Jump to content

Monter son propre routeur fibre OPNsense


Recommended Posts

Suite au décès de mon routeur Billion, et ne voulant pas de la LiveBox, j'ai décidé de me fabriquer mon propre routeur EWAN pour me connecter à la fibre via Orange. J'ai donc fait quelques recherches pour savoir quel matériel acheter et quel système d'exploitation installer.

Prérequis

Ce tutoriel est fait pour les gens disposant d'une connexion Orange Fibre.

Pour que le routeur soit utilisable, il faut qu'il soit connecté derrière un ONT, qui converti le signal lumineux de la fibre en signal électrique classique avec une sortie RJ45.

L'ONT n'est plus fourni par Orange car maintenant inclus dans la Livebox ! Il faut donc prévoir dès l'installation de la fibre de demander au technicien qui vient installer de mettre un ONT et de ne pas installer la Livebox ! Généralement, il ne sont pas au courant qu'on peut se passer de la Livebox, donc n'hésitez pas pour insister !

La carte-mère

Je suis tombé par hasard sur un (vieux) tutoriel qui parlait des cartes ALIX de chez PC Engines et je suis donc allé voir du côté de cette société suisse. Les cartes-mères ALIX étant obsolètes, je me suis dirigé vers la nouvelle gamme APU2, et comme je voulais 3 ports réseau en sortie, j'ai pris l'APU4B4 (4 ports GHz, un pour l'entrée EWAN et les 3 autres en sortie). Le CPU est un AMD Jaguar 4 cœurs à 1Ghz.

apu4b4_1.jpg

La carte comporte aussi 3 ports mini-PCIe pour y mettre un SSD et diverses cartes d'extension, comme des cartes WIFI. Un port SD card est aussi disponible et peut suffire pour installer le système d'exploitation (8Go suffit largement) même si j'ai préféré mettre un SSD. La carte-mère est fournie avec 6 petites vis pour fixer les cartes mini-PCIe.

L'UEFI de la carte est CoreBoot, un bios libre donc PC Engines distribue le code source adapté à ses cartes-mères sur demande.

Un port RS232 permet de visualiser la séquence de démarrage de l'UEFI puis de configurer OPNsense en ligne de commande, ce qui indispensable pour l'installation de ce dernier. 2 ports USB 3 permettent de brancher la clé USB d'installation de OPNsense.

Boitier et refroissement

PC Engines vendant aussi le boitier pour aller avec, j'ai pris case1d4blku, le système de dissipation thermique étant fourni avec. Celui-ci est composé d'un petit carré de pâte thermique et d'une plaque de métal autocollante qui vient se placer entre le CPU et le boitier, celui-ci servant de dissipateur (d'où sa couleur noire pour une meilleure dissipation). La température en charge dans le boitier oscille entre 66° et 70°.

Le boitier est livré avec 4 vis et dispose de deux emplacements pour des antennes Wifi.

case1d4blku.jpg

Alimentation

PC Engines propose aussi l'alimenation pour aller avec leurs cartes-mères. Il faut prendre l'ac12veur3 qui est la version pour les prises françaises.

ac12veur3.jpg

Carte et antennes Wifi

PC Engines indique deux modèles sur son site mais seule la wle200nx est reconnue par OPNsense faute de pilote pour les versions plus récentes.

Pour les antennes, j'ai pris un kit tout simple contenant 2 antennes et deux queues de cochons. La carte wle200nx ne supporte que deux antennes tout comme le boitier.

517Tmk-x4HL._SL1000_.jpg                              wle200n2-23_1_trans_1000.jpg

SSD

pour le SSD, faute d'en trouvé un tout petit, j'ai pris un Kingston de 120Go, ce qui est très surdimensionné mais il était moins cher que ceux de plus petite capacité lors de mon achat.

81hQdBPrP1L._SL1500_.jpg

Câble série

N'ayant pas de port série sur ma carte mère, j'ai acheté un câble série USB qui fonctionne parfaitement sous Windows 10.

81+lBzzxvaL._SL1500_.jpg

Où acheter ?

Difficile de trouver des revendeurs en France même si PC Engines en donne quelques-uns. J'ai donc acheté en Italie chez Wispmax pour la carte-mère, le boitier, l'alimentation et la carte Wifi. Les frais de ports sont d'un peu plus de 20€ et c'est TNT qui s'en occupe sous 48h.

