAEE6
1 changed files with 70 additions and 18 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

88
applicatif/zone_wan/opnsense.md → applicatif/zone_wan/opnsense/configuration_initiale.md
View File

@ -2,12 +2,16 @@
Au niveau du pare-feu nous allons utiliser OPNSense (fork de pfSense). Alpha et Sigma auront une VM avec OPNSense pour la Haute Disponibilité, l'IP publique (WAN) se déplacera entre les trois VM grâce à une IP virtuelle CARP et à pfSync. Ca sera la même chose pour la gateway sur chaque interface.
Dans options activé le démarrage automatique.
## Configuration des VMs
- Cores : 2
- Memory : 2048
- Guest OS : Other
- Bus Device : VirtIO Block
- Network device model : VirtIO (paravirtualized)
Avant de lancer la VM ajoutez les interfaces ci-dessous
Avant de lancer la VM ajoutez les interfaces VirtIO ci-dessous :
- vmbr0.10 -> WAN
- vmbr1.10 -> LAN
- vmbr1.20 -> CARP
@ -15,20 +19,22 @@ Avant de lancer la VM ajoutez les interfaces ci-dessous
WAN sera l'interface portant l'ip publique et LAN l'interface gateway pour la zone DMZ.
## Installation du système
Il faut récupérer une image iso "DVD" sur le site d'OpnSense
Lors du démarrage il faut utiliser,
- login : installer
- pass : opnsense
N'oubliez pas de changer la disposition du clavier lors de l'installation (Change Keymap) pour `fr.kbd`.
Ne pas configurer de VLANs.
Une fois installation terminée, quitter le programme d'installation et redémarrer la VM.
## Premiers paramétrages d'OPNSense
### Interfaces
Une fois la VM redémarrée pour la première fois, il faut faut assigner les interfaces, choix 1 dans le menu (assign interfaces).
Il faut configurer 2 interfaces pour commencer :
Il faut configurer 3 interfaces pour commencer :
- WAN (vmbr0 / vlan 10)
- LAN (vmbr1 / vlan 10)
- pfSync (vmbr1 / vlan20)
@ -55,16 +61,31 @@ Sur la console d'OPNSense disponible sur la VM
pfctl -d
touch /tmp/disable_security_checks
```
Attention le pare-feu est activer à nouveau à chaque ajout de règle.
En cas de perte d'accès faire la commande `pfctl -d` sur la console pour désactiver le pare-feu.
### Premier accès à l'interface d'administration
Vous y accédez à l'adresse **https://adresse_ip/**. Lors du Setup Wizard voilà certains paramètres à spécifié.
- Hostname : opnmaster
- Domain : krhacken.org
- Language : French
- Primary DNS Server : 10.0.0.253
- Secondary DNS Server : 80.67.169.12
- Décocher Override DNS
- Timezone : Europe/Paris
Vous perdez l'accès à l'interface il vous faut désactiver pf à nouveau.
## Interfaces
Le firewall aura une interface sur toute les zones afin de réguler le trafic. Aucune règle spéciale ne sera ajouter pour ces interfaces.
Voici la liste des interfaçes à assigner à la VM ainsi que le nom à leur donner dans OPNSense lors de leur assignation
- vmbr0.10 -> WAN (déjà assignée)
- vmbr0.20 -> pfSync
- vmbr0.20 -> pfSync (déjà assignée)
- vmbr1.10 -> LAN (déjà assignée)
- vmbr1.20 -> PROXY
- vmbr1.30 -> INT
@ -72,13 +93,18 @@ Voici la liste des interfaçes à assigner à la VM ainsi que le nom à leur don
- vmbr1.50 -> DIRTY
- vmbr2.100 -> ADMIN
Il vous faut ensuite leur donner une IP publique en respectant les IP données dans la [partie réseau](reseau/mise_en_place.md)
Il vous faut ensuite leur donner une IP publique en respectant les IP données dans la [partie réseau](reseau/mise_en_place.md). La configuration ce passe dans Interface / Le nom.
