Labo virtuel personnel – dernière partie : finalisation

Dans cette dernière partie, nous allons finaliser notre labo virtuel :

  • Intégration des VM dans le réseau interne virtuel LAN
  • Configuration de base de pfSense

Dans un premier temps il faut bien sûr veiller à ce que les trois machines soient démarrées.

Sur la console de la VM pfSense on voit que l’interface WAN connectée en NAT a obtenu par DHCP une adresse IPv4 fournie par VirtualBox, et que l’adresse IP sur la « patte » LAN est 192.168.1.1/24 :

La console pfSense

La VM Debian GUI est connectée en NAT, son interface réseau a donc elle aussi obtenu par DHCP une adresse IPv4 depuis VirtualBox. On peut démarrer un terminal, et vérifier l’IP obtenue :

$ ip -c a
Pratique : avec la touche Ctrl et la molette de la souris, on ajuste la taille du texte dans le terminal.

Cette commande nous donne (en couleur grâce à l’option -c) les adresses IP de chaque interface réseau du système.

Connexion de DebianGUI au réseau LAN

Cette opération peut se faire « sous tension », comme on le ferait avec une machine réelle, en reconnectant le câble réseau. Depuis la configuration de la VM, on connecte l’interface réseau au réseau interne LAN :

Reconnexion de l’interface sur le LAN

Il faut maintenant renouveler le bail DHCP de la VM GUI, en deux temps. D’abord on redémarre le service réseau :

$ sudo systemctl restart networking

Puis on demande un nouveau bail :

$ sudo dhclient

NB : on aurait pu aussi simplement redémarrer la VM.

Désormais notre DebianGUI est sur le réseau LAN et a obtenu une IPv4 depuis pfSense.

Configuration de pfSense par WebAdmin

On peut maintenant utiliser le navigateur WEB pour procéder à la configuration initiale de pfSense, à l’adresse https://192.168.1.1 :

Comme nous utilisons une IP privée locale comme adresse source HTTP, on a bien sûr l’avertissement habituel sur les risques d’un certificat auto-signé. Nous acceptons ce « risque », et nous voilà sur la page de connexion à pfSense :

Par défaut, l’identifiant est admin et le mot de passe pfsense.

L’assistant d’installation initiale (Wizard)

Au premier lancement, le « wizard » de configuration apparaît (il est également possible de l’appeler plus tard depuis le menu system) :

Nous allons donc procéder à la configuration initiale élémentaire de pfSense, qui sera notamment très permissive au niveau du pare-feu (par défaut).

Le bouton « next » nous amène à la suite :

Netgate, l’éditeur, propose de considérer la souscription au support avancé pour pfSense. On laisse ensuite le hostname et le domaine proposés, et on fixe les serveurs DNS que nous souhaitons utiliser :

Attention, selon votre environnement, il est possible que ces DNS vous soient imposés ; il convient de saisir ici les valeurs adéquates. Par défaut, nous pouvons prendre les DNS de CloudFlare (1.1.1.1 et 1.0.0.1). Il faut décocher l’option « override » pour que nos choix DNS ne soient pas remplacés par ceux fournis par le WAN (par DHCP).

On définit ensuite le serveur NTP principal que va utiliser pfSense, ainsi que la timezone de notre système. On prend ici des réglages adaptés à la France.

serveur NTP : 0.fr.pool.ntp.org

L’étape suivante concerne le paramétrage de l’interface WAN ; celle-ci utilise DHCP pour sa configuration.

Sur cette page on veillera aussi à désactiver le blocage des flux RFC1918 (plages d’adresses IP privées) arrivant sur le WAN ; en effet ce genre de situation peut se produire, et d’ailleurs dans le cas présent l’interface WAN est sur un réseau privé.

On peut également débloquer les réseaux Bogon notamment si on est amené à utiliser des plages IP réservées à des usages de test (comme celles de la RFC5737), ou plus généralement si on veut lever toute restriction initiale sur le pare-feu.