Link to post
Share on other sites

Montage

La partie montage est très simple. PC Engines fourni un gabarit que je vous conseille d'utiliser pour placer correctement la dissipateur thermique. Il suffit de l'imprimer, de le découper, puis d'évider l'emplacement du dissipateur. Ensuite, positionnez-le comme sur la photo ci-dessous, et venez coller le dissipateur. Il se retrouvera automatiquement au bon endroit quand vous viendrez poser la carte-mère dessus.

apufix1a2.jpg

Ensuite, posez sur le processeur un carré de pâte thermique au dos de la carte mère, puis glissez la carte dans le boitier. Quand tout est en place, appuyez fortement sur la carte-mère à l'aide du papier antistatique dans laquelle elle était emballée, à l'emplacement du CPU pour que le contact soit parfait.

Le CPU atteint entre 66° et 70° lors de mes tests, donc ne soyez pas surpris que le boitier chauffe fortement. Si c'est le cas, c'est que le contact est bon ! D'ailleurs, il refroidit tout aussi vite à l'arrêt, ce qui veut dire que la dissipation est très bonne.

Montez ensuite le SSD (si vous en avez pris un, sinon insérez la carte SD) et la carte Wifi avec les visses fournies. Le SSD doit être placé sur le port PCIe3, à gauche sur la photo.

Fixez ensuite les antennes au boitier en plaçant une rondelle lisse d'un côté du boitier et une dentelée de l'autre (peut importe laquelle est dedans ou en dehors du boitier).

Reliez enfin les queues de cochon aux deux prises de la carte Wifi.

Fermez le boitier avec les quatre visses fournies, et voilà !

Mise à jour du firmware

🛑 Cette étape est indispensable pour faire tourner les versions récentes d'OPNsense !

Les cartes-mères de PCEngine sont équipées d'un firmware Coreboot (anciennement LinuxBIOS), un système d'amorçage libre régulièrement mis à jour et dont les sources sont disponibles et recompilables à souhait. PCEngine propose d'ailleurs son outils de compilation pour créer les firmwares adaptés à ses cartes-mères sur GitHub (cela inclus les logiciels suivants : coreboot, SeaBIOS, sortbootorder, ipxe et memtest86+).

Evidemment, des versions précompilées existent et sont disponibles sur leurs dépôts.

Commencez donc par télécharger le fichier .rom correspondant à votre carte-mère dans la partie "Mainline releases" (le legacy n'est maintenu que pour rétrocompatibilité).

Ensuite, téléchargez TinyCore afin de créer une clé USB bootable sur laquelle vous viendrez copier le fichier .rom précédemment téléchargé.

Connectez la clé USB a un des ports de la carte-mère puis connectez le câble série.

Allez ensuite dans le gestionnaire de périphérique pour vérifier quel port COM a été attribué à votre câble réseau. Par défaut, il s'agit du COM3 si vous n'en possédez pas d'autres. Modifiez les autres paramètres ainsi :

  • Vitesse : 115200
  • Bits de données : 8
  • Bits de parité : Aucun
  • Bit d'arrêt : 1

Démarrez PuTTY et cochez Serial. Saisissez le numéro de port COM à utiliser, 115200 pour la vitesse puis sur cliquez Open. Sous Linux, vous pouvez utiliser screen (exemple : screen /dev/ttyUSB0 115200).

Démarrez (ou redémarrez) votre routeur, il devrait automatiquement booter sur la clé USB. Attendez que TinyCore soit chargé, puis lorsque l'invite de commande apparaît, saisissez la commande de mise à jour telle qu'elle vous est proposée en exemple par TinyCore.

Si votre carte-mère est sur un firmware trop ancien (antérieur à 4.8.x), il vous faudra forcer la mise à jour comme indiqué par TinyCore.

Une fois la mise à jour effectuée, retirez la clé USB et redémarrez électriquement le routeur pour que le nouveau firmware soit pris en compte.

 

Link to post
Share on other sites

Installation d'OPNsense

OPNsense est une distribution spécialisée pour les routeurs basée sur FreeBsd. Il s'agit d'un fork de pfsense qui a l'avantage d'être bien plus suivi et d'évoluer régulièrement. Il existe une communauté active et efficace qui répondra facilement à vos questions.

Commencez par téléchargez une image d'installation à l'adresse suivante : https://opnsense.org/download/

Sélectionnez l'architecture AMD64 et Serial comme moyen de communication. Nous allons l'installer via une clé USB et utiliser le port série pour nous connecter au routeur durant l'installation. Enfin, choisissez un miroir près de chez vous.

image.thumb.png.59af16a656d9d2a2758aacd341ff11fd.png

Outils nécessaires

Pour l'installation, il va nous falloir les outils suivants :

  • Le câble série.
  • Une clé USB de quelques Go vierge.
  • Le logiciel Rufus pour créer la clé USB bootable (Windows uniquement).
  • PuTTY pour se connecter à la carte-mère (Windows uniquement).

