Derniers commentaires

Guillaume sur [pfSense] Configurer un cluster de 2 pfSense redondants (failover)
Bonjour @mohammedrah, Il faut bien sûr créer les règles …
mohammedrah sur [pfSense] Configurer un cluster de 2 pfSense redondants (failover)
Bonjour, Dans le cas où il y a une pat dédié à la synchroni…
nlsn sur [pfSense] La gestion des packages sous pfSense
Bonjour @Guillaume : voici l'erreur : Upd…
Guillaume sur [pfSense] La gestion des packages sous pfSense
Bonjour @nlsn, Quel est le résultat de la commande suiva…
nlsn sur [pfSense] La gestion des packages sous pfSense
@Guillaume : Je me dois de vous dire que je suis c…

Installer pfSense

28/05/2024 - 2 commentaires

Depuis mai 2024, l'installation de pfSense nécessite obligatoirement une connexion Internet et l'utilisation du client Netgate Installer.

Nous présentons dans ce tuto comment installer pfSense avec cette méthode.

Principe de fonctionnement

Jusqu'en mai 2024, il était possible de télécharger une image d'installation de pfSense que l'on pouvait ensuite installer hors-ligne en utilisant un cd ou une clef usb.

Cette méthode d'installation simple et efficace n'est officiellement plus proposée par Netgate, l'éditeur du logiciel pfSense.

Il faut dorénavant passer un logiciel tiers appelé "Netgate installer" permettant d'installer pfSense CE (la version communautaire sur base open-source) ou pfSense+ (la version propriétaire payante).

Nous présentons dans cet article les étapes à suivre pour installer pfSense.

Cependant, nous présenterons en fin d'article comment télécharger les dernières versions de pfSense (jusqu'à pfSense 2.7.2) directement au format iso ou img ; cette solution a l'avantage de permettre une installation hors-ligne.

Télécharger pfSense 2.7.2 directement

Firewall avec pfSense pré-installé

Vous recherchez un pare-feu avec pfSense déjà installé dessus ?

Nous proposons sur notre boutique en ligne des pare-feux disposant de 2 à 36 ports réseaux, avec connectiques Gbps, 10GbE, SFP+ fibre, etc.

store.provya.fr

Tous nos pare-feux disposent d'une garantie 3 à 5 ans.

1. Télécharger Netgate Installer

La première étape consiste à télécharger le logiciel Netgate Installer.

1/ Téléchargement direct
La solution la plus directe, sans avoir besoin de se créer un compte, est de télécharger Netgate Installer via le lien suivant : https://provya.fr/download/netgate-installer-amd64.img.gz.

2/ Téléchargement sur le site de l'éditeur
On peut également se rendre sur le site de l'éditeur, pour le menu déroulant "Installation Image", choisir AMD64 Memstick USB, puis cliquer sur le bouton Add to cart :

Il faut ensuite aller jusqu'au bout de la commande (il sera nécessaire de se créer un compte). Et enfin, il sera possible de télécharger le logiciel Netgate Installer.

Limites
Si l'on dispose d'une connexion Internet via PPP (PPPoE, L2TP, PPTP ou PPP), alors l'installateur Netgate ne fonctionnera pas.

Jusqu'à pfSense 2.7.2, nous pourrons télécharger directement un installateur hors-ligne au format iso ou img (cf. notre paragraphe Télécharger pfSense 2.7.2 directement).

2. Préparer sa clef USB d'installation

L'image téléchargée est compressée au format gzip. Il faut donc commencer par la décompresser.

Sous Windows, l'outil 7-Zip fera parfaitement l'affaire.

Sous BSD, GNU/Linux, Mac, il suffira de faire un clic-droit, puis extraire-ici ou de la décompresser avec la commande suivante :

gzip -d

Il faudra ensuite écrire l'image sur une clef usb.

Sous Windows, GNU/Linux et Mac, le logiciel Etcher permet très facilement de créer une clef USB bootable.

Pour une procédure plus détaillée (en anglais) : https://docs.netgate.com/reference/create-flash-media.html.

