coimbrap
/
projet_serveur_krkn
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Corrections OPNSense

master
Pierre Coimbra 2020-03-21 14:16:10 +01:00
parent f08c8d899c
commit 94a8600fb8
No known key found for this signature in database
GPG Key ID: F9C449C78F6FAEE6
1 changed files with 70 additions and 18 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

88
applicatif/zone_wan/opnsense.md → applicatif/zone_wan/opnsense/configuration_initiale.md
View File

@ -2,12 +2,16 @@
Au niveau du pare-feu nous allons utiliser OPNSense (fork de pfSense). Alpha et Sigma auront une VM avec OPNSense pour la Haute Disponibilité, l'IP publique (WAN) se déplacera entre les trois VM grâce à une IP virtuelle CARP et à pfSync. Ca sera la même chose pour la gateway sur chaque interface. Au niveau du pare-feu nous allons utiliser OPNSense (fork de pfSense). Alpha et Sigma auront une VM avec OPNSense pour la Haute Disponibilité, l'IP publique (WAN) se déplacera entre les trois VM grâce à une IP virtuelle CARP et à pfSync. Ca sera la même chose pour la gateway sur chaque interface.
Dans options activé le démarrage automatique.
## Configuration des VMs ## Configuration des VMs
- Cores : 2
- Memory : 2048
- Guest OS : Other - Guest OS : Other
- Bus Device : VirtIO Block - Bus Device : VirtIO Block
- Network device model : VirtIO (paravirtualized) - Network device model : VirtIO (paravirtualized)
Avant de lancer la VM ajoutez les interfaces ci-dessous Avant de lancer la VM ajoutez les interfaces VirtIO ci-dessous :
- vmbr0.10 -> WAN - vmbr0.10 -> WAN
- vmbr1.10 -> LAN - vmbr1.10 -> LAN
- vmbr1.20 -> CARP - vmbr1.20 -> CARP
@ -15,20 +19,22 @@ Avant de lancer la VM ajoutez les interfaces ci-dessous
WAN sera l'interface portant l'ip publique et LAN l'interface gateway pour la zone DMZ. WAN sera l'interface portant l'ip publique et LAN l'interface gateway pour la zone DMZ.
## Installation du système ## Installation du système
Il faut récupérer une image iso "DVD" sur le site d'OpnSense
Lors du démarrage il faut utiliser, Lors du démarrage il faut utiliser,
- login : installer - login : installer
- pass : opnsense - pass : opnsense
N'oubliez pas de changer la disposition du clavier lors de l'installation (Change Keymap) pour `fr.kbd`.
Ne pas configurer de VLANs. Ne pas configurer de VLANs.
Une fois installation terminée, quitter le programme d'installation et redémarrer la VM. Une fois installation terminée, quitter le programme d'installation et redémarrer la VM.
## Premiers paramétrages d'OPNSense ## Premiers paramétrages d'OPNSense
### Interfaces ### Interfaces
Une fois la VM redémarrée pour la première fois, il faut faut assigner les interfaces, choix 1 dans le menu (assign interfaces). Une fois la VM redémarrée pour la première fois, il faut faut assigner les interfaces, choix 1 dans le menu (assign interfaces).
Il faut configurer 2 interfaces pour commencer : Il faut configurer 3 interfaces pour commencer :
- WAN (vmbr0 / vlan 10) - WAN (vmbr0 / vlan 10)
- LAN (vmbr1 / vlan 10) - LAN (vmbr1 / vlan 10)
- pfSync (vmbr1 / vlan20) - pfSync (vmbr1 / vlan20)
@ -55,16 +61,31 @@ Sur la console d'OPNSense disponible sur la VM
pfctl -d pfctl -d
touch /tmp/disable_security_checks touch /tmp/disable_security_checks
``` ```
Attention le pare-feu est activer à nouveau à chaque ajout de règle. Attention le pare-feu est activer à nouveau à chaque ajout de règle.
En cas de perte d'accès faire la commande `pfctl -d` sur la console pour désactiver le pare-feu. En cas de perte d'accès faire la commande `pfctl -d` sur la console pour désactiver le pare-feu.
### Premier accès à l'interface d'administration
Vous y accédez à l'adresse **https://adresse_ip/**. Lors du Setup Wizard voilà certains paramètres à spécifié.
- Hostname : opnmaster
- Domain : krhacken.org
- Language : French
- Primary DNS Server : 10.0.0.253
- Secondary DNS Server : 80.67.169.12
- Décocher Override DNS
- Timezone : Europe/Paris
Vous perdez l'accès à l'interface il vous faut désactiver pf à nouveau.
## Interfaces ## Interfaces
Le firewall aura une interface sur toute les zones afin de réguler le trafic. Aucune règle spéciale ne sera ajouter pour ces interfaces. Le firewall aura une interface sur toute les zones afin de réguler le trafic. Aucune règle spéciale ne sera ajouter pour ces interfaces.
Voici la liste des interfaçes à assigner à la VM ainsi que le nom à leur donner dans OPNSense lors de leur assignation Voici la liste des interfaçes à assigner à la VM ainsi que le nom à leur donner dans OPNSense lors de leur assignation
- vmbr0.10 -> WAN (déjà assignée) - vmbr0.10 -> WAN (déjà assignée)
- vmbr0.20 -> pfSync - vmbr0.20 -> pfSync (déjà assignée)