L’étape suivante consiste à renseigner (confirmer) l’adresse IP de pfSense sur le réseau LAN. Laissons ce réglage intact :

Enfin, il convient de personnaliser le mot de passe associé à l’utilisateur admin. En réalité, les bonnes pratiques de sécurité obligent même à désactiver ce compte et à en créer un autre ; nous ferons cela un peu plus loin. Pour le moment, limitons-nous à modifier ce mot de passe.

Il ne reste plus qu’à recharger le système avec cette nouvelle configuration.

Et voilà ! le système est (presque) configuré, on clique sur « finish ».

La dernière étape de l’assistant de configuration.

L’affichage de ce « placard » informatif est notamment le signe que le système accède à Internet. On est invité à accepter les conditions, puis encore une invitation à participer à l’amélioration du système, et on arrive sur le dashboard par défaut :

le dashboard (ou tableau de bord) de pfSense

Personnalisation du tableau de bord

Le tableau de bord peut afficher des informations plus pertinentes que les informations relatives à Netgate (dont vous pouvez prendre connaissance malgré tout !).

Utiliser les croix en haut à droite de chaque élément du dashboard, puis l’option + pour en ajouter, comme celui qui permet de visualiser l’état des passerelles (gateways) ou l’activité sur les interfaces (traffic graph) :

Des widgets sont disponibles pour personnaliser le dashboard.

Voici un dashboard plus informatif. Il est possible de déplacer les éléments, il ne faut pas oublier alors d’enregistrer cette disposition avec l’icône « disquette » en haut à droite.

Configuration complémentaire

Il convient de réaliser quelques opérations supplémentaires pour finaliser la configuration initiale.

Activer le chiffrement matériel avec AES-NI

La plupart des CPU actuels disposent d’un jeu d’instructions AES-NI pour le chiffrement symétrique, lequel est notamment utilisé lors de connexions VPN. Par principe, on l’active d’emblée sur une nouvelle instance pfSense. On vérifie d’abord que l’option est disponible, depuis le dashboard > system information > CPU Type > AES-NI > Yes (inactive)

Si c’est “Yes” (comme sur la capture ci-dessus), on l’active :

Menu system > advanced > Miscellaneous > Cryptographic & thermal sensor :

On active AES-NI, et on clique sur « save » en bas de page.

Désormais, la mention « active » est présente sur le dashboard dans la section CPU > AES-NI.

Désactivation de l’admin par défaut

On va créer un utilisateur administrateur et désactiver le compte admin par défaut. Menu system > user manager > users > add :

Créer l’utilisateur (username et mot de passe au moins) et l’ajouter au groupe admins :

Puis sauvegarder.

Se déconnecter de l’admin actuel (icone en haut à droite de la page), puis se reconnecter avec ce nouvel utilisateur.

Désactiver maintenant l’utilisateur admin standard :

Sauvegarder.

Désactivation d’IPv6 sur le WAN

Notre interface WAN ne dispose que d’une IPv4 ; pour plus de clarté, on va désactiver la gestion de l’IPv6 sur cette interface.

Menu interfaces > WAN

Sauvegarder et appliquer les changements.

Désactivation du DNS resolver

De nombreux services sont activés sur pfSense pour assurer la gestion du réseau (DHCP, NTP, DNS, FIREWALL, …). Pour alléger le fonctionnement du DNS, qui est la source de bien des soucis (« it’s always DNS ! »), on va désactiver le serveur DNS intégré (résolveur). Les requêtes DNS seront gérées directement par les serveurs externes prédéfinis plus haut.

Menu Services > DNS resolver

Sauvegarder et appliquer les changements.

Tout ceci n’est peut-être pas exhaustif ou parfait, mais c’est basé sur l’expérience, et le fait qu’on soit sur un labo. Par exemple, sur un pfSense en production, on pourra notamment protéger le menu de la console par un mot de passe (menu system > advanced > admin access) :

Afin de propager les réglages DNS notamment, il convient de redémarrer la VM Debian_GUI

Connexion de Debian serveur dans le LAN

Il faut également redémarrer la Debian Core, après l’avoir elle aussi reconnectée sur le réseau interne LAN.

