| Mise en place du proxy Opnsense avec certificat Let’s Encrypt |
| Article original Publié le : 21 novembre 2020 Mise a jour le : – |
Idéale pour faire du filtrage web sur des serveurs (portail captif, dhcp, openvpn et pleins d’autres choses ..)
Je ne parlerais que de la partie authentification et filtrage web
- Démarrage livecd
- Installation
- Les différentes options en cli
- Interface webui
- Installation et génération du certificat de Let’s Encrypt
- Configuration de l’authentification
- Web Proxy
- Référentiel et doc
I. Démarrage livecd
|
L’adresse IP par défaut est 192.168.1.1
A ce stade il est déjà possible de se connecter en ssh pour pouvoir installer Opnsense |
II. Installation
Se connecter en ssh pour procéder a l’installation
Par défaut le clavier est en QWERTY, on peut profiter pour le changer
Pour l’installation, c’est au choix, j’utilise une installation guidé
Sélectionner le disque
Sélectionner le mbr qui convient
Patienter quelques minutes
Changer le mot de passe a l’issue de l’installation
L’installation est terminé, retirer le cd et redémarrer
|
III. Les différentes options en cli
On peut maintenant se connecter avec le compte root et le mot de passe précédemment crée
Les différentes options en détails
Pour se déconnecter de l’administration
Pour réassigner les interfaces, ajouter un vlan ..
Configurer son interface LAN
Changer le mot de passe
Pour réinitialiser la conf par défaut
Mettre off l’appliance
Redémarrer l’appliance
Tester un ping sur l’extérieur
Récupérer un shell
Avoir un état du trafic
Journal des connexions du firewall
Recharger les services
Lancer un update du système
Lancer une restauration de la conf
|
IV. Interface webui
| L’administration se fait depuis l’interface graphique, se connecter avec l’adresse IP précédemment changé
Un wizard permet de finaliser la configuration minimale
Modifier le hostname et le domain name et penser a cocher le blocage des réseaux privés
|
V. Installation et génération du certificat de Let’s Encrypt
| Avant d’aller plus loin, on va installer le plugin acme pour générer un certificat Let’s Encrypt et sécuriser le la connexion https /!\ En pré-requis, ouvrir les flux 80 et 443 sur le FW et binder fqdn/ip chez le providerAller dans l’onglet Système / Firmware / Plugins
Ensuite tout ce fait dans l’onglet Services / Let’s Encrypt Il y a 4 champs a renseigner
Paramètres: activer le plugin et le renouvellement auto
Comptes : Créer un compte
Méthodes de validation: Ajouter le fqdn et l’interface
Certificat: Entrer comme valeur pour le nom commun le fqdn et récupérer les champs de compte et méthode de validation précédemment crée
Puis générer le certificat, comme dit ci dessous, l’interface n’est pas verbeuse,
On retrouve dans Système / Gestion des Certificats / Certificats l’autorité et le certificat
Maintenant que le certificat est généré, il faut l’activer
|
VI. Configuration de l’authentification
Pour interfacer avec un serveur FreeIPA, on va utiliser un serveur Radius qui fera l’intermédiaire.
Pour la mise en place suivre ce tuto lié
VII. Web proxy
| Maintenant que l’authentification avec FreeIPA est faite, chaque admin peut utiliser ces crédentials pour administrer Opnsense
Le tableau de bord est assez riche en information, sur le status des process ou des ressources actuellement utilisé par la vm
Pour le web proxy il faut aller dans Services / Proxy Web / Administration et Liste des contrôles d’accès
Reste a configurer les machines ou ranges autorisés a sur des adresses web pré-définis Par défaut il faut bloquer tout avec la syntaxe \.* puis autorisé les urls comme le site de centos
Le port se configure dans Services / Proxy Web / Administration et General Forward Settings Par défaut c’est le port 3128 et 3129 en ssl
Enfin activer le proxy dans Services / Proxy Web / Administration et Réglages Proxy généraux
Ouvrir un navigateur et tester
|
VIII. Référentiel et doc
Source