Configuration de la Freebox

Divulgâchage : Avec l’arrivée de la fibre, il devient encore plus pratique d’héberger ses services webs chez soi. Plutôt que le mode bridge, nous préférons le mode routeur et la redirection du trafic vers notre pare-feu. Voici comment nous nous y sommes pris avec notre freebox. Rien de compliqué pour nous, on commence par configurer TLS, on configure le DHCP pour tout le monde et les spécificités pour notre pare-feu.

Le village ne parle que de ça : nous sommes en cours de raccordement en fibre optique ! On voit des techniciens, par-ci par-là, tirer des gaines dans les rues, ouvrir des boîtiers télécoms et tout le monde frétille d’impatience en espérant que sa rue sera bientôt fibrée, ou avant celle des voisins.

Nous faisons partie des chanceux à l’avoir été dans les premiers. Il faut dire que plutôt qu’attendre l’appel d’un commercial à la fin des travaux, d’ici trois an, nous avons pris les devants. Du coup, on a vraiment été branché rapidement.

Le choix du FAI a été plutôt simple. Seuls SFR et Free nous considèrent éligibles, ce qui élimine tous les autres. Et comme SFR n’as pas compris que nous avions une adresse postale dans une rue et un point de raccordement dans une autre, ne restait que Free… Comme nous n’avons besoin que d’une connexion internet et d’un numéro de téléphone, on a pris la mini 4K.

reebox mini 4k @ wikipedia

Voici donc, pour tout ceux qui se demanderaient comment faire, comment nous nous y sommes pris pour configurer notre freebox.

Connexion à la freebox

Pour se connecter à la freebox, pas besoin de chercher une adresse ip ou autre, les freebox sont toutes joignables via mafreebox.free.fr. L’authentification se fait via un mot de passe uniquement. Vu qu’il n’y a qu’un seul utilisateur sur les box, inutile de s’encombrer d’un identifiant. Plutôt malin.

Pour la saisie automatique via keepass, un très généreux visiteur nous a montré qu’il suffisait de configurer l’enregistrement correspondant. Pour ça, il suffit de l’ouvrir (double clic), d’aller dans l’onglet Auto-Type, décocher le bouton « Override default sequence » et remplacer la valeur du champ par celle-ci {PASSWORD}{ENTER}.

Configuration TLS

Par défaut, le certificat est auto-signé, on va donc commencer par sécuriser cet accès en demandant à la freebox de générer et faire signer un certificat. Pour ça, il faut aller dans le menu Paramètres de la Freebox / Mode Avancé / Nom de domaine. Par défaut, la liste est vide et il faut ajouter un domaine en quatre étapes :

  1. On coche qu’on veut choisir un domaine personnalisé,
  2. On entre le nom de domaine (en fait, le préfixe car ce sera forcément sous freeboxos.fr),
  3. On coche l’option Let’s Encrypt (pour éviter de devoir gérer notre propre PKI),
  4. On clique sur Terminer.

La signature du certificat est effectuée automatiquement en quelques minutes.

Capture d’écran

Reste encore le problème de la résolution DNS. En effet, le nom de domaine qu’on vient de créer correspond à notre adresse IP publique. C’est parfait pour permettre à des amis de se connecter chez nous, mais si on ne souhaite pas activer l’accès à distance, la freebox est injoignable avec ce domaine.

On pourrait utiliser l’adresse locale de la freebox (i.e. 192.168.0.1), mais on a décidé d’utiliser le même truc que free pour l’accès par défaut. En effet, mafreebox.free.fr pointe vers une adresse particulière, 212.27.38.253. Depuis l’extérieur, c’est un serveur de free qui répond avec un contenu minimaliste (qui peut donc être référencé par google). Mais depuis le réseau interne, c’est intercepté par la freebox qui répond directement.

Comme on a un PfSense, on en a profité pour ajouter une entrée au DNS Resolver. On peut alors utiliser notre propre nom de domaine pour joindre la freebox, le navigateur pouvant alors vérifier le certificat, nous avons une connexion sûre.

Ajout d’une entrée DNS

Configuration du DHCP

Par défaut, la freebox est déjà en mode routeur avec un serveur DHCP actif. Mais comme chez les arsouyes, on a notre propre plan d’adressage et quelques petites contraintes personnelles, on va quand même changer sa configuration.

Adresse de la freebox

Un des bons côtés des freebox, c’est qu’on peut changer l’adresse du réseau. Pour ça, on va dans le menu Paramètres de la freebox / Mode avancé / Mode Reseau. Dans notre cas, nous avons choisi 192.168.5.1/24, arbitrairement.

Configuration de l’adresse de la box

On comprend ici l’intérêt de résoudre le nom de domaine de la freebox via son adresse spéciale plutôt que son adresse locale. Si on change l’adresse du réseau ou celle de la freebox, la première solution continue de fonctionner alors que la seconde nécessite de le répercuter dans le serveur DNS.

Plage d’adresses

On passe alors à la configuration du DHCP lui-même. Cette fois, c’est via le menu Paramètres de la freebox / Mode avancé / DHCP. Rien de particulier ici, on s’assure juste que la plage d’adresse n’entre pas en conflit avec l’adresse de la freebox et laisse assez de place pour les baux statiques.

Configuration du DHCP

Branchement du pare-feu

Pour gérer plus finement nos réseaux, nous utilisons une machine sous PfSense. Cette machine nous sert de passerelle et toute notre infrastructure est en fait derrière.

On aurait pu configurer la freebox en mode bridge, qui est fait pour ça, mais on trouve plus pratique de garder un réseau guest à l’extérieur de notre réseau à nous. Mais surtout, lors d’une défaillance du pare-feu, il suffit de connecter le switch du LAN à la freebox pour retrouver une connectivité le temps de résoudre le problème, sans rien avoir à reconfigurer.

Bail statique

Première étape, attribuer une adresse statique au pare-feu. Plutôt que de le configurer, lui, on va configurer la freebox. En cas de défaillance sur cette connexion, on pourra la remplacer sans devoir reconfigurer le pare-feu, il récupèrera ses nouveaux paramètres par DHCP.

Pour ça, on va dans le menu Paramètres de la freebox / Mode avancé / DHCP et on clique sur ajouter un bail DHCP Statique. Les choses sont bien faites car pour l’adresse MAC, la freebox propose un menu déroulant avec toutes les adresses qu’elle a vu (et les noms d’hôtes associés lorsqu’ils sont fournis).

Ajout d’une IP Statique

Configuration de la DMZ

Pour que nos services publics soient accessibles depuis internet, on va configurer la redirection de port pour tout rediriger vers notre pare-feu. Ça sera bien plus pratique que de le faire port par port. Cette fois, on va dans Paramètres de la freebox / Mode Avancé / Gestion des Ports, on active la DMZ et on entre l’adresse IP du pare feu.

Configuration de la DMZ

En temps normal, il faudrait s’assurer que le pare-feu fasse bien du NAT sur cette interface. La freebox ignore en effet tout des réseaux qui se trouvent derrière la DMZ. Heureusement pour nous, PfSense s’en charge automatiquement. Le DHCP ayant fourni une passerelle, l’interface est considérée comme de type WAN et le NAT automatiquement activé.

Et après ?

La partie accès internet côté freebox fonctionne. Il reste quand même la configuration de base du PfSense : routage, filtrage, redirection de ports, …