Votre routeur domestique craint. Vous vous demandez pourquoi il faut s’en débarrasser ?
- Eh bien, il est lent
- il n’est pas sécurisé
- et, pire que tout, il n’est pas très amusant
C’est pourquoi nous allons remplacer votre routeur domestique par quelque chose comme PF. PF sense est une bête. Cette chose fait tout.
PFSense est un logiciel de routeur et de pare-feu. Il est gratuit. Il est open source. Et ai-je déjà mentionné que c’est une bête ? Oui. Ce truc fait tout. Et il va protéger votre réseau.
ID, IPS, snore, toutes sortes de choses. Il vous couvre largement en matière de sécurité. Il assure vos arrières, mais il a aussi une tonne de choses amusantes. Il intègre par exemple un DNS dynamique, qu’il suffit d’activer. Vous pouvez également envoyer tout votre trafic réseau via un fournisseur VPN ou un accès internet privé.
La meilleure chose qu’il vous donne est