Contrôle final

Maintenant, les machines accèdent à internet via pfSense.

DebianGUI navigue sur le WEB
et la Debian core accède elle aussi à Internet (ping d’un nom de domaine : résolu et joignable)

On récupère l’IP de la VM Debian Core avec la commande ip -c a ; ici 192.168.1.104. On peut constater qu’elle est joignable depuis la machine GUI :

L’adresse IP de DebianGUI est 192.168.1.103 ; les ping vers 192.168.1.104 fonctionnent.

Tout est en place ! Notre labo est fin prêt pour ses premières expériences. Je vous recommande de faire un cliché instantané (snapshot) de chacune des VM à ce stade.

Labo virtuel personnel – deuxième partie : installation de pfSense

Cette machine virtuelle pfSense va être le pivot et le cœur du réseau de notre environnement. On s’arrête ici à son installation ; dans des tutos ultérieurs nous pourrons découvrir toutes les fonctionnalités de cette distribution reconnue et spécialisée dans la gestion et la protection des réseaux.

Image ISO d’installation

Première chose, il faut récupérer l’image ISO d’installation de pfSense CE (Community Edition), dernière version, pour architecture x64 (AMD64).

NB : Il ne faut pas choisir l’image pour clé USB dont le fonctionnement est différent ; on pourra en revanche utiliser ce format pour un déploiement sur une machine physique notamment.

L’URL de téléchargement est : https://www.pfsense.org/download/

Edit 16/05/2024 : Netgate semble proposer désormais de télécharger un installateur universel pfSense. J’ai essayé, ça n’a pas fonctionné (pendant l’installation, validation impossible). En attendant du nouveau, il est toujours possible de récupérer les installateurs classiques (offline) sur ces deux miroirs :

L’image récupérée est pfSense-CE-2.7.2-RELEASE-amd64.iso.gz Il est recommandé de vérifier la signature SHA256 de l’image, à l’aide d’un outil comme hashcheck par exemple :

Cette image est compressée au format gzip (.gz), il faut un outil tel que 7zip pour en extraire le fichier image ISO final :

Création et configuration de la VM

Depuis VirtualBox, taper CTRL+N (ou menu Machine / Nouvelle), nommer la VM pfSense et choisir le type FreeBSD x64 (pfSense est en effet une distribution de FreeBSD) ; on utilise ici le mode Expert pour la configuration :

On lui octroie ensuite dans les onglets « hardware » et « Hard Disk » ce qui doit correspondre aux propositions par défaut :

  • 1024 Mio de RAM,
  • 1 cœur CPU
  • Un disque dur (type VDI) dynamiquement alloué de 16 Gio.
  • On ne choisit pas l’option EFI (même si celle-ci est supportée par pfSense)
Choix de la RAM allouée et du nombre de cœurs CPU

Un petit clic sur « Finish » et notre machine est maintenant créée, nous allons finalier la configuration, puis lancer l’installation.

Configuration de la VM

Cliquer sur le bouton « Configuration » pour faire apparaître les paramètres de la VM. On désactive les ressources audios parfaitement inutiles :

Les ports série et USB doivent être désactivés, car ils ne sont pas plus utiles pour notre cas :

Configuration de l’interface réseau WAN

Dans la rubrique « réseau », nous allons configurer deux interfaces. Une première correspond à la partie WAN de pfSense, l’accès à Internet, que l’on obtient par pontage (bridge) d’une interface existante sur la machine hôte, soit par le mode « NAT » proposé par VirtualBox, qui permet d’ajouter une isolation supplémentaire par rapport au réseau réel.

Si l’on souhaite par la suite rendre le pfSense « visible » sur Internet, il est préférable de choisir le mode bridge. Dans ce mode, il faudra sélectionner l’interface physique associée (et on préfèrera une interface filaire plutôt que Wi-Fi).

Le mode NAT permet quant à lui d’accéder à Internet sur des machines hôtes qui sont sur un réseau assez sécurisé : en effet, le pare-feu en amont ne voit que notre machine hôte, qui « partage sa connexion » avec la VM.

