Dépannage de l'interface Web de pfSense : Un Guide Étape par Étape
Objectif
Accéder à l'interface Web de pfSense via l'interface WAN (par exemple, 192.168.11.253) depuis un poste de travail client (par exemple, 192.168.11.250). C'est une exigence courante lorsque pfSense est déployé en tant que VM ou lorsque vous avez besoin d'un accès de gestion depuis un segment de réseau spécifique.
Aperçu du Problème
Par défaut, pfSense bloque l'accès à son interface Web depuis le côté WAN pour des raisons de sécurité. Ce tutoriel explique comment activer l'accès en toute sécurité lorsque cela est nécessaire.
Symptômes
Indicateurs d'erreur courants : - Impossible d'accéder à
https://192.168.11.253 depuis le client - Délai d'attente de connexion
lors de la navigation vers l'IP WAN de pfSense - Les journaux du pare-feu affichent des connexions bloquées
Exemple d'entrée de journal :
block in on em0 from 192.168.11.250 to 192.168.11.253 port 443Avertissement de Sécurité
⚠️ Important : Autoriser l'accès WAN à l'interface graphique (GUI) de pfSense est un risque de sécurité. Activez-le uniquement temporairement pour le dépannage ou lorsque cela est absolument nécessaire. Restreignez toujours l'accès à des adresses IP spécifiques de confiance.
Étapes de Dépannage
Étape 1 : Vérifier que le service GUI est en cours d'exécution
Accéder à la console pfSense (via accès physique, IPMI, ou console Proxmox) :
# pfSense console menu
Option 11) Restart webConfigurator
# Wait for service to restart
# Verify it's listeningSortie attendue :
Restarting webConfigurator... done.Étape 2 : Vérifier la Configuration de l'Interface WAN
# Option 8) Shell
ip a
# Or from pfSense console menu:
# Option 2) Set interface(s) IP addressVérifiez : - L'interface WAN (em0, vtnet0, etc.) a la bonne IP - L'IP doit être 192.168.11.253 (ou l'IP WAN attendue) - Le statut de l'interface affiche « UP »
Étape 3 : Tester avec le Pare-feu Temporairement Désactivé
⚠️ AVERTISSEMENT : Uniquement à des fins de test !
# Disable pfSense firewall (from console shell)
pfctl -d
# Test access from client
# Open browser: https://192.168.11.253
# Re-enable firewall immediately after test
pfctl -eSi cela fonctionne : Le problème vient des règles de pare-feu (passez à l'Étape 4) Si cela ne fonctionne pas : Le problème est lié au service web ou à la connectivité réseau
Étape 4 : Ajouter une Règle de Pare-feu Temporaire via Shell
# Access pfSense shell (Option 8)
# Add temporary pass rule for your IP
echo "pass in quick on em0 proto tcp from 192.168.11.250 to 192.168.11.253 port 443 keep state" | pfctl -f -
# Replace 'em0' with your actual WAN interface name
# Replace IP addresses with your actual valuesTester l'accès à nouveau :
https://192.168.11.253
Si réussi : La règle de pare-feu est la solution, rendez-la persistante (Étape 5)
Étape 5 : Créer une Règle de Pare-feu Persistante via l'Interface Web
Une fois que vous pouvez accéder à l'interface Web :
Naviguer vers les Règles de Pare-feu :
Firewall → Rules → WAN → Add (up arrow button)Configurer la Règle :
- Action : Pass
- Interface : WAN
- Famille d'Adresses : IPv4
- Protocole : TCP
- Source :
- Type : Hôte unique ou alias
- Adresse :
192.168.11.250(votre PC de gestion)
- Destination :
- Type : Adresse WAN
- Port : HTTPS (443)
- Description : Autoriser l'accès GUI depuis le PC de gestion
- Log : ✓ (optionnel, pour la surveillance)
Options Avancées (Recommandées) :
- Passerelle (Gateway) : default
- Planification (Schedule) : Aucune (ou créer une planification pour un accès basé sur l'heure)
Enregistrer et Appliquer les Modifications
Étape 6 : Vérifier que le Service Web Écoute
# From pfSense shell
sockstat -4 | grep :443
# Expected output:
# nginx 12345 root 6u IPv4 0x... TCP *:443 (LISTEN)Si le service n'écoute pas :
# Restart web service
/etc/rc.restart_webgui
# Or from console menu
Option 11) Restart webConfiguratorIdentifiants par Défaut
Identifiants de Connexion pfSense par Défaut : - Nom d'utilisateur :
admin - Mot de passe : pfsense
Si les identifiants sont oubliés :
# From pfSense console
Option 3) Reset webConfigurator password
# Follow prompts to reset admin passwordBonnes Pratiques de Sécurité
1. Restreindre l'Accès par Adresse IP
Autoriser uniquement des adresses IP de confiance spécifiques à accéder à l'interface WAN :
Firewall → Rules → WAN
Source: Single host → 192.168.11.250
NOT: Any (insecure!)2. Utiliser l'Authentification par Clé SSH
Au lieu de l'accès Web, envisagez le SSH :
# From client
ssh admin@192.168.11.253
# pfSense console appears
# More secure than web interface3. Mettre en Œuvre l'Authentification Multi-Facteur
System → User Manager → Users → admin
→ Edit → "2FA" section
→ Enable Google Authenticator or other TOTP4. Changer le Port par Défaut
System → Advanced → Admin Access
HTTPS Port: 8443 (instead of 443)
# Access via: https://192.168.11.253:84435. Utiliser des Alias pour la Gestion
Créer un alias de pare-feu pour les IP de gestion :