Préparation de la clé d'installation

Insérer la clé USB dans votre ordinateur puis :

Sous Windows :

  1. Ouvrez une console powershell en tant qu'administrateur.
  2. Exécutez diskpart.
  3. Saisissez list disk et notez le numéro correspondant à votre clé USB.
  4. Saisissez select disk n ou n est le numéro du disque précédemment noté.
  5. Tapez enfin clean pour supprimer toutes les partitions existante.
  6. Exécutez Rufus et sélectionnez votre clé USB dans la liste des périphériques.
  7. Sélectionnez Image disque ou ISO comme type de démarrage puis cliquez sur Sélection.
  8. Sélectionnez le fichier d'installation précédemment téléchargé puis cliquez sur Démarrer.

Sous Linux :

  1. Saisissez dans une console la commande sudo ddd if=OPNsense-##.#.##-[Type]-[Architecture].img of=/dev/sdX bs=16k où sdX est le disque correspondant à votre clé USB.

Votre clé USB est maintenant prête.

Installation

Connectez la clé USB a un des ports de la carte-mère puis connectez le câble série. Connectez aussi l'arrivez de votre ONT sur le port le plus à gauche et le câble réseau vers votre réseau local sur la prise d'à côté.

Allez ensuite dans le gestionnaire de périphérique pour vérifier quel port COM a été attribué à votre câble réseau. par défaut, il s'agit du COM3 si vous n'en possédez pas d'autres. Modifiez les autres paramètres ainsi :

  • Vitesse : 115200
  • Bits de données : 8
  • Bits de parité : Aucun
  • Bit d'arrêt : 1

Démarrez PuTTY et cochez Serial. Saisissez le numéro de port COM à utiliser, 115200 pour la vitesse puis sur cliquez Open. Sous Linux, vous pouvez utiliser screen (exemple : screen /dev/ttyUSB0 115200).

Branchez l'alimentation, l'installation démarre. La console vous affiche la séquence de boot.

Étapes de l'installation

Répondez aux questions pour commencer l'installation. Si vous ne savez pas quoi répondre, généralement la première réponse est la bonne !

La procédure d'installation démarre et dure quelques minutes tout au plus.

Une fois terminé, indiquez que vous ne voulez pas effectuer d'autres actions puis retirez la clé USB et validez le redémarrage.

Il faut environ 2 minutes pour que le système démarre, un signal sonore se fait entendre quand c'est terminé.

Link to post
Share on other sites

Connexion à l'interface web

Pour vous connecter, il faut donc dans votre navigateur saisir l'adresse 192.168.1.1, puis utiliser le compte admin avec le mot de passe opnsense. Le certificat étant auto-signé, il vous faut passer outre l'avertissement de votre navigateur. Vous pourrez par la suite mettre votre propre certificat ou vous connecter sans chiffrement.

Un assistant se lance à la première connexion. Vous devez saisir quelques informations de base :

  • Hostname : c'est le nom qu'aura le routeur sur le réseau local et qui sera suivi du domaine.
  • Domain : c'est le suffix qu'auront tous les appareils connectés au réseau local. Vous pouvez indiquer ce que vous voulez ou laisser la valeur proposée par défaut.
  • DNS Server : vous pouvez spécifier des DNS personnalisés. Si vous laissez vide ce sont les DNS fournis par votre FAI qui seront utilisés.
  • Allow DNS server list to be overridden by DHCP/PPP on WAN : autorise le FAI a remplacer les DNS fournis par les siens (actif par défaut).
  • Do not use the DNS Forwarder as a DNS server for the firewall : permet de ne pas utiliser les DNS du FAI comme DNS du routeur (déconseillé).
  • Time zone : fuseau horaire à utiliser pour le routeur.
  • NTP Time Server : serveur de temps à utiliser. Vous pouvez laisser celui de OPNsense ou saisir celui de votre choix.

Une fois ces informations saisies, le routeur va recharger les données.

Vous pouvez ensuite aller dans System/General settings pour modifier la langue pour le français et changer de thème (personnellement, sombre c'est mieux !).