Ici, nous allons utiliser le mode NAT, qui permet en plus de ne pas avoir à choisir l’interface physique parente. Il est toujours possible bien sûr de modifier ensuite pour utiliser le mode pont (bridge) :

L’interface 1 de la VM est connectée en mode NAT. Avec VirtualBox, on ne dispose que de quatre interfaces réseau maximum.

Configuration de l’interface LAN

La seconde interface réseau correspond au côté LAN de pfSense ; on l’associe à un réseau virtuel interne (qu’on appellera donc LAN) sur lequel nous pourrons connecter nos autres équipements virtuels. Notons qu’il est possible ici de visualiser (et même modifier) l’adresse MAC de l’interface virtuelle ; ceci peut être très utile au moment de configurer le système qui sera installé sur la VM :

Installation de pfSense

La machine est prête, on clique sur OK, et on la démarre :

Et après la phase de démarrage sur l’image ISO d’installation, l’écran d’accueil s’affiche :

Pour notre installation plutôt standard, il suffit d’accepter les options proposées par défaut.

NB :  Il n’est pas utile de configurer un clavier français lors de l’installation, car au démarrage suivant, le clavier est de nouveau en mode QWERTY (à moins que ce bug ne soit corrigé dans le futur)

Attention à bien sélectionner le disque de destination avec la barre d’espacement :

On sélectionne l’emplacement de stockage. pfSense utilise ZFS qui permet notamment d’utiliser plusieurs disques et de gérer nativement la redondance (RAID).

Et on confirme sans hésiter :

L’installation va supprimer tout le contenu du disque. On est prévenu !

Attention pour la phase finale : afin d’éteindre la machine, plutôt que la redémarrer, on va utiliser le Shell pour lancer la commande « init 0 » (attention, la disposition du clavier est QWERTY) :

… pour éteindre la VM.

La VM s’éteint.

On supprime le lecteur optique devenu inutile :

On relance la VM pfSense, la console affiche toute la séquence de démarrage, jusqu’à cet écran qui affiche le menu de la console :

Affectation des interfaces

Normalement, pfSense aura automatiquement affecté chaque interface à son rôle : WAN (sur l’interface NAT) & LAN (sur l’interface en réseau interne)

En cas de problème, ou de doute, il est possible de relancer cette affectation, avec l’option 1 de la console :

Les interfaces disponibles sont identifiées par leur adresse physique MAC, et leur nom dans le système FreeBSD (em0 et em1 dans notre cas). Comme évoqué plus haut, c’est avec les adresses MAC que nous pouvons identifier chaque interface dans VirtualBox.

On ne souhaite pas mettre en place des VLAN ici, on répond : N ; puis on affecte les interfaces à leur rôle, WAN ou LAN :

Attention, le clavier est toujours en QWERTY ! et le verrouillage numérique n’est probablement pas activé par défaut.

A propos de la console pfSense

La console permet d’effectuer des opérations de base pour pfSense, notamment :

  • Redémarrer (5)
  • Arrêter (6)
  • Affecter les interfaces (1)
  • Configurer les interfaces (2)
  • Lancer une mise à jour du système (13)
  • Réinitialiser les réglages par défaut (4)
  • Réinitialiser le mot de passe d’administration (3)

Dans la pratique, il est recommandé de protéger l’accès à ce menu console par un mot de passe (ceci se configure depuis l’interface WEB GUI que nous verrons plus loin.)

Fonctionnement de la VM en tâche de fond

Afin que pfSense tourne en tâche de fond dans notre environnement, il peut être démarré sans affichage depuis VirtualBox :

Dès lors, la console n’est visible que depuis la prévisualisation de VirtualBox, mais il est possible de réactiver la console en cliquant sur « afficher » :

Et de la refermer depuis le menu « fichier » de la fenêtre console :

Notre VM pfSense est maintenant opérationnelle. Sa configuration initiale n’est pas réalisée, car il faut pour cela disposer d’un navigateur WEB pour accéder, par le réseau LAN, à la console WEBAdmin. Nous verrons ceci un peu plus loin, dans une section consacrée aux réglages, astuces et bonnes pratiques de sécurité avec pfSense.

