Partie 1: Installation et Configuration Initiale

1. Contexte du Projet

1.1 Objectifs

Nous avons entrepris l’installation d’une solution de pare-feu dédié pour un environnement homelab, avec pour objectif de mettre en place une infrastructure réseau segmentée et sécurisée. Cette première phase consiste à déployer pfSense comme appliance de sécurité dédiée, distincte de l’infrastructure de virtualisation existante.

1.2 Matériel Utilisé

Mini PC: Zotac ZBOX CI337 nano

  • Processeur: Intel N100 (4 cœurs, jusqu’à 3.4 GHz)
  • Mémoire: 8 GB DDR5
  • Stockage: 128 GB SSD
  • Interfaces réseau: 2x Realtek PCIe Gigabit Ethernet
  • WiFi: Intel CNVi Wi-Fi 6 AX101 (détecté mais non utilisé)
  • Mode de démarrage: Pure UEFI (Secure Boot désactivé)

Coût d’acquisition: 85€

2. Installation du Système d’Exploitation

2.1 Préparation

Nous avons téléchargé pfSense 2.8.1 Community Edition depuis le site officiel de Netgate. L’image ISO a été gravée sur une clé USB bootable pour procéder à l’installation sur le système cible.

2.2 Configuration BIOS

Avant l’installation, nous avons configuré le BIOS du Zotac ZBOX avec les paramètres suivants:

  • Secure Boot: Désactivé
  • Boot Mode: Pure UEFI
  • Boot Order: Clé USB en priorité

2.3 Processus d’Installation

Nous avons démarré le système sur la clé USB d’installation et suivi la procédure standard:

  1. Acceptation de la licence: Nous avons accepté les termes de la licence pfSense CE
  2. Mode d’installation: Sélection de “Install pfSense”
  3. Disposition clavier: Configuration en AZERTY français (optionnel)
  4. Partitionnement: Choix de “Auto (ZFS)” pour une installation moderne et performante
  5. Configuration RAID: Sélection de “Stripe” (pas de redondance - disque unique)
  6. Média d’installation: Sélection du SSD de 128 GB comme support d’installation
  7. Confirmation: Validation du formatage et lancement de l’installation

L’installation s’est déroulée sans incident et le système a redémarré automatiquement une fois terminée.

3. Configuration Initiale des Interfaces Réseau

3.1 Assignation des Interfaces

Au premier démarrage, nous avons accédé au menu console de pfSense pour procéder à l’assignation des interfaces réseau.

Option 1 du menu: Assign Interfaces

Nous avons configuré les interfaces comme suit:

  • WAN (re1): Interface connectée au routeur principal (box Internet)
  • LAN (re0): Interface pour le réseau interne

3.2 Configuration IP Temporaire du WAN

Dans le cadre de notre configuration homelab, nous avons opté pour une architecture temporaire permettant l’accès au WebGUI via l’interface WAN, le temps de finaliser la configuration avant la mise en production.

Option 2 du menu: Set interface(s) IP address

Configuration WAN:

  • Mode: IP statique (non-DHCP)
  • Adresse IPv4: IP fixe dans le subnet du réseau existant
  • Masque: /24
  • Passerelle: Adresse du routeur principal

Configuration LAN:

  • Adresse IPv4: Subnet dédié pour le futur réseau interne
  • Masque: /24
  • Serveur DHCP: Activé avec plage définie

4. Accès à l’Interface Web

4.1 Problématique Initiale

Lors de la première tentative d’accès au WebGUI, nous avons rencontré un problème courant: les règles automatiques de pfSense bloquaient l’accès depuis l’interface WAN en raison de la protection “Block Private Networks” activée par défaut.