Préparation des identifiants Orange

Pour vous connecter au réseau Orange, il va falloir que vous fournissiez votre identifiant au moment de la connexion. Pour cela, il va falloir le convertir en hexadécimal. Vous pouvez utiliser un site pour le faire, par exemple : https://jsfiddle.net/kgersen/45zudr15/embedded/result/

L'identifiant Orange commence toujours par fti/. Prenons un exemple :

fti/abcdefgh donne en hexadécimal 6674692f6162636465666768, ce qui représenté dans le format d'entête à envoyer donne 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:61:62:63:64:65:66:67:68.

Notez cet identifiant, il servira à l'étape suivante.

Configuration de la connexion Internet Orange

Il y a deux méthodes pour se connecter à Internet chez Orange : l'ancienne, basée sur le protocole PPPoE et la nouvelle basé sur DHCP avec des options spécifiques à utiliser. Nous allons utilisée la nouvelle car elle permet d'obtenir une IPv6. Un tutoriel en anglais existe dans la documentation d'OPNsense, voici la version en français.

Commencez par aller dans la section "Interfaces, Assignations". Vous y trouvez la liste des interfaces disponibles allant de igb0 à igb3 pour les cartes réseaux filaires. Lors de l'installation, OPNsense a automatiquement attribué l'interface igb0 au WAN (Internet) et igb1 au LAN. Les autres interfaces ne sont pas assignées.

La capture ci-dessous vous montre le résultat une fois la configuration expliquée ci-dessous terminée :

image.thumb.png.078e97055243e5ae268b01b11630cb9e.png

Cliquez sur l'onglet Autres types/VLAN et créez-en un nouveau avec les paramètres suivants :

  • Interface parente : l'interface liée au WAN, donc par défaut igb0.
  • Tag VLAN : 832
  • VLAN priority : Best effort (0, default)
  • Description : un description simple comme par exemple "Internet Orange".

Validez pour créer le VLAN.

image.thumb.png.0f2254f0cce1704e4e03be1b42121844.png

Retournez maintenant dans "Interfaces, Affectations" et attribué le VLAN créé à l'interface igb0. Ensuite, cliquez sur WAN pour modifier le paramétrage de la connexion.

Saisissez les paramètres suivant :

  • Type de configuration IPv4 : DHCP
  • Type de configuration IPv6 : DHCP6
  • Allez dans Configuration du client DHCP et dans Configuration Mode cliquez sur Avancé.
  • Dans Protocol Timing et sélectionnez OPNsense Default.
  • Allez ensuite dans Prérequis des baux, et dans le champ Send options, saisissez les options suivantes (séparées par des virgules) :
    • dhcp-class-identifier "sagem"
    • user-class "+FSVDSL_livebox.Internet.softathome.Livebox4"
    • option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2F:xx:xx:xx:xx:xx:xx:xx (à remplacer par votre propre identifiant).
  • Dans Options de requête, saisissez les valeurs suivantes (séparées par des virgules) :
    • subnet-mask
    • broadcast-address
    • dhcp-lease-time
    • dhcp-renewal-time
    • dhcp-rebinding-time
    • domain-search
    • routers
    • domain-name-servers
    • option-90
  • Allez maintenant dans Configuration du client DHCP6 et cliquez Avancé.
  • Cochez Directly send SOLICIT et Prevent release.
  • Dans Use VLAN priority, sélectionnez Internetwork Control (6).
  • Enfin, dans Configuration du client DHCP6 avancée, ajoutez dans Envoyez les options (séparé par des virugles) :
    • ia-pd 0
    • raw-option 6 00:0b:00:11:00:17:00:18
    • raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
    • raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d
    • raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx (à remplacer par votre propre identifiant).
  • Dans Identity Association, cochez Prefix Delegation.
  • Dans id-assoc pd ID, saisissez 0.
  • Dans Prefix Interface, saissiez 0 comme Prefix Interface Site-Level Aggregation Identifier et 8 comme Site-Level Aggregation Length.

Enregistrez.

 image.thumb.png.398b19e875f0b63110374bc3c6845204.png

Configuration du LAN

Allez dans Interfaces, LAN.

Sélectionné Adresse IPv4 statique comme Type de configuration IPv4 et Track Interface pour le Type de configuration IPv6.

Saisissez une adresse IPv4, généralement 192.168.1.1. Attention, c'est cette adresse qui est utilisée pour vous connecter à l'interface de configuration d'OPNsense, donc si vous la changez, vous devrez vous reconnecter au routeur avec cette nouvelle adresse.

Choisissez WAN comme interface IPv6, puis sauvegardez.

Configuration LAN

Votre routeur doit maintenant se connecter et obtenir une IPv4 et une plage d'IPv6 de la part d'Orange.