3. Démarrer l'installation

Il faudra s'équiper d'un clavier, de la clef usb et d'un écran.

Si le firewall ne démarre pas sur la clef usb, il faudra se rendre dans le Bios/Firmware de celui-ci afin de modifier l'ordre de démarrage.

Pour un firewall Provya, il suffit d'appuyer à plusieurs reprises sur la touche "Suppr" lors de la mise sous tension de l'appareil. Se déplacer ensuite sur le dernier onglet "Save & Exit" et dans la rubrique Boot Override, choisir la ligne correspondant à sa clef USB (dans notre cas "UEFI: USB DISK 2.0 PMAP") :

Appuyer sur Entrée et le firewall devrait redémarrer sur la clef USB.

Licence
Le premier écran présente la licence d'utilisation du logiciel pfSense que l'utilisateur doit accepter pour démarrer l'installation.

Appuyer sur Entrée pour accepter les conditions et continuer.

Menu d'accueil
Ensuite, le programme d'installation invite soit à démarrer l'installation de pfSense, soit à lancer la console de récupération.

Utiliser les flèches directionnelles pour sélectionner une option, puis appuyer sur Entrée. Dans notre cas, nous choisissons Install.

Récupération de la configuration
Le programme d'installation recherche s'il existe une configuration déjà présente sur le firewall ou sur la clef usb. Si c'est le cas, il propose de la conserver.

Le choix Continue permet de repartir sur une installation de base.

Si aucune configuration n'est trouvée, cette étape est sautée.

Configuration du réseau
Comme il s'agit d'un programme d'installation en ligne, il nécessite une connexion réseau pour télécharger les paquets d'installation à partir des serveurs Netgate. Pour configurer le réseau, l'installateur doit connaître le port WAN et le port LAN, ainsi que les détails de configuration de ces réseaux.

Sélection et configuration de l'interface WAN
La première interface à attribuer est l'interface WAN. Il s'agit de l'interface connectée à Internet. Le programme d'installation présente une liste de toutes les interfaces détectées et de leurs adresses MAC, ainsi que leur état de liaison actuel.

Utiliser les flèches directionnelles haut/bas pour sélectionner l'interface WAN et appuyer sur Entrée pour continuer.

Il sera ensuite possible de configurer cette interface WAN : adresse obtenue automatiquement par un serveur DHCP, adresses IP fixe, etc.

Sélection et configuration de l'interface LAN
La deuxième interface à attribuer est l'interface LAN. Il s'agit de l'interface connectée au réseau local.

Bien que ce ne soit pas nécessaire pour le moment, les prochaines versions de l'installateur nécessiteront de disposer d'une connexion LAN correctement configurée.

Utiliser les flèches directionnelles haut/bas pour sélectionner l'interface LAN et appuyer sur Entrée pour continuer.

Il sera également possible de configurer cette interface LAN : adresse obtenue automatiquement par un serveur DHCP, adresses IP fixe, etc.

Confirmer la configuration réseau
Confirmer les choix des interfaces pour poursuivre l'installation. Il est indispensable de disposer d'un accès à Internet fonctionnel à ce stade.

Choix de la version de pfSense
L'installateur va se connecter aux serveurs Netgate afin de vérifier si le matériel dispose d'une clef de licence valide. Si ce n'est pas le cas, il sera proposé soit d'installer pfSense CE (la version communautaire sur base open-source), soit d'acquérir une clef de licence pour pfSense+ (la version propriétaire payante).

Dans notre cas, nous choisissons "Install CE" afin d'installer la version communautaire de pfSense.

Nous retrouvons ensuite la procédure habituelle d'installation de pfSense.

Pour une installation de base, les choix par défaut devraient être les bons.

Pour une installation avec un seul disque, choisir "stripe", pour une installation avec deux disques, choisir "mirror".

Fin de l'installation
Une fois l'installation terminée, le programme demandera de redémarrer le firewall.

Lors du redémarrage, il sera possible de retirer la clef usb.

Félicitations, pfSense est installé. Il est possible de prendre la main sur le firewall depuis le port LAN sur l'adresse IP configurée aux étapes précédentes (https://192.168.1.1 par défaut).

