Mise en place OPNSense - FunWarry/Projet-ESEO-css-datacenter GitHub Wiki

Prérequis: -Un ordinateur avec: - >4 coeurs - >8 gigas de ram - >40Go d'espace libre - 2 cartes ethernet - une connection vers le router de l'eseo - une connection vers le switch de votre LAN - Virtualbox 7

Obtention iso OPNSense:

  1. Allez sur opnsense.org/downloads
  2. Sélectionnez l'image dvd
  3. Après le téléchargement lancez la commande bzip2 -d OPNsense-<nomdefichier>.bz2 en ajustant la commande pour faire correspondre le <nomdefichier> avec ce que vous avez téléchargé

Mise en place de VirtualBox:

  1. Sur virtualbox, créez une nouvelle machine FreeBSD (64-bit) en séléctionnant l'ISO qu'on a auparavant décompréssé
  2. dans l'onglet Hardware mettez au minimum 2Go de RAM, 2 coeurs de CPU. Si les ressources le peuvent mettez 8Go et 4 coeurs
  3. dans l'onglet Hard Disk mettez au minimum 40Go, si possible 120Go
  4. Clickez sur finish
  5. Dans le menu principal de VirtualBox, clickez sur configuration
  6. Donnez deux interfaces bridge à OPNSense pour chaque interface réseau, une ira vers le LAN enp1s0 et l'autre vers le WAN eno1

Installation de OPNSense

  1. lancez la machine
  2. l'invite de commande peut vous demander d'assigner des interfaces, WAN devra être celle menant à l'extérieur de votre réseau et LAN celle menant vers l'intérieur de celui ci
  3. attendez que l'invite vous demande un mot de passe
  4. entrez le mot de passe "installer"
  5. vous devriez avoir le menu pour choisir la disposition du clavier, appuyez sur la flèche du bas jusqu'à avoir l'option pour le clavier Francais, selectionez avec tab puis sélectionnez continue
  6. Dans le menu suivant, choisissez ZFS
  7. Sélectionnez le disque
  8. Confirmez que vous voulez continuer avec le swap de la taille recommandée
  9. Confirmez que vous voulez effacer les contenus du disque

le logiciel continuera avec l'installation d'opnsense, cela prendra un peu de temps.

  1. L'interface vous donne deux options, changer le mot de pass ou continuer l'installation, choisissez continuer, on pourra modifier celui ci plus tard.
  2. après le reboot, éteignez la machine en tappant 5 dans l'invite de commande
  3. allez dans les settings de la machine sur virtualbox, dans l'onglet stockage enlevez le disque iso
  4. lancez la machine
  5. depuis votre réseau, accédez à l'interface web dont l'addresse est indiqué sur l'invite de commande
  6. connectez vous avec le mdp que vous avez indiqué
  7. Allez dans System -> Firmware -> Status
  8. Clickez sur Check for updates
  9. Si une mise à jour est disponible installez-là

Configuration du NAT

  1. Allez sur Firewall -> NAT -> Outbound
  2. Cochez hybrid outbound NAT rule generation

Configuration interaction avec zabbix

  1. Dans la page System -> Firmware -> Plugins, recherchez zabbix
  2. Ajoutez os-zabbix7-agent
  3. Allez dans Services -> Zabbix Agent
  4. Listen Port: 10050
  5. Zabbix Servers : 192.168.239.3
  6. Cochez Enabled
  7. Dans Zabbix Features, remplissez Active Check Servers avec 192.168.238.3

Ajout d'un Alias pour n'authoriser que les IPs provenant de l'école

  1. Dans Firewall -> Aliases, Ajoutez un nouvel alias comme tel:
    1. Name: Reseau_ecole
    2. Type: Network(s)
    3. Content: 172.23.1.0/20
    4. Description: Intégralité du réseau interne de l'ESEO

Configuration accès extérieur à Zabbix et au serveurs LAMP

  1. Dans Firewall -> Rules -> Wan , ajoutez cette règle comme tel pour empêcher l'accès au machines s'occupant de l'architecture des VMs

    1. Action: Block
    2. Interface: Wan
    3. Direction: in
    4. TCP/IP Version: IPv4+IPv6
    5. Protocol: any
    6. Source: any
    7. Destination: 192.168.232.0/29
    8. Destination port range:
      1. from: any
      2. to: any
    9. Description: "Bloquage accès IPs pour fonctionnement interne VLAN VMs"

  2. Appuyez sur Save, puis dans la fenêtre suivante appuyez sur Apply changes

  3. Dans Firewall -> NAT -> Port Forward, Pour authoriser l'accès à la machine LAMP, ajoutez une règle comme tel:

    1. Interface: WAN
    2. TCP/IP Version: IPv4
    3. Protocol: TCP
    4. Source: Reseau Ecole
    5. Source Port Range:
      1. From: any
      2. To: any
    6. Destination:
      1. Single host or Network
      2. IP: 192.168.4.240
      3. Mask: 32
    7. Destination Port Range:
      1. From: 1010
      2. To: 1010
    8. Redirect target IP:
      1. Single host or Network
      2. 192.168.238.3
    9. Redirect target port: HTTP
    10. Description: Accès extérieur LAMP

  4. Appuyez sur Save, puis dans la fenêtre suivante appuyez sur Apply changes

  5. Dans Firewall -> NAT -> Port Forward, Pour authoriser l'accès à la machine Zabbix, ajoutez une règle comme tel:

    1. Interface: WAN
    2. TCP/IP Version: IPv4
    3. Protocol: TCP
    4. Source: Reseau Ecole
    5. Source Port Range:
      1. From: any
      2. To: any
    6. Destination:
      1. Single host or Network
      2. IP: 192.168.4.240
      3. Mask: 32
    7. Destination Port Range:
      1. From: 1000
      2. To: 1000
    8. Redirect target IP:
      1. Single host or Network
      2. 192.168.232.3
    9. Redirect target port: HTTP
    10. Description: Accès extérieur Zabbix

  6. Appuyez sur Save, puis dans la fenêtre suivante appuyez sur Apply changes