Link to post
Share on other sites
  • Edtech changed the title to Monter son propre routeur fibre OPNsense

Organisation du réseau

L'idée maintenant est de réunir en un seul réseau local toutes nos interfaces. En effet, si la carte mère a 4 ports réseaux, c'est pour en avoir un en entrée et 3 en sortie sans avoir besoin de switch supplémentaire. Vous pouvez évidemment décider de faire autrement, mais je pars sur l'idée que notre routeur sera utilisé comme le serait une box classique.

Chez moi, 3 ports LAN sont suffisants. En effet, la box se trouve dans mon armoire électrique (c'est ce qui est prévu dans les construction neuves) et 3 câbles réseaux partent dans les murs de l'appartement, un vers le salon, un vers la chambre et le dernier... vers la cuisine ! Si vous avez des besoins supplémentaires, il faudra envisager un switch ou un matériel avec plus de ports.

Dans mon cas, il y a un switch dans le salon et un dans la chambre pour brancher chacun de mes appareils.

Le wifi est lui aussi intégré dans le même réseau local pour simplifier son utilisation.

Créer la connexion wifi

Commencez par aller dans la section Interfaces/Réseau sans fil/Périphériques et ajouter et nommer le périphérique à ajouter.

image.thumb.png.642e5446f7469260dfb6de71b1cc468d.png

Le périphérique que vous avez créer est maintenant disponible dans la liste des interfaces. Vous pouvez donc l'assigner comme vous l'avez fait pour les interfaces filaires 

Configurer l'interface WIFI

Une fois l'interface assignée, cliquez dessus pour l'éditer.

Commencez par l'activer. Si vos machines doivent pouvoir se voir entre elles sur le LAN, décocher l'option Bloquer les réseaux privés

Dans la partie Configuration sans fil commune, sélectionnez le standard à utiliser en fonction des appareils qui devront s'y connecter; puis dans Paramètres réglementaires, sélectionnez ETSI, France --FR (ETSI) et si votre réseau est en intérieur ou extérieur.

Dans Network-specific wireless configuration, sélectionnez le mode Point d'accès et saisissez un SSID de votre choix. Ensuite, activez le WPA, et saisissez une Clé WPA pré-partagée. Plus elle sera longue, mieux votre réseau sera protégé.

Pour les autres paramètres, laissez ceux recommandés à moins que vous ne sachiez ce que vous faites.

Sauvegardez les paramètres et testez la connexion. Si la connexion est mauvaise, vous pouvez changer les antennes pour des plus grandes (avec un dbi plus élevé).

Créer le pont réunissant toutes les interfaces LAN et WIFI

Avant de commencer, assurez-vous que votre LAN actuel est opérationnel.

Généralement, on souhaite que toutes les machines soient accessibles sur un seul plutôt que de créer un réseau différent pour chaque port du routeur. Pour cela, on va configurer un pont (bridge) afin de réunir les différentes interfaces (OPTx) en un seule LAN. 

Commencez par aller dans Interfaces/Assignation pour ajouter toutes les interfaces que vous allez utiliser dans votre LAN. Vérifiez que chaque interface n'a rien de configuré pour IPv4 et IPv6. Chacune doit être activée avec toutes les valeurs par défaut.

Ensuite, allez dans Interfaces/Autres types/Pont et faite Ajouter. Sélectionnez toutes les interfaces OPTx non-utilisées que vous souhaitez réunir. Ne rajoutez surtout pas le LAN ou le WAN ! Enregistrez le pont.

image.thumb.png.f0c8f27aa87aa660e10ae40f9681368c.png

Dans Interfaces/Assignation, sélectionnez le pont que vous venez de créer comme nouvelle assignation pour le LAN.

A ce stade, vous devrez changer votre câble LAN de la connexion LAN existante à l'une des cartes réseau qui ont été ajoutées à l'interface du pont. Une fois reconnecté, vous devrez sans doute attendre que l'interface revienne. Continuez à rafraîchir l'interface web jusqu'à ce que ce soit le cas.

Maintenant, le LAN d'origine n'est plus assigné et il va falloir le réassigner. Retournez dans Interfaces/Assignation. À la ligne Nouvelle interface, vous devriez maintenant y trouver votre igb*/em* anciennement assignée au LAN. Sélectionnez-le puis cliquez sur le bouton + pour l'ajouter.

 Retournez dans la configuration de votre pont (Interfaces/Autres types/Pont), éditez-le et ajoutez-y l'interface que vous venez de créer. N'oubliez pas de vérifier qu'elle est activée et non-configurée.

