Interfaces et VLANs
Les interfaces pfSense
pfSense gère plusieurs interfaces réseau simultanément. Chacune joue un rôle précis dans l'architecture de ton réseau.
WAN
Interface externe connectée à Internet (ou à ton routeur opérateur). Reçoit le trafic entrant, est exposée à l'extérieur.
LAN
Interface interne pour ton réseau local. Par défaut, tous tes appareils domestiques ou de lab sont ici (192.168.1.0/24).
OPT1 / OPT2…
Interfaces optionnelles à nommer librement : DMZ, IoT, Invités, Serveurs. Chaque OPT est un segment réseau indépendant.
Dans Interfaces > Assignments, pfSense liste les cartes réseau physiques
détectées (em0, em1, vtnet0…) et permet d'en assigner à WAN, LAN ou aux OPT.
Configurer une interface
Pour modifier une interface, navigue vers Interfaces > [Nom de l'interface]. Les paramètres essentiels à connaître :
# Paramètres clés d'une interface pfSense
Enable: [x] Activer l'interface
Description: LAN # nom personnalisé
IPv4 Config Type: Static IPv4 # ou DHCP pour le WAN
IPv4 Address: 192.168.1.1 /24
# Options avancées
MTU: 1500 # laisser vide = auto (recommandé)
MSS: (vide) # ajusté automatiquement
Speed/Duplex: Default # auto-négociationIP statique vs DHCP : le LAN a toujours une IP statique (c'est la passerelle de tes appareils). Le WAN est souvent en DHCP si ton FAI te donne une IP dynamique, ou en IP statique si tu as un abonnement pro avec IP fixe.
La DMZ : isoler les serveurs exposés
Une DMZ (De-Militarized Zone) est un segment réseau intermédiaire destiné aux services accessibles depuis Internet : serveur web, VPN, serveur mail. L'idée est simple mais puissante :
- Si un serveur en DMZ est compromis, l'attaquant n'atteint pas directement le LAN.
- Le pare-feu contrôle précisément ce qui peut aller de la DMZ vers le LAN.
- Le trafic Internet n'atteint jamais le LAN directement.
Internet
|
[ WAN ] — 203.0.113.10
pfSense
[ LAN ] — 192.168.1.1/24 → PC, NAS, imprimantes
[ DMZ ] — 10.0.30.1/24 → Serveur web, reverse proxy
Règles type :
WAN → DMZ : port 80/443 autorisé vers serveur web
DMZ → LAN : BLOQUÉ (par défaut)
LAN → DMZ : autorisé (administration)
DMZ → WAN : autorisé (mises à jour)Introduction aux VLANs (802.1Q)
Un VLAN (Virtual LAN) permet de créer plusieurs réseaux logiques distincts sur un seul câble ou port physique. La norme 802.1Q ajoute un tag de 4 octets dans chaque trame Ethernet pour identifier à quel VLAN elle appartient.
Port taggé (trunk)
Transporte plusieurs VLANs simultanément. Utilisé entre pfSense et le switch manageable, ou entre deux équipements réseau.
Port non-taggé (access)
N'appartient qu'à un seul VLAN. Les appareils finaux (PC, imprimante, caméra) ne voient pas les tags VLAN.
Pour utiliser des VLANs avec pfSense, tu as besoin d'un switch manageable qui supporte le 802.1Q (ex : TP-Link TL-SG108E, Netgear GS308E, UniFi). Un switch basique non-manageable ne peut pas gérer les VLANs.
Créer un VLAN dans pfSense
Navigue vers Interfaces > VLANs > Add pour créer un nouveau VLAN :
# Exemple : créer le VLAN 20 pour l'IoT
Parent Interface: em1 # interface physique support (ex: LAN)
VLAN Tag: 20 # identifiant 802.1Q (1-4094)
VLAN Priority: 0 # QoS, laisser à 0
Description: IoT # nom lisible
→ Save → Apply Changes
Une fois le VLAN créé, il faut l'assigner comme interface pour pouvoir
lui configurer une IP et des règles de pare-feu :
Interfaces > Assignments > Add, puis sélectionner VLAN 20 on em1.
Enfin, activer l'interface et lui donner une IP statique.
Cas pratique : VLAN 10, 20, 30
Voici un plan de segmentation typique pour un homelab ou une petite infrastructure :
VLAN Nom Sous-réseau Usages
---- -------- ----------------- --------------------------------
10 LAN 192.168.10.0/24 PC, Mac, appareils de confiance
20 IoT 192.168.20.0/24 Caméras, ampoules, TV connectées
30 DMZ 10.0.30.0/24 Serveurs web, reverse proxy
# Dans pfSense, chaque VLAN devient une interface :
OPT1 = VLAN10_LAN → 192.168.10.1/24
OPT2 = VLAN20_IoT → 192.168.20.1/24
OPT3 = VLAN30_DMZ → 10.0.30.1/24
# Chaque interface a son propre serveur DHCP pfSense
# et ses propres règles de pare-feuInter-VLAN routing : contrôler qui parle à qui
pfSense route automatiquement entre les VLANs (il est le routeur de tous). Mais tu contrôles ce trafic avec des règles de pare-feu sur chaque interface VLAN. Quelques règles essentielles pour ce plan :
# Interface IoT (VLAN 20) — règles typiques
PASS IoT net → WAN (Internet) # mises à jour autorisées
BLOCK IoT net → LAN net # pas d'accès au LAN
BLOCK IoT net → DMZ net # pas d'accès à la DMZ
BLOCK IoT net → pfSense (172.16.x.x) # pas d'accès à l'admin
# Interface LAN (VLAN 10) — règles typiques
PASS LAN net → WAN (Internet) # navigation autorisée
PASS LAN net → DMZ net # admin des serveurs
BLOCK LAN net → IoT net # optionnel : isoler IoTDans pfSense, les règles de pare-feu s'appliquent sur l'interface source (là où le paquet entre). Une règle sur l'interface IoT contrôle ce que les appareils IoT peuvent initier — pas ce qu'ils peuvent recevoir.
Schéma de topologie
Vue d'ensemble de l'architecture avec WAN, pfSense, et les différents segments :
Internet
|
┌─────┴─────┐
│ WAN │ 203.0.113.10 (IP FAI)
│ pfSense │
│ (Firewall)│
└──┬──┬──┬──┘
│ │ │
│ │ └─────────── VLAN 30 / DMZ (10.0.30.0/24)
│ │ │
│ │ Serveur web
│ │ Reverse proxy
│ │
│ └─────────────── VLAN 20 / IoT (192.168.20.0/24)
│ │
│ Caméras
│ Ampoules
│ TV connectée
│
└──────────────────── VLAN 10 / LAN (192.168.10.0/24)
│
PC / Mac
NAS
Imprimante
Trunk (802.1Q) entre pfSense et switch manageable
- WAN = externe (Internet), LAN = interne, OPT1/2/… = segments optionnels (DMZ, IoT).
- La DMZ isole les serveurs exposés : si l'un est compromis, le LAN reste protégé.
- Un VLAN (802.1Q) crée plusieurs réseaux logiques sur un seul port physique (trunk).
- Créer un VLAN : Interfaces > VLANs > Add, puis assigner et activer comme interface.
- Les règles inter-VLAN se placent sur l'interface source du trafic.