La prochaine étape : construire et préparer notre machine Debian core, destinée à un usage « serveur ».

Labo virtuel personnel – première partie : présentation et installation de VirtualBox

Introduction

Je vous propose un guide pratique pour la mise en place d’un laboratoire systèmes & réseaux personnel, léger, virtuel et open source, basé sur VirtualBox. Cet hyperviseur de niveau 2 est une solution reconnue, fiable et maintenue pour la virtualisation de systèmes.

Ce guide se veut aussi complet, précis et universel que possible, sans trop charger de détails inutiles. Il est revérifié régulièrement au gré des mises à jour des différentes solutions utilisées.

Prérequis

Pour réaliser avec succès tous ces travaux, il faut disposer d’un ordinateur équipé au minimum d’un processeur x64 (Intel ou AMD) avec 4 cœurs physiques, 8 Gio de RAM (16 étant plus confortable), un stockage de type SSD avec au minimum 100 Gio libres et une interface réseau connectée à Internet, de préférence filaire. Sur cet ordinateur hôte, qui n’est pas dédié à ce rôle d’hyperviseur, le système d’exploitation sera probablement MS Windows 10 ou 11. On essaiera d’avoir une installation la plus « propre » possible. Pour plus d’infos à ce sujet, rendez-vous à la fin de ce premier article. VirtualBox est également disponible pour les autres OS courants (distributions GNU/Linux et Mac OS X)

Présentation du labo virtuel

Notre objectif est donc de mettre en œuvre un environnement de travail (labo) virtuel de base pour expérimenter diverses configurations systèmes & réseaux.

Il a été conçu pour demander de moins de ressources possibles, afin d’être déployé sur un PC standard à partir de solutions open source. Pour cela on va s’appuyer sur :

  • L’hyperviseur de niveau 2 VirtualBox
  • La solution pfSense® pour le cœur de réseau (interface WAN / LAN)
  • Debian GNU/Linux pour les systèmes (un serveur en mode console et un client en mode GUI (Interface Graphique pour l’Utilisateur).

Voici le schéma logique du labo virtuel que nous aurons mis en place à la fin de ce guide :


Versions

ElémentVersion
OS hôteMicrosoft Windows 11 Professionnel
Version 23H2
VirtualBox7.0.12
pfSense2.7.2
Debian Linux12 (BookWorm)
XFCE4.16
Versions des différents éléments logiciels utilisés

VirtualBox : l’hyperviseur

Téléchargement et installation

VirtualBox est un logiciel hyperviseur de niveau 2, libre et gratuit, il existe pour les environnements MS Windows, Mac OS X et GNU/Linux notamment.

Rendez-vous sur : https://www.virtualbox.org/ :

Après le téléchargement propre à votre environnement, procéder à l’installation avec les options par défaut proposées.

VirtualBox Extension Pack (optionnel)

Télécharger également le pack d’extensions, qu’il faut lancer après avoir terminé l’installation de VirtualBox ; il apporte des fonctionnalités diverses qui peuvent servir dans certains cas, mais que nous n’utiliserons pas dans la suite de nos travaux.

Personnalisation de VirtualBox

Il peut être intéressant de personnaliser certains paramètres de VirtualBox en fonction de vos habitudes ou environnement. Voici deux exemples importants :

Touche « hôte »

La touche hôte permet de redonner la main à la machine hôte lorsque le clavier et/ou la souris sont « capturés » par la machine virtuelle. Par défaut c’est la touche Ctrl droite du clavier, mais si votre clavier n’a pas cette touche ou encore si vous êtes habitués au couple Ctrl + Alt de VMWare, on peut modifier ; appuyer sur Ctrl+G ou depuis le menu « fichier », cliquer sur « paramètres », puis sur l’onglet « entrée » :

La fenêtre de réglage des préférences de VirtualBox.