4.2 Résolution via Configuration Manuelle

Nous avons résolu cette limitation en éditant directement le fichier de configuration:

Via console (Option 8 - Shell):

Installation de l’éditeur nano pour plus de confort pkg update pkg install nano

Édition du fichier de configuration nano /cf/conf/config.xml

text

Nous avons supprimé les directives <blockpriv/> et <blockbogons/> dans la section WAN, puis rechargé la configuration:

/etc/rc.reload_all

text

4.3 Connexion au WebGUI

Après application des modifications, nous avons pu accéder à l’interface web via un navigateur en HTTPS depuis le réseau existant.

Identifiants par défaut:

  • Utilisateur: admin
  • Mot de passe: pfsense

5. Configuration de Sécurité de Base

5.1 Modification du Mot de Passe Administrateur

La première action de sécurité effectuée a été le changement du mot de passe par défaut.

Navigation: System > User Manager > Users > admin

Nous avons défini un mot de passe robuste respectant les critères de complexité.

5.2 Activation de SSH (Optionnel)

Pour faciliter la maintenance à distance, nous avons activé l’accès SSH.

Navigation: System > Advanced > Admin Access

  • Enable Secure Shell: Activé

6. Installation des Drivers Critiques

6.1 Problématique des Cartes Realtek

Les cartes réseau Realtek, bien que détectées par FreeBSD, nécessitent un driver spécifique pour garantir une stabilité optimale. Le driver générique peut entraîner des déconnexions ou des pertes de performances.

6.2 Installation de realtek-re-kmod

Nous avons procédé à l’installation du package realtek-re-kmod via l’interface Diagnostics > Command Prompt:

Installation du driver Realtek optimisé pkg install realtek-re-kmod

Chargement immédiat du module kldload if_re

Configuration du chargement automatique au démarrage echo ‘if_re_load=“YES”’ >> /boot/loader.conf.local

Vérification du chargement kldstat | grep if_re

text

Nous avons ensuite redémarré le système via Diagnostics > Reboot pour appliquer définitivement les modifications.

6.3 Vérification Post-Installation

Après redémarrage, nous avons vérifié l’état des interfaces réseau:

Vérification de l’état des interfaces ifconfig re0 ifconfig re1

Vérification des statistiques d’erreurs netstat -i

text

Résultats obtenus:

  • re0 (LAN): Status “no carrier” (normal, aucun câble connecté)
  • re1 (WAN): Status “active”, vitesse 1000baseT full-duplex
  • Erreurs d’interface (Ierrs/Oerrs): 0 sur les deux interfaces
  • Interruptions MSI-X: Activées et fonctionnelles

La configuration matérielle est validée comme parfaitement opérationnelle.

7. Vérification du Matériel WiFi

7.1 Identification de la Carte

Nous avons procédé à l’identification complète du matériel réseau installé:

Liste détaillée des périphériques PCI réseau pciconf -lvcb | grep -A10 “network”

text

Résultats:

  • WiFi: Intel CNVi Wi-Fi 6 AX101 détecté
  • Ethernet 1: Realtek PCIe GbE (re0)
  • Ethernet 2: Realtek PCIe GbE (re1)

7.2 Limitations FreeBSD

La carte WiFi Intel AX101, bien que détectée par le système, n’est pas exploitable sous pfSense/FreeBSD pour les raisons suivantes:

  • Driver iwlwifi retiré des versions récentes de pfSense
  • Support expérimental uniquement en mode client (pas de mode AP)
  • Performances limitées même en cas de fonctionnement

Décision technique: Nous avons décidé d’utiliser un access point WiFi externe dédié qui sera connecté au port LAN de pfSense, offrant de meilleures performances et une gestion centralisée.

8. Installation des Packages Essentiels

8.1 Mise à Jour du Système

Avant d’installer des packages tiers, nous avons vérifié les mises à jour système disponibles via System > Update.