- Type de configuration ipv4 : Adresse IPv4 statique
- Interfaces déjà configuré : WAN / LAN / CARP
Donner uniquement l'adresse IP, pas de gateway sauf sur WAN.
## Mise en cluster des pares-feu
Appliquer les règles à la fin sinon le pare-feu va se réactiver et vous allez perdre l'accès
### Alpha
### Alpha
Système / Haute disponibilité / Paramètres
@ -102,7 +128,7 @@ La configuration du serveur est maintenant partagé entre les deux VM.
On passe maintenant à la configuration des IPs Virtuelles
Pare-feu / IPs virtuelles / Paramètres
### Pare-feu / IPs virtuelles / Paramètres
Pour chaque interface portant une IP virtuelle
@ -123,7 +149,7 @@ Les interfaces :
- DIRTY : 10.0.4.254
- ADMIN : 10.1.0.254
### Règle firewall (CARP)
### Règle firewall (CARP)
#### Pare-feu / Règles / CARP
@ -134,9 +160,23 @@ Les interfaces :
Pour pouvoir accéder à l'interface web via HAProxy il vous faut mettre en place du DNAT vers l'IP virtuelle de HAProxy.
#### Pare-feu / NAT / Redirection de port
Ajouter deux nouvelle règle
#### Pare-feu / NAT / Redirection de port
Règle pour l'accès au panel via le port 8080
```
Interface : WAN
Protocole : TCP
Destination : WAN adresse
Plage de ports de destination : 8080 / 8080
Rediriger Vers : 10.0.0.254
Rediriger port cible : 443
Description : DNAT port 8080 vers 443 pour OPNSense
```
A partir de maintenant ce n'est plus la peine de désactiver pf pour accéder au panel d'administation.
Ajouter deux nouvelle règle pour HAProxy
```
Interface : WAN
Protocole : TCP
@ -153,7 +193,7 @@ Destination : WAN adresse
Plage de ports de destination : HTTPS / HTTPS
Rediriger Vers : 10.0.0.9
Rediriger port cible : HTTPS / HTTPS
Description : DNAT port 80 pour HAProxy
Description : DNAT port 443 pour HAProxy
```
On donne l'accès à l'interface web via HAProxy.
@ -187,21 +227,33 @@ Pour le port 2222 DNAT vers la VM de l'environnement CTF système (10.0.3.12)
Interface : WAN
Protocole : TCP
Destination : WAN adresse
Plage de ports de destination : XXXX / XXXX
Plage de ports de destination : 2222 / 2222
Rediriger Vers : 10.0.3.12
Rediriger port cible : XXXX / XXXX
Description : DNAT port XXXX pour l'environnement Système (CTF)
Rediriger port cible : 22 / 22
Description : DNAT port 2222 pour l'environnement Système (CTF)
```
Pour le port 2244 DNAT vers le conteneur Gitea pour les push via SSH, (10.0.2.21)
```
Interface : WAN
Protocole : TCP
Destination : WAN adresse
Plage de ports de destination : 2244 / 2244
Rediriger Vers : 10.0.2.21
Rediriger port cible : 22 / 22
Description : DNAT port 2244 pour Gitea
```
Pour la plage de ports 8081 à 8091 DNAT vers l'environnement CTF Web (10.0.3.13).
```
Interface : WAN
Protocole : TCP
Destination : WAN adresse
Plage de ports de destination : XXXX / XXXX
Plage de ports de destination : 8081 / 8091
Rediriger Vers : 10.0.3.13
Rediriger port cible : XXXX / XXXX
Description : DNAT port XXXX pour l'environnement Web (CTF)
Rediriger port cible : 8081 / 8091
Description : DNAT des ports 8081 / 8091 pour l'environnement Web (CTF)
```
C'est tout pour la configuration du pare-feu.
C'est tout pour la configuration de départ du pare-feu.