Emplacement par défaut

Autre élément intéressant, l’emplacement par défaut pour enregistrer les fichiers (machines et disques virtuels) ; cette option vous permet de stocker ces fichiers qui peuvent être volumineux sur un emplacement secondaire de votre machine hôte. Il est recommandé toutefois que cet emplacement soit rapide (de type SSD notamment).

Toujours dans les paramètres :

Sélection de l’emplacement par défaut des machines et disques virtuels.

Pourquoi préférer Oracle VirtualBox à VMWare Workstation ?

Voilà une question qui revient souvent quand il s’agit de choisir un environnement de virtualisation sur PC personnel. VirtualBox n’est pas forcément une préférence, c’est ici un choix orienté vers les solutions open source. Il y a des raisons pour préférer parfois VMWare Workstation à VirtualBox (meilleure gestion de la virtualisation imbriquée et des réseaux privés hôte, meilleure stabilité graphique, …). VirtualBox intègre en revanche des fonctionnalités de snapshot et de clonage, qui ne sont disponibles que dans les versions payantes de VMWare Workstation.

Trucs, astuces, limites et problèmes connus

Activer les fonctionnalités de virtualisation du processeur

Les processeurs actuels de la famille x86/x64, Intel ou AMD, intègre un jeu d’instructions complémentaire pour optimiser le fonctionnement de la virtualisation sur le système d’exploitation. Ces fonctionnalités s’appellent VT-x ou AMD-v et doivent être activées dans le micrologiciel du PC (BIOS / EFI). En général, elles le sont par défaut, mais il convient de vérifier au besoin (les hyperviseurs signalent en général assez clairement quand ces fonctions ne sont pas activées).

Activer la virtualisation imbriquée sous VirtualBox

Par défaut la virtualisation imbriquée (« nested virtualization ») n’est pas active sous VB. Si l’on souhaite réaliser une VM capable elle-même de réaliser de la virtualisation, l’option existe mais elle n’est pas accessible :

L’option « Activer VT-x/AMD-V imbriqué » est grisée, non accessible.

Pour l’activer, il faut utiliser la ligne de commande Windows :

> cd 'C:\Program Files\Oracle\VirtualBox'
> ./vboxmanage.exe list vms
…
"nom_de_la_VM" {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
…
> ./vboxmanage.exe modifyvm "nom_de_la_VM" --nested-hw-virt on

NB : la ligne de commande Windows n’est pas sensible à la casse, mais VirtualBox l’est : respecter la casse pour le nom de la VM.

Et ainsi, l’option « Activer VT-x/AMD-V imbriqué » est est désormais activée pour la VM :

Notons que la virtualisation imbriquée est un « montage » délicat. Depuis quelque temps, installer ProxMoxVE sous VB fonctionne, mais les VM créées sous PVE ne fonctionnent pas (c’est peut-être un bug temporaire). De même, l’installation de VMWare ESXi ne fonctionne pas, et mes derniers essais avec MS Hyper-V ont été plutôt décevants…

Les VM créées sous VirtualBox se plantent au démarrage

Après une installation réussie, certaines VM après le démarrage se plantent avec des messages d’erreur système assez « dramatiques » : kernel panic et autres. Il y a plusieurs choses à faires :

1 – désactiver les fonctionnalités de virtualisation de Windows

Tapez la touche Windows + R, puis appwiz.cpl et Entrée (ceci lance le panneau de configuration, section « programmes et fonctionnalités »)

Cliquer sur « activer ou désactiver des fonctionnalités Windows » :

Dans la liste, décocher ces fonctionnalités si elles sont actives :

  • hyperV
  • plateforme de l’hyperviseur Windows
  • plateforme de machine virtuelle
  • sous-système linux

2 – désactiver l’isolation du noyau (core isolation)

Cette fonctionnalité de sécurité Windows assez récente empêche la plupart du temps VirtualBox de fonctionner correctement.

Rechercher « isolation du noyau » dans la barre de recherche de Windows, et désactiver l’option :

Et ensuite ?

Rendez-vous maintenant au prochain article pour l’installation de la première VM de notre labo : pfSense.