8.2 Installation des Packages de Sécurité

Navigation: System > Package Manager > Available Packages

Nous avons installé les packages suivants par ordre de priorité:

1. pfBlockerNG-devel (Filtrage DNS et blocage IP)

  • Protection contre les publicités, malwares et trackers
  • Blocage d’adresses IP malveillantes
  • Mode DNSBL pour filtrage DNS

2. Suricata (IDS/IPS)

  • Système de détection et prévention d’intrusions
  • Mode IPS inline sur l’interface WAN
  • Règles ET Open (Emerging Threats)

3. WireGuard (VPN moderne)

  • Protocole VPN haute performance
  • Chiffrement moderne
  • Configuration simplifiée

4. ACME (Certificats SSL automatiques)

  • Intégration Let’s Encrypt
  • Renouvellement automatique des certificats

5. ntopng (Monitoring réseau)

  • Analyse du trafic en temps réel
  • Statistiques détaillées par hôte/protocole

6. iftop (Monitoring bande passante)

  • Installation via console: pkg install iftop
  • Monitoring temps réel de la bande passante

8.3 Désactivation des Offloads Matériels

Prérequis critique pour Suricata: Nous avons désactivé les offloads matériels pour garantir l’inspection complète des paquets.

Navigation: System > Advanced > Networking

Options désactivées:

  • Hardware Checksum Offloading
  • Hardware TCP Segmentation Offloading
  • Hardware Large Receive Offloading

Redémarrage système requis après cette modification.

9. État de la Configuration Actuelle

9.1 Architecture Réseau Temporaire

Internet ↓ Box/Routeur Principal ↓ [WAN - re1] pfSense ZBOX [LAN - re0] ↓ (Non connecté - future expansion)

text

9.2 Services Actifs

  • ✅ Pare-feu pfSense opérationnel
  • ✅ Drivers Realtek installés et validés
  • ✅ Accès WebGUI fonctionnel
  • ✅ SSH activé pour maintenance distante
  • ✅ Packages de sécurité installés

9.3 Prochaines Étapes (Partie 2)

La suite de la configuration comprendra:

  1. Configuration détaillée de pfBlockerNG-devel
  2. Paramétrage de Suricata IDS/IPS
  3. Mise en place des VLANs réseau
  4. Configuration WireGuard VPN
  5. Intégration d’un access point WiFi externe
  6. Déploiement d’un switch manageable avec support VLAN
  7. Migration vers l’architecture réseau finale

10. Optimisations et Bonnes Pratiques

10.1 Optimisation Intel N100

Le processeur Intel N100 peut présenter des limitations de fréquence CPU. Nous recommandons de vérifier les paramètres suivants dans le BIOS:

  • PL1 (Power Limit 1): 10-12W (au lieu de 6W par défaut)
  • PL2 (Power Limit 2): 25-30W
  • CPU Turbo: Activé

10.2 Surveillance Système

Commandes utiles pour le monitoring:

Charge CPU et mémoire top

Fréquence CPU en temps réel sysctl dev.cpu | grep freq

État des interfaces ifconfig -a

Statistiques réseau netstat -i

text

10.3 Sauvegardes

Nous recommandons d’effectuer des sauvegardes régulières de la configuration:

Navigation: Diagnostics > Backup & Restore

  • Export de la configuration au format XML
  • Sauvegarde après chaque modification majeure

Conclusion de la Partie 1

Nous avons réussi à déployer avec succès une instance pfSense 2.8.1 sur un mini PC Zotac ZBOX CI337 nano. Le système est maintenant opérationnel avec:

  • Deux interfaces Gigabit Ethernet pleinement fonctionnelles
  • Drivers matériels optimisés (Realtek)
  • Suite de packages de sécurité installée
  • Configuration de base sécurisée

L’architecture actuelle permet l’accès et la configuration via l’interface web, tout en préservant la possibilité de migrer vers une architecture de production segmentée avec VLANs. La validation matérielle confirme l’absence d’erreurs réseau et des performances optimales sur les deux interfaces Ethernet.

Investissement total: 85€ pour le matériel
Temps d’installation: ~2 heures (installation + configuration + optimisations)
Statut: ✅ Opérationnel et prêt pour la configuration avancée

Document rédigé dans le cadre d’un projet homelab de segmentation réseau et sécurisation d’infrastructure.