Leçon 2 / 6
Leçon 02 · Partie 1 — Les bases

Installer pfSense et OPNsense

Télécharger les ISO

pfSense et OPNsense sont tous les deux disponibles gratuitement en téléchargement direct. Dans les deux cas, tu récupères une image ISO à graver ou à monter dans une VM.

  • pfSense CE — télécharge l'image AMD64 depuis netgate.com/downloads. Choisis le format DVD Image (ISO) pour une installation sur VM, ou USB Memstick pour une machine physique.
  • OPNsense — télécharge depuis opnsense.org/download. Sélectionne l'architecture amd64 et le type dvd (ISO). Les miroirs communautaires sont rapides.
💡

Vérifie toujours le hash SHA256 de l'ISO téléchargée avec la valeur publiée sur le site officiel. Une image corrompue ou modifiée peut causer des problèmes inattendus ou, pire, introduire une backdoor.

Créer la VM dans VirtualBox ou Proxmox

pfSense et OPNsense ont besoin d'au minimum deux interfaces réseau : une pour le WAN (côté internet) et une pour le LAN (côté réseau local). En VM, cela se traduit par deux cartes réseau virtuelles.

Configuration recommandée pour la VM

  • RAM : 1 Go minimum, 2 Go recommandés
  • Disque : 8 Go minimum (16 Go si tu prévois des logs)
  • CPU : 1 vCPU suffit pour un lab, 2 vCPU pour plus de confort
  • Carte réseau 1 (WAN) : mode Accès par pont (bridged) vers ta carte réseau physique — ou NAT si tu veux juste tester sans toucher au réseau réel
  • Carte réseau 2 (LAN) : mode Réseau interne (intnet) ou Host-only pour isoler le réseau de lab
VirtualBox — Paramètres réseau 
# Adaptateur 1 (WAN)
Mode :  Accès par pont (Bridged)
Nom :   eth0 (ta carte physique)

# Adaptateur 2 (LAN)
Mode :  Réseau interne (intnet)
Nom :   pfsense-lan

Sur Proxmox, crée deux interfaces VirtIO dans la configuration de la VM : une sur le bridge vmbr0 (WAN, connecté à internet) et une sur un bridge dédié au lab, par exemple vmbr1 (LAN).

Installation pfSense — étapes console

Démarre la VM sur l'ISO pfSense. L'installateur est entièrement en mode texte. Voici les étapes clés :

  1. Accepte la licence (touche Enter)
  2. Choisis Install pfSense
  3. Sélectionne le clavier (généralement French (accent keys) ou laisse Continue with default keymap)
  4. Partition automatique : choisis Auto (UFS) — c'est suffisant pour un lab
  5. Confirme l'effacement du disque et lance l'installation
  6. À la fin, retire l'ISO et redémarre
pfSense — Console d'installation 
Welcome to pfSense!

1) Assign Interfaces
2) Set interface(s) IP address
3) Reset webConfigurator password
...
99) Shell

Enter an option: 1

Assigner les interfaces WAN et LAN

Au premier démarrage, pfSense te demande d'assigner les interfaces. Il liste les cartes réseau détectées (ex. em0, em1 sur VirtualBox, vtnet0, vtnet1 sur Proxmox).

  • Réponds n à la question sur les VLANs (pour l'instant)
  • Assigne la première carte (em0 / vtnet0) au WAN
  • Assigne la deuxième carte (em1 / vtnet1) au LAN
  • Confirme avec Enter

Configuration initiale — IP LAN et DHCP

Après l'assignation des interfaces, pfSense configure automatiquement l'interface LAN avec l'adresse 192.168.1.1/24 et active un serveur DHCP sur la plage 192.168.1.100192.168.1.199. Le WAN tente d'obtenir une adresse via DHCP depuis ta box/routeur.

💡

Si l'adresse 192.168.1.x est déjà utilisée par ta box, pfSense et ta box seront en conflit. Modifie l'IP LAN de pfSense via l'option 2 du menu console (Set interface(s) IP address) et choisis un sous-réseau différent, par exemple 192.168.10.1/24.