Firewall → Aliases → IP
Name: mgmt_workstations
Type: Host(s)
IP: 192.168.11.250
Description: Authorized management PCs
# Use in firewall rules instead of individual IPsDépannage Avancé
Problème 1 : Règle Ajoutée mais Toujours Bloquée
Vérifier l'ordre des règles : - Les règles sont traitées de haut en bas - Assurez-vous que la règle de passage (pass rule) est AU-DESSUS de toute règle de blocage - Déplacez la règle vers le haut si nécessaire
Vérifiez que la règle est sur la bonne interface : - Les règles WAN s'appliquent au trafic entrant dans l'interface WAN - Les règles LAN s'appliquent au trafic entrant dans l'interface LAN
Problème 2 : Avertissements de Certificat HTTPS
Problème : Le navigateur affiche un avertissement de sécurité
Solution :
System → Cert Manager → Certificates
→ Add (create self-signed certificate)
System → Advanced → Admin Access
→ SSL Certificate: Select your certificateProblème 3 : Délai d'Attente de Connexion (Non Bloqué)
Causes possibles : 1. Problèmes de MTU 2. Routage asymétrique 3. Table d'états pleine
Solutions :
# Check state table
pfctl -s state | grep 192.168.11.250
# Increase state table size
System → Advanced → Firewall & NAT
Maximum table entries: 200000 (default: 400000)Problème 4 : L'Accès Fonctionne Puis S'Arrête
Vérifier le délai d'expiration de session :
System → Advanced → Admin Access
Session timeout: 240 (default, in minutes)
# Increase if needed for long admin sessionsSurveillance et Journalisation
Activer la Journalisation pour l'Accès WAN
Firewall → Rules → WAN → Edit rule
Log packets matched: ✓
# View logs:
Status → System Logs → Firewall
Filter by: WAN, 443, your IPCréer une Alerte pour l'Accès WAN
System → Advanced → Notifications
→ Add notification
Type: Email
Event: Firewall block/pass on WAN
# Get notified of access attemptsMéthodes d'Accès Alternatives
Option 1 : Accès VPN
Plus sécurisé que l'accès WAN direct :
VPN → OpenVPN → Wizards
→ Configure OpenVPN server
→ Connect via VPN first
→ Access GUI via LAN interface (more secure)Option 2 : Tunnel Cloudflare
Accès Zero-Trust sans exposer les ports :
Install cloudflared on pfSense
Create tunnel to pfSense GUI
Access via: https://pfsense.yourdomain.com
No firewall rules needed on WANOption 3 : Tunneling SSH
# Create SSH tunnel from client
ssh -L 8443:localhost:443 admin@192.168.11.253
# Access GUI via tunnel
https://localhost:8443
# More secure than direct web accessListe de Contrôle Complète
Étapes de Diagnostic : - [ ] Vérifier que le service web pfSense est en cours d'exécution - [ ] Confirmer que l'interface WAN a la bonne IP - [ ] Tester avec le pare-feu temporairement désactivé - [ ] Vérifier les journaux du pare-feu pour les connexions bloquées - [ ] Vérifier que le service écoute sur le port 443
Étapes de Sécurité : - [ ] Restreindre l'IP source au poste de gestion uniquement - [ ] Utiliser un mot de passe fort (pas celui par défaut) - [ ] Activer la 2FA pour le compte admin - [ ] Envisager d'utiliser un port non standard - [ ] Activer la journalisation pour les tentatives d'accès - [ ] Examiner régulièrement les journaux du pare-feu
Post-Configuration : - [ ] Tester l'accès depuis l'IP autorisée - [ ] Vérifier que l'accès est refusé depuis d'autres IP - [ ] Documenter la règle de pare-feu dans votre wiki homelab - [ ] Définir un rappel mensuel pour revoir les règles d'accès
Notes Additionnelles
Pourquoi pfSense Bloque l'Accès WAN par Défaut
Justification de Sécurité : - L'interface WAN fait face à des réseaux non fiables (Internet) - L'interface Web est une cible d'attaque de grande valeur - Le blocage par défaut empêche l'accès non autorisé - Force une approche de liste blanche explicite
Quand Autoriser l'Accès WAN
Cas d'Utilisation Légitimes : - pfSense déployé en tant que VM (WAN = réseau homelab) - Gestion depuis un réseau admin isolé - Dépannage temporaire (désactiver après) - Environnement de laboratoire contrôlé
NON Recommandé : - pfSense WAN connecté directement à Internet - Aucune restriction IP (toute source) - Environnements de production sans 2FA
Conclusion
L'accès à l'interface Web de pfSense via le WAN nécessite une configuration de pare-feu minutieuse. Suivez toujours le principe du moindre privilège : autorisez uniquement des adresses IP spécifiques de confiance, activez la journalisation et envisagez des méthodes d'accès alternatives comme le VPN ou le tunneling SSH pour une sécurité renforcée.
Points Clés à Retenir : - Le blocage WAN par défaut est une fonctionnalité de sécurité intentionnelle - Utilisez des restrictions IP, jamais « toute source » - Activez la 2FA et l'authentification forte - Envisagez le VPN/tunnel pour une utilisation en production - Surveillez et journalisez toutes les tentatives d'accès WAN - Documentez votre configuration
Pour les déploiements en production, utilisez toujours des solutions VPN ou Zero-Trust au lieu d'un accès WAN direct.