- vmbr1.10 -> LAN (déjà assignée) - vmbr1.10 -> LAN (déjà assignée)
- vmbr1.20 -> PROXY - vmbr1.20 -> PROXY
- vmbr1.30 -> INT - vmbr1.30 -> INT
@ -72,13 +93,18 @@ Voici la liste des interfaçes à assigner à la VM ainsi que le nom à leur don
- vmbr1.50 -> DIRTY - vmbr1.50 -> DIRTY
- vmbr2.100 -> ADMIN - vmbr2.100 -> ADMIN
Il vous faut ensuite leur donner une IP publique en respectant les IP données dans la [partie réseau](reseau/mise_en_place.md) Il vous faut ensuite leur donner une IP publique en respectant les IP données dans la [partie réseau](reseau/mise_en_place.md). La configuration ce passe dans Interface / Le nom.
- Type de configuration ipv4 : Adresse IPv4 statique
- Interfaces déjà configuré : WAN / LAN / CARP
Donner uniquement l'adresse IP, pas de gateway sauf sur WAN.
## Mise en cluster des pares-feu ## Mise en cluster des pares-feu
Appliquer les règles à la fin sinon le pare-feu va se réactiver et vous allez perdre l'accès Appliquer les règles à la fin sinon le pare-feu va se réactiver et vous allez perdre l'accès
### Alpha ### Alpha
Système / Haute disponibilité / Paramètres Système / Haute disponibilité / Paramètres
@ -102,7 +128,7 @@ La configuration du serveur est maintenant partagé entre les deux VM.
On passe maintenant à la configuration des IPs Virtuelles On passe maintenant à la configuration des IPs Virtuelles
Pare-feu / IPs virtuelles / Paramètres ### Pare-feu / IPs virtuelles / Paramètres
Pour chaque interface portant une IP virtuelle Pour chaque interface portant une IP virtuelle
@ -123,7 +149,7 @@ Les interfaces :
- DIRTY : 10.0.4.254 - DIRTY : 10.0.4.254
- ADMIN : 10.1.0.254 - ADMIN : 10.1.0.254
### Règle firewall (CARP) ### Règle firewall (CARP)
#### Pare-feu / Règles / CARP #### Pare-feu / Règles / CARP
@ -134,9 +160,23 @@ Les interfaces :
Pour pouvoir accéder à l'interface web via HAProxy il vous faut mettre en place du DNAT vers l'IP virtuelle de HAProxy. Pour pouvoir accéder à l'interface web via HAProxy il vous faut mettre en place du DNAT vers l'IP virtuelle de HAProxy.
#### Pare-feu / NAT / Redirection de port
Ajouter deux nouvelle règle
#### Pare-feu / NAT / Redirection de port
Règle pour l'accès au panel via le port 8080
```
Interface : WAN
Protocole : TCP
Destination : WAN adresse
Plage de ports de destination : 8080 / 8080
Rediriger Vers : 10.0.0.254
Rediriger port cible : 443
Description : DNAT port 8080 vers 443 pour OPNSense
```
A partir de maintenant ce n'est plus la peine de désactiver pf pour accéder au panel d'administation.
Ajouter deux nouvelle règle pour HAProxy
``` ```
Interface : WAN Interface : WAN
Protocole : TCP Protocole : TCP
@ -153,7 +193,7 @@ Destination : WAN adresse
Plage de ports de destination : HTTPS / HTTPS Plage de ports de destination : HTTPS / HTTPS
Rediriger Vers : 10.0.0.9 Rediriger Vers : 10.0.0.9
Rediriger port cible : HTTPS / HTTPS Rediriger port cible : HTTPS / HTTPS
Description : DNAT port 80 pour HAProxy Description : DNAT port 443 pour HAProxy
``` ```
On donne l'accès à l'interface web via HAProxy. On donne l'accès à l'interface web via HAProxy.
@ -187,21 +227,33 @@ Pour le port 2222 DNAT vers la VM de l'environnement CTF système (10.0.3.12)
Interface : WAN Interface : WAN
Protocole : TCP Protocole : TCP
Destination : WAN adresse Destination : WAN adresse
Plage de ports de destination : XXXX / XXXX Plage de ports de destination : 2222 / 2222
Rediriger Vers : 10.0.3.12 Rediriger Vers : 10.0.3.12
Rediriger port cible : XXXX / XXXX Rediriger port cible : 22 / 22
Description : DNAT port XXXX pour l'environnement Système (CTF) Description : DNAT port 2222 pour l'environnement Système (CTF)
``` ```
Pour le port 2244 DNAT vers le conteneur Gitea pour les push via SSH, (10.0.2.21)
```
Interface : WAN
Protocole : TCP
Destination : WAN adresse
Plage de ports de destination : 2244 / 2244
Rediriger Vers : 10.0.2.21
Rediriger port cible : 22 / 22
Description : DNAT port 2244 pour Gitea
```
Pour la plage de ports 8081 à 8091 DNAT vers l'environnement CTF Web (10.0.3.13). Pour la plage de ports 8081 à 8091 DNAT vers l'environnement CTF Web (10.0.3.13).
``` ```
Interface : WAN Interface : WAN
Protocole : TCP Protocole : TCP
Destination : WAN adresse Destination : WAN adresse
Plage de ports de destination : XXXX / XXXX Plage de ports de destination : 8081 / 8091
Rediriger Vers : 10.0.3.13 Rediriger Vers : 10.0.3.13
Rediriger port cible : XXXX / XXXX Rediriger port cible : 8081 / 8091
Description : DNAT port XXXX pour l'environnement Web (CTF) Description : DNAT des ports 8081 / 8091 pour l'environnement Web (CTF)
``` ```
C'est tout pour la configuration du pare-feu. C'est tout pour la configuration de départ du pare-feu.