Accéder à l'interface web

Connecte une machine (réelle ou virtuelle) au réseau LAN de pfSense. Elle doit recevoir une adresse IP automatiquement via DHCP dans la plage 192.168.1.100–199. Ouvre ensuite un navigateur et accède à :

Navigateur — WebGUI pfSense 
# Adresse de l'interface web
https://192.168.1.1

# Identifiants par défaut
Utilisateur : admin
Mot de passe : pfsense
⚠️

Ton navigateur affichera un avertissement de certificat SSL car pfSense utilise un certificat auto-signé. Clique sur Avancé → Continuer quand même (ou équivalent selon le navigateur). C'est normal en lab — ne jamais ignorer cet avertissement en production sans comprendre ce que tu fais.

Assistant de configuration initiale

À la première connexion, pfSense lance automatiquement l'assistant Setup Wizard. Voici ce qu'il te demande :

  1. Hostname — le nom de ta machine pfSense (ex. fw-lab)
  2. Domain — un domaine local (ex. lab.local)
  3. DNS primaire/secondaire — laisse vide pour utiliser ceux du FAI, ou saisis 1.1.1.1 (Cloudflare) et 9.9.9.9 (Quad9)
  4. Timezone — choisis Europe/Paris
  5. WAN — DHCP par défaut (convient pour un lab)
  6. LAN — confirme ou modifie l'IP LAN si besoin
  7. Mot de passe admin — change-le immédiatement ! N'utilise jamais pfsense en production

Une fois l'assistant terminé, pfSense te redirige vers le tableau de bord (Dashboard). Il affiche l'état du système, les interfaces, la charge CPU et la mémoire. Tu es prêt à commencer la configuration.

Différences OPNsense

L'installation d'OPNsense suit les mêmes grandes étapes (ISO, VM 2 cartes, console, webGUI) mais avec quelques différences notables :

  • Interface Sensei — OPNsense intègre (en option) Sensei, un moteur d'inspection de couche 7 qui offre du filtrage applicatif et des rapports détaillés sur le trafic. Très utile pour un lab d'apprentissage.
  • Mises à jour plus fréquentes — OPNsense publie une release toutes les deux semaines environ (rolling updates), contre des cycles plus longs pour pfSense CE. C'est un avantage en termes de correctifs de sécurité.
  • Interface web — OPNsense utilise Bootstrap et une navigation par menus latéraux plus moderne. L'accès initial se fait aussi sur https://192.168.1.1 avec les identifiants root / opnsense.
  • Plugins — OPNsense dispose d'un système de plugins officiel accessible directement depuis System → Firmware → Plugins, ce qui facilite l'ajout de fonctionnalités (Zeek, CrowdSec, netdata…).

Structure de l'interface web pfSense

Une fois connecté, tu retrouves les mêmes grands menus dans les deux solutions. Voici les principaux de pfSense :

  • System — paramètres généraux, mise à jour du firmware, gestion des certificats, utilisateurs, sauvegardes (Config XML).
  • Interfaces — assigner et configurer chaque interface réseau (WAN, LAN, OPT1…). C'est ici que tu configureras aussi les VLANs.
  • Firewall — le cœur de pfSense : règles de filtrage par interface, NAT (redirection de ports, outbound NAT), aliases et schedules.
  • VPN — configuration OpenVPN, IPsec et WireGuard (via plugin). On y reviendra en leçon 5.
  • Services — DHCP, DNS Resolver (Unbound), NTP, Snort/Suricata (IDS/IPS), HAProxy…
  • Diagnostics — ping, traceroute, capture de paquets, logs système. Indispensable pour déboguer.
// À retenir
  • pfSense CE et OPNsense se téléchargent en ISO depuis leurs sites officiels respectifs.
  • La VM nécessite deux interfaces réseau : WAN (vers internet) et LAN (réseau local).
  • L'IP LAN par défaut est 192.168.1.1 — à changer si ta box utilise le même sous-réseau.
  • L'interface web est accessible sur https://192.168.1.1 — identifiants par défaut : admin / pfsense.
  • Change le mot de passe admin dès la première connexion via l'assistant Setup Wizard.
  • OPNsense se distingue par son interface moderne, ses mises à jour fréquentes et le plugin Sensei.