Télécharger pfSense 2.7.2 directement

L'université du Dakota dispose d'un dépôt de téléchargement de pfSense. Depuis ce dépôt, il est possible de retrouver les dernières versions de pfSense CE jusqu'à la version 2.7.2

L'URL est la suivante : https://repo.ialab.dsu.edu/pfsense/.

Il faudra préparer une clef usb bootable comme décrit au paragraphe 2. Préparer sa clef USB d'installation.

Pour aller plus loin

pfSense 2.7.2 est disponible
Évolutions et actualités du logiciel pfSense
Avec pfSense Plus, l'avenir de pfSense ne sera pas (que) open-source
Tous nos articles classés par thème
Voir un article au hasard

Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense

Firewall pro-Large pour pfSense et OPNsense

Firewall pro-Xtend pour pfSense et OPNsense

Firewall pro-Xtrem pour pfSense et OPNsense

store.provya.fr

icon Tags de l'article : installation pfSense pfSense Plus

Avec pfSense Plus, l'avenir de pfSense ne sera pas (que) open-source

09/02/2021 - 6 commentaires

Netgate, l'éditeur du logiciel pfSense a annoncé en janvier 2021 de grands changements dans le cycle de développement du logiciel pfSense avec l'arrivée d'un nouveau logiciel : "pfSense Plus".

pfSense Plus sera une version propriétaire et plus évoluée de pfSense.

Dans cet article nous faisons le point sur cette annonce et ses conséquences.

pfSense, pfSense CE, pfSense FE, etc : commençons par quelques précisions liminaires

Il nous paraît important de commencer par bien préciser les termes que nous employons.

pfSense est une marque déposée par la société Netgate. Cette marque est déposée et protégée internationalement.

Autour de cette marque, deux logiciels sont proposés :

pfSense Community Edition (également appelé pfSense CE) qui désigne le logiciel open-source pfSense en tant que tel. Aussi, lorsque nous parlons de "pfSense" pour désigner le logiciel, ceci est un abus de langage : pour être très précis, nous devrions parler de "pfSense CE".
Cet abus de langage est communément répandu pour deux raisons : à l'origine, le terme pfSense désignait le logiciel et la marque (jusqu'au rachat par Netgate en 2014) ; et l'éditeur communique très majoritaire sur le terme "pfSense software" pour parler du logiciel pfSense CE.

pfSense Factory Edition (également appelé pfSense FE) qui désigne un logiciel propriétaire que l'on retrouve sur les firewall commercialisés par Netgate et chez des fournisseurs de solutions de cloud (Cloud Service Provider - CSP) comme AWS ou Azure.

Aussi, il faut bien avoir en tête que lorsque vous achetez des firewall Netgate ou que vous installez pfSense via le marketplace d'AWS ou d'Azure, vous n'utilisez en aucun cas un logiciel open-source : vous utilisez le logiciel propriétaire pfSense FE.

pfSense CE et pfSense FE : quelles différences ?

Les principales caractéristiques de pfSense FE, par rapport à pfSense CE, sont les suivantes :

pfSense FE n'est pas open-source ;
pfSense FE supporte les firewall Netgate qui tourne sur des architectures ARM ;
pfSense FE est proposée sur les marketplace d'AWS et d'Azure ;
pfSense FE propose des options de configurations spécifiques aux ports switch des firewall Netgate (la plupart des firewall Netgate ne dispose pas de ports réseaux indépendants, mais de ports switch : cela leur permet d'offrir une plus grande densité de ports réseaux pour un coût plus faible, mais au prix d'une performance plus limitée).

Les autres fonctionnalités que l'on trouve sous pfSense CE ou pfSense FE sont exactement les mêmes. Ce sont donc des logiciels très proches.

pfSense Plus, qu'est-ce que c'est ?

En février 2021, le logiciel propriétaire pfSense Factory Edition sera renommé pfSense Plus.

À partir de cette date, les logiciel pfSense CE et pfSense Plus vont diverger.