Il nous reste 2 options à modifier. Allez dans Système/Paramètres/Tunables et recherchez la ligne net.link.bridge.pfil_member et modifiez sa valeur pour 0. Faites de même avec net.link.bridge.pfil_bridge mais cette fois-ci assignez-lui la valeur 1.

Il ne vous reste plus qu'à redémarrer le routeur pour que interface pont soit pleinement fonctionnelle.

Paramétrer les fonctionnalités avancées du pare-feu

Si vous avez des consoles, il est généralement conseillé d'ouvrir une liste de ports et d'activer l'UPNP pour que le multi-joueurs soit pleinement fonctionnel.

Commencez par donner une IPv4 fixe à votre appareil. Pour cela, allez dans Services/DHCPv4 puis en bas de la page, ajouter une nouvelle entrée. Il vous faudra l'adresse MAC de l'appareil. Elle est généralement donnée dans les paramètres de votre console. Il y en 2 pour une Xbox (Filaire et Sans fil) et une seule pour une Nintendo Switch (la même pour les deux types de réseau).

Attribuez une IPv4 dans la plage fixe de votre DHCP (par défaut entre 192.168.1.2 et 192.168.1.9, les autres étant dynamiquement attribuées).

Ensuite, installez l'extension UPNP en allant dans Système/Extensions puis en recherchant Universal Plug and Play. Une fois installé, allez dans Services/Universal Plug and Play pour l'activer et le configurer. Afin d'améliorer la sécurité, on va n'autoriser que certaines IP et certaines plages.

En bas de la page de configuration, la section Autorisations spécifiées par l'utilisateur vous permet de donner une plage de ports autorisés pour une IPv4 donnée. Saisissez allow 88-65535 192.168.1.x/32 88-65535 (en remplaçant l'IP par celle de votre appareil) puis validez.

Vous devez maintenant créer une règle dans le par-feu pour autoriser le trafic sortant. Allez dans Par-feu/NAT/Sortant et sélectionnez le mode hybride/manuel afin que les règles par défaut d'OPNsense ainsi que les règles personnalisées soient prises en compte.

Ajoutez une règle avec comme adresse source Adresse unique ou réseau et l'adresse IP de votre console et cochez l'option Port static. Appliquez la règle.

Redémarrez votre console pour que les modifications soit correctement prises en compte. Vous devriez maintenant avoir un NAT modéré (Xbox), B (Switch) ou 2 (PS4).

Notez que pour l'IPv6, il n'y a rien de particulier à paramétrer avec les réglages proposés ici.

Link to post
Share on other sites

Configuration de let's encrypt pour accéder à l'interface d'OPNsense de manière sécurisée

Par défaut, OPNsense installe un certificat et vous oblige à vous connecter en HTTPS. Evidemment, ce certificat est auto-signé et ne correspondant pas à l'adresse utilisée pour vous connecter.

L'idée est donc d'utiliser Let's Encrypt pour générer un certificat valide.

Pour cela, il vous faut évidemment un domaine que vous ferez pointer vers l'IP publique du routeur. Pour cela, il faut évidemment que celle-ci soit fixe ou passer par un nom de domaine dynamique.

A ma connaissance, il n'existe pas de fournisseur de domaine dynamique en IPv6. Si vous êtes chez Orange Fibre, vos adresses IPv4 et IPv6 ne changent que si vous être trop longtemps déconnectés du réseau ou si votre matériel est réinstaller donc vous pouvez faire pointer un domaine vers l'IPv6 manuellement et ne rendre que l'IPv4 dynamique.

Configurer son domaine dynamique

Dans cette exemple, j'utilise les fonctions de domaine dynamique d'OVH, mais vous pouvez un des nombreux fournisseurs supportés par OPNsense.

La configuration se fait via le menu Services/DNS Dynamique. Choisissez le fournisseur dans la liste de ceux disponibles (pour savoir comment configurer, consultez le fournisseur).

Indiquez WAN comme interface à monitorer et indiquez le compte et le mot de passe si nécessaire.

Une fois votre domaine pointant correctement vers vos adresses IPv4 et IPv6 publiques, vous pouvez passer à la configuration de Let's Encrypt.

Installation et configuration du client Acme

OPNsense fourni une extension pour Let's Encrypt. Commencez donc par installer le plugin os-acme-client. Attention, si vous êtes en IPv6, vérifiez que vous êtes bien sous OPNsense 20.1, l'extension Acme ne gérant pas IPv6 dans les versions prcédentes.

Une fois installée, une nouvelle entrée s'ajoute à la section Services du menu principal.

Commencez par activer l'extension et changez l'environnement pour "Test" (staging).

