[Proxy] Mise en place d’Opnsense avec certificat Let’s Encrypt

 

Mise en place du proxy Opnsense avec certificat Let’s Encrypt
Article original Publié le : 21 novembre 2020
Mise a jour le :

 

 

 

 

 

Idéale pour faire du filtrage web sur des serveurs (portail captif, dhcp, openvpn et pleins d’autres choses ..)
Je ne parlerais que de la partie authentification et filtrage web

 

  • Démarrage livecd
  • Installation
  • Les différentes options en cli
  • Interface webui
  • Installation et génération du certificat de Let’s Encrypt
  • Configuration de l’authentification
  • Web Proxy
  • Référentiel et doc

 

 

I. Démarrage livecd

 

L’adresse IP par défaut est 192.168.1.1
Pour procéder a l’installation il faut se connecter avec le compte installer comme rappeler ci dessous, le login/password par défaut est installer/ opnsense

A ce stade il est déjà possible de se connecter en ssh pour pouvoir installer Opnsense

 

 

II. Installation

Se connecter en ssh pour procéder a l’installation

$ ssh installer@192.168.1.1

 

Par défaut le clavier est en QWERTY, on peut profiter pour le changer

 

Pour l’installation, c’est au choix, j’utilise une installation guidé
L’installation manuel permet juste de partitionner le disque a sa convenance

 

Sélectionner le disque

 

Sélectionner le mbr qui convient

 

Patienter quelques minutes

 

Changer le mot de passe a l’issue de l’installation

 

L’installation est terminé, retirer le cd et redémarrer

 

 

III. Les différentes options en cli

On peut maintenant se connecter avec le compte root et le mot de passe précédemment crée

$ ssh root@192.168.1.1

Les différentes options en détails

 

  • 0) Logout

Pour se déconnecter de l’administration

 

  • 1) Assign interfaces

Pour réassigner les interfaces, ajouter un vlan ..

 

  • 2) Set interface IP address

Configurer son interface LAN

 

  • 3) Reset the root password

Changer le mot de passe

 

  • 4) Reset to factory defaults

Pour réinitialiser la conf par défaut

 

  • 5) Power off system

Mettre off l’appliance

 

  • 6) Reboot system

Redémarrer l’appliance

 

  • 7) Ping host

Tester un ping sur l’extérieur

 

  • 8) Shell

Récupérer un shell

 

  • 9) pfTop

Avoir un état du trafic

 

  • 10) Firewall log

Journal des connexions du firewall

 

  • 11) Reload all services

Recharger les services

 

  • 12) Update from console

Lancer un update du système

 

  • 13) Restore a backup

Lancer une restauration de la conf

 

 

IV. Interface webui

L’administration se fait depuis l’interface graphique, se connecter avec l’adresse IP précédemment changé

 

Un wizard permet de finaliser la configuration minimale

 

Modifier le hostname et le domain name et penser a cocher le blocage des réseaux privés

 

 

V. Installation et génération du certificat de Let’s Encrypt

Avant d’aller plus loin, on va installer le plugin acme pour générer un certificat Let’s Encrypt et sécuriser le la connexion https
/!\ En pré-requis, ouvrir les flux 80 et 443 sur le FW et binder fqdn/ip chez le providerAller dans l’onglet Système / Firmware / Plugins

 

 

Ensuite tout ce fait dans l’onglet Services / Let’s Encrypt

Il y a 4 champs a renseigner

  • Paramètres
  • Comptes
  • Méthodes de validation
  • Certificat

 

Paramètres: activer le plugin et le renouvellement auto

 

Comptes : Créer un compte

Méthodes de validation: Ajouter le fqdn et l’interface

 

Certificat: Entrer comme valeur pour le nom commun le fqdn et récupérer les champs de compte et méthode de validation précédemment crée

Puis générer le certificat, comme dit ci dessous, l’interface n’est pas verbeuse,
ouvrir un shell sur le terminal et faire un tail au minimum sur le fichier /var/log/acme.sh.log

 

On retrouve dans Système / Gestion des Certificats / Certificats l’autorité et le certificat

 

Maintenant que le certificat est généré, il faut l’activer
Pour cela aller dans Système / Paramètres / Administration

 

 

VI. Configuration de l’authentification

Pour interfacer avec un serveur FreeIPA, on va utiliser un serveur Radius qui fera l’intermédiaire.

Pour la mise en place suivre ce tuto lié

 

 

VII. Web proxy

Maintenant que l’authentification avec FreeIPA est faite, chaque admin peut utiliser ces crédentials pour administrer Opnsense

Le tableau de bord est assez riche en information, sur le status des process ou des ressources actuellement utilisé par la vm

 

Pour le web proxy il faut aller dans Services / Proxy Web / Administration et Liste des contrôles d’accès

 

Reste a configurer les machines ou ranges autorisés a sur des adresses web pré-définis

Par défaut il faut bloquer tout avec la syntaxe \.* puis autorisé les urls comme le site de centos

 

Le port se configure dans Services / Proxy Web / Administration et General Forward Settings

Par défaut c’est le port 3128 et 3129 en ssl

 

Enfin activer le proxy dans Services / Proxy Web / Administration et Réglages Proxy généraux

 

Ouvrir un navigateur et tester

 

VIII. Référentiel et doc

Source

https://opnsense.org/

https://wiki.opnsense.org/

 

 

No votes yet.
Please wait...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.