PFSense est une distribution UNIX permettant d’installer un firewall (gateway) et de l’administrer via une interface web. La puissance, la stabilité et la flexibilité de PFSense ne sont plus à démontrer, mais parfois des manipulations «simples» peuvent se cacher derrière les multiples options offertes par l’outil.

Un cas simple : un serveur web est hébergé sur la partie LAN (supposons un sous-réseau 10.0.1.x). Supposons aussi qu’en plus du serveur web, un pc (PC1) se trouve sur le réseau (10.0.1.x).

Ainsi, nous avons :

  • PFSense WAN IP : 80.80.80.999 (p.ex.) ;
  • PFSense WAN Dyndns domain : pfsense.dyndns.org (p.ex.) ;
  • PC1 LAN IP : 10.0.1.30 ;
  • Serveur WEB LAN IP : 10.0.1.31.

Supposons encore qu’une règle NAT ait été créée, redirigeant le port WAN 80 sur le port 80 de 10.0.1.31, pour toutes adresses externes et que dyndns soit bien configuré.

Tel quel, si on essaye d’accéder à pfsense.dyndns.org depuis PC1, nous allons tomber sur l’interface PFSense. La première chose à faire est donc de changer le port de l’interface web de PFSense (ou d’utiliser le https) : system -> general setup -> webGUI protocol : passer de HTTP à HTTPS. Il faut alors se reconnecter à https://10.0.1.1. Depuis l’extérieur, http://pfsense.dyndns.org/ doit alors afficher la page générée par 10.0.1.31.

Cependant, depuis 10.0.1.30, il y a un timeout sur cette même requête. La solution à ce problème se trouve dans le «DNS Forwarder» (services -> DNS Forwarder). Dans cette section, doivent être cochés :

  • Enable DNS forwarder ;
  • Register DHCP static mappings in DNS forwarder.

Dans la section «You may enter records that override the results from the forwarders below», créez une nouvelle entrée où domain est le nom de domaine pfsense.dyndns.org et IP est l’adresse IP locale du serveur web (10.0.1.31).

Après toutes ces opérations, il est nécessaire de vérifier encore quelques points :

  • Services -> DHCP Server : les serveurs DNS sont 10.0.1.1 et 10.0.1.1
  • System -> General Setup : les serveurs DNS sont des serveurs externes (ceux du provider internet p.ex.).
  • System -> General Setup : Allow DNS server list to be overridden by DHCP/PPP on WAN doit être coché

Après toutes ces étapes, tout devrait fonctionner comme il faut.