IMPORTANT : Il est très important de faire vos tests en environnement de test (staging) si vous ne voulez pas être bloqué par Let's Encrypt.

Allez ensuite dans la sous-section Compte et ajoutez un compte. L'adresse email sera utilisée par Let's Encrypt uniquement pour vous prévenir si un certificat arrive à expiration, ce qui généralement est signe que le renouvellement automatique échoue.

Allez ensuite dans les Méthodes de validation et choisissez HTTP-01. Laissez le service HTTP sur celui intégré à OPNsense.

Maintenant, nous allons créer une action de redémarrage. En effet, une fois le certificat mis à jour, OPNsense doit redémarrer pour le prendre en compte. Pour cela, allez dans Action de redémarrage et choisissez comme commande de redémarrage "restart OPNsense GUI".

Ajouter maintenant un certificat. Saisissez comme Nom commun, le domaine pour lequel vous souhaitez obtenir le certificat. Sélectionnez ensuite le compte précédemment créé, la méthode de validation et l'action de redémarrage. Laissez les autres options telles quelles.

Une fois cela fait, vous pouvez tenter une création de certificat en cliquant sur Renouveler.

Si le certificat est indiqué correctement généré, vous pouvez modifier l'environnement pour passer en Production.

Maintenant, allez dans les paramètres généraux et modifiez le certificat utilisé pour vous connecter à OPNsense par celui que vous venez de générer.

Pour plus de sécurité, cochez la case HSTS, elle indique au navigateur de ne se connecter qu'en HTTPS a près qu'il se soit connecté une première fois et de ne plus tenter sur le port 80.

Problèmes courants

Si la création du certificat échoue, le problème vient soit du par-feu, soit d'un réglage général de l'UI. Pour le savoir, consultez le journal.

Si l'erreur indique que la réponse lors de l'échange est incorrecte, allez dans les paramètres généraux et cocher l'option pour "Désactiver la redirection automatique de HTTP vers HTTPS". En effet, Let's Encrypt tente de se connecter sur le port 80 et est renvoyé vers le port 443 sur une connexion au certificat encore invalide. Une fois la première génération réussie, vous pouvez décocher à nouveau cette option vu que la connexion sur le port 443 est effective.

Si l'erreur indique un problème de par-feu, il vous faut rajouter 2 règles pour autoriser le trafic entrant sur les port 80 et 443. Pour cela, créé une nouvelle règle et changez de protocole de Tous (any) à TCP, définissez la destination sur ce pare-feu, définissez HTTP dans la plage de ports de destination de et vers. Recopiez cette règle et remplacez HTTP par HTTPS.

Link to post
Share on other sites
  • 3 weeks later...
  • 3 weeks later...
  • 3 months later...
  • 3 weeks later...

Hello, 

J'essaye de remplacer ma box depuis une bonne semaine maintenant mais impossible d'obtenir une IP que ce soit IPV4 ou IPV6. J'ai tout essayé !

En revanche, mon OpnSense est en 19.1 (pas le choix, dernière version seulement en dispo et j'en ai trouvé une autre en torrent mais problème avec le bootloader FreeBSD .... qui est résolu en 19.1).

Est-ce que tu penses que c'est lié à la version ? Tu le déconseille, mais tu as pu expérimenter quoi comme bugs ? Histoire que je sache si je laisse tomber en attendant la 19.2 ou si je continue de m'arracher les cheveux 

Un grand merci 😀

Link to post
Share on other sites

 Je perdais tout accès en IPv4, ne restait que l'IPv6 ! Et quand j'installe la mise à jour directement, après formatage du SSD, ça bloque à 64% avec un échec d'écriture de fichier. Chez toi ça a fonctionné par contre !

Tu peux trouver la version précédente au lien ci-dessous. Il est sorti un correctif pour la 19.1, je ne l'ai pas encore testé. Tu l'as peut-être déjà.

https://opnsense.c0urier.net/releases/18.7/  

Link to post
Share on other sites

Bon IPV4 OK, IPV6 OK !

J'ai du forcer le PcP à 6 sur le VLAN directement pour avoir une IPV4.

Par contre, niveau perfs ... j'ai du 500Mb/s minimum normalement et là je tombe à 50Mb/s, pour l'upload c'est bien pire je suis même pas à 1Mb/s. 