Netgate va procéder à une ré-écriture d'une grande partie du code-source de pfSense Plus afin de le rendre plus lisible, plus sécurisé et plus facilement maintenable.
Il s'agit là d'un des reproches majeurs formulés à l'encore de pfSense : un code-source à la qualité inégale et pas suffisamment structuré.

Ensuite, pfSense Plus incorporera rapidement de nouvelles fonctionnalités très demandées, comme par exemple :

Une refonte complète de l'interface graphique (plus sécurisée)
Un tableau de bord plus moderne et efficace
Des outils de statistiques et de reporting avancés
La prise en charge des normes sans-fil 802.11ac (Wi-Fi 5) et 802.11ax (Wi-Fi 6)
Le support du mode Zero Touch Provisioning pour des déploiements facilités

La roadmap détaillée de développement sera précisée prochainement par Netgate.

Autre élément important, pfSense Plus sera publié selon un rythme beaucoup plus régulier que pfSense CE. Il y a aura 3 versions majeures par an : janvier, mai et septembre.

C'est également là un des reproches formulés à l'encore de pfSense : un rythme de mise à jour trop irrégulier et ne respectant pas les cycles de versions de FreeBSD.
Par exemple, la dernière version stable de pfSense à ce jour est la version 2.4.5-RELEASE-p1 qui repose sur FreeBSD 11.3. Or, FreeBSD 11.3 est arrivé en fin de vie le 30/09/2020 et n'est donc plus maintenu depuis plusieurs mois déjà !

Le nommage des versions de pfSense Plus se fera selon le format AA.MM (année sur deux chiffres, mois sur deux chiffres). La première version de pfSense Plus, qui devrait sortir en février 2021, sera donc la version 21.02.

Dernier élément important : pfSense Plus sera dans un premier temps proposé uniquement pour les firewall Netgate, puis sur les instances de cloud partenaire, et enfin (d'ici la fin de l'année 2021) pour tous, installable sur tous matériels.

Quel sera le prix de pfSense Plus ?

Ces informations n'ont pas encore été communiquées par Netgate.

Ce que l'on sait pour le moment, c'est que l'utilisation de pfSense Plus pour un usage non-commercial (usage personnel, labo de tests, etc.) sera gratuite.

Pour les usages commerciaux, la grille de prix n'a pas encore été communiquée. Elle le sera dans le courant du mois de juin 2021.

À titre de comparaison, les tarifs de tnsr (logiciel propriétaire de Netgate pour des réseaux de + 40 Gbps) démarrent à 400 dollars / an. On peut donc, a priori, s'attendre à un tarif similaire ou inférieur pour pfSense Plus.

pfSense Plus marque-t-il la fin de pfSense CE ?

Le message délivré par Netgate est très clair : la priorité de développement est donnée à pfSense Plus. La plupart des améliorations qui seront apportées à pfSense Plus ne seront pas directement reversées à pfSense.

Cependant, les développements concernant des éléments communs aux deux versions de pfSense seront bien évidemment reversés vers pfSense CE ; comme par exemple les contributions à FreeBSD ou à packet filter.
Il faut garder en tête que Netgate est, depuis des années, et restera, un gros contributeur à de nombreux projets open-source.

pfSense CE continuera à être maintenu.
Le rythme de développement continuera comme aujourd'hui : c'est-à-dire qu'une nouvelle version sortira quand elle sera prête !

Beaucoup de monde avait déjà constaté que le rythme de développement de pfSense CE avait énormément ralenti. Il faut visiblement s'attendre à ce qu'il soit peut-être encore plus faible.

Ainsi, les corrections de bugs, les mises à jour de sécurité ou les améliorations apportées aux briques open-source utilisées dans pfSense CE continueront à être proposées. En revanche, il ne faut pas s'attendre à l'ajout de nouvelles fonctionnalités importantes. Ces nouvelles fonctionnalités seront réservées prioritairement (voire quasi-uniquement ?) à pfSense Plus.

Vraisemblablement, pfSense CE va continuer à être maintenu mais ne va plus vraiment évoluer.

pfSense Plus, bonne ou mauvaise nouvelle ?

Les deux !

C'est une bonne nouvelle car :
Ces annonces permettent de clarifier la stratégie de développement de Netgate concernant pfSense.
Tout le monde avait constaté un ralentissement du rythme de développement et des mises à jour. Il était donc nécessaire de clarifier le projet industriel porté par Netgate. C'est chose faite.

Netgate annonce un rythme de développement soutenu de pfSense Plus, la refonte d'une partie du code source (qui en a bien besoin...) et l'ajout de nouvelles fonctionnalités très attendues.
Si les tarifs annuels proposés sont raisonnables et que le côté "logiciel propriétaire" n'est pas un point de blocage pour vous, alors pfSense Plus être une très bonne solution.

Enfin, cette solution reste gratuite d'utilisation pour un usage non-commercial.

Mais c'est également une mauvaise nouvelle car :
Les annonces faites sont très claires : le développement sera prioritairement (quasi-exclusivement ?) sur pfSense Plus. Il n'y aura aucun rythme de développement nouveau pour pfSense CE.

Aucune nouvelle fonctionnalité n'est annoncée pour pfSense CE, hormis les corrections de bugs, mises à jour de sécurité et les mises à jour des briques open-source utilisées dans pfSense CE.

Il ne faut pas se voiler la face : ces annonces augure très visiblement la fin à petit feu de la version open-source de pfSense.

Que faire ? Quelles solutions envisagées ?

Notre première réponse est surtout de ne pas se précipiter !

pfSense CE 2.5.0 va sortir très prochainement (en février 2021). Il s'agit d'une version majeure qui apportera son lot de nouveautés. Wireguard sera notamment intégré à pfSense 2.5.0.

Il n'y a donc pas d'urgence à migrer. pfSense reste un bon logiciel, robuste, stable et sécurisé. Au cours des prochaines années il continuera d'être maintenu, mais évoluera très peu.

Nous attendons de voir l'offre tarifaire associée à pfSense Plus. Nous ne rejetons pas, a priori, cette solution. Les fonctionnalités et le rythme de développement annoncés pour pfSense Plus attirent notre curiosité.
Nous attendons les annonces complémentaires de Netgate sur le sujet.

Il est à noter que Netgate annonce que la compatibilité de migration de pfSense CE vers pfSense Plus sera maintenue. Il sera ainsi possible de migrer facilement de pfSense CE vers pfSense Plus à l'avenir.

Enfin, il est possible de se tourner vers OPNsense qui est un fork de pfSense né fin 2014, début 2015.
OPNsense bénéficie d'un code-source qui a été en très grande partie réécrit (+ 90 %), sécurisé, épuré et simplifié. L'interface graphique d'OPNsense est moderne et vraiment bien pensée.

OPNsense bénéficie d'un rythme de mise à jour important et régulier : deux mises à jour majeures par an, ainsi que des mises à jour additionnelles mineures dès que nécessaire.

Au cours de ses premières années, OPNsense souffrait de bugs trop nombreux pour en faire un bon firewall utilisable en production. Depuis, le logiciel a grandement gagné en maturité et en stabilité. Il s'agit donc sûrement de la solution idéale vers laquelle se tourner à l'avenir.

Nous sommes curieux de savoir si nous allons assister à une migration massive des utilisateurs de pfSense vers OPNsense ?

Wait & see.

Vous pouvez retrouver toutes les informations détaillées concernant pfSense Plus sur le blog de Netgate (en anglais) :

Announcing pfSense® Plus : https://www.netgate.com/blog/announcing-pfsense-plus.html
pfSense Plus and pfSense CE: Dev Insights and Direction : https://www.netgate.com/blog/pfsense-plus-pfsense-ce-dev-insights-direction.html
pfSense Plus FAQ : https://www.netgate.com/solutions/pfsense/plus-faq.html

Et vous, que pensez-vous des annonces liées à la sortie de pfSense Plus ?

Pour aller plus loin

Tous nos articles classés par thème
Voir un article au hasard

Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense

store.provya.fr

icon Tags de l'article : pfSense pfSense Plus