J'avoue ne plus rien y comprendre ... C'est inutilisable dans l'état

Link to post
Share on other sites

Je n'ai pas eu ce problème, mais il est connu. Ca dépend du matériel utilisé. Je te conseille de regarder sur le forum lafibre.info, ils sont beaucoup plus calé que moi :

https://lafibre.info/remplacer-livebox/opnsense-remplacer-livebox-aucune-modification-necessaire/

Ca peut aussi être lié à ta façon de t'identifier :

https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/

Dans certaines zones, il faut une priorité DHCP différente d'ailleurs. Vérifie aussi que tu as tout bien configuré (j'ai tiré mes informations d'ici : https://wiki.opnsense.org/manual/how-tos/orange_fr_fttp.html).

Link to post
Share on other sites
Il y a 27 minutes, Edtech a écrit :

Je n'ai pas eu ce problème, mais il est connu. Ca dépend du matériel utilisé. Je te conseille de regarder sur le forum lafibre.info, ils sont beaucoup plus calé que moi :

https://lafibre.info/remplacer-livebox/opnsense-remplacer-livebox-aucune-modification-necessaire/

Ca peut aussi être lié à ta façon de t'identifier :

https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/

Dans certaines zones, il faut une priorité DHCP différente d'ailleurs. Vérifie aussi que tu as tout bien configuré (j'ai tiré mes informations d'ici : https://wiki.opnsense.org/manual/how-tos/orange_fr_fttp.html).

oui c'est connu. tu peux te baser sur ce tuto pour openwrt (partie iptables custom rules) : https://lafibre.info/remplacer-livebox/remplacement-de-la-livebox-par-un-routeur-openwrt-18-dhcp-v4v6-tv/

Link to post
Share on other sites
  • 2 weeks later...

Je viens de remplacer mes antennes, j'avais trop d'erreurs et une mauvaise réception. J'en ai pris avec un dbi de 9, elles sont gigantesques !

Résultat, un bien meilleur signal et un bien meilleur débit !

Link to post
Share on other sites
  • 2 weeks later...

Après quelques recherches, je pense que mon problème avec la 19.1 d'OPNsense vient de mon firmware Coreboot trop ancien. Je vais voir pour le mettre à jour (j'ai déjà mis à jour le firmware du SSD).

Link to post
Share on other sites
  • 5 weeks later...

Une nouvelle mise à jour est disponible pour les cartes PCEngines :

Citer

PC Engines apu coreboot Open Source Firmware v4.9.0.4

Key changes - Mainline

 

  • Added possibility to reboot platform with coldboot path to ensure full platform reset during remote firmware update, option is intended to mitigate reboot issue when migrating from BIOS version older than v4.9.0.x. For detail how to safely update firmware remotely, please refer to the documentation.

  • Updated SeaBIOS to rel-1.12.1.1 with new TPM menu option. For details how to use the menu options for TPM please refer to the documentation.

  • Rebased with official coreboot repository commit 28def8b.

  • Created a repository structure for apu2-documentatation repository for better overview of the contents inside the documentation repository.

  • Performed comprehensive research of fastboot capability for PC Engines platforms. The outcome is available here. In short, it is not possible to achieve Intel like fastboot feature, which allows to skip full memory training during boot using stored configuration in MRC cache. That is also an official AMD statement, that the fastboot is possible only during S3 wakeup.

  • We have been reached by our customers with a question about ROCA TPM vulnerability for Infineon SLB9665 chips present on TPM1a modules. The engineers verified that the TPMs are vulnerable. For details and mitigation refer to the documentation. The document describes how to upgrade TPM firmware and get rid of the vulnerability.

  • Added a list of supported and verified mPCIe modules. The list also describes known issues with modules and workarounds to get the modules working properly. Please check the list when encountered any issues with mPCIe modules. Contribution is welcome. Also be sure to check whether the slot is compatible with the module. In order to do so, look at the interfaces connected to each mPCIe slot here and the interfaces required by the module in its product specification etc.

 

 

Link to post
Share on other sites
  • 3 weeks later...

Salut @Edtech, j'ai moi même réussi à monter une OPNsense et à avoir une connectivité en ayant brancher en direct le boitier fibre (ONT).

Par contre j'ai pas de débit montant, as-tu été confronté au même problème ?

 

 

Link to post
Share on other sites
il y a une heure, Chaft52 a écrit :

J'ai trouvé la solution, il faut passer les paramètre suivant:

Paramètre dans "Option Modifiers"

 

Il faut laisser la priorité VLAN dans le menu "Other Types" à 0 (Best Effort)

Je ne sais plus si j'ai mis se réglage, mais je ne rencontre pas de problème particulier de vitesse. Ca dépend des zones.

Link to post
Share on other sites
  • Edtech featured this topic

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
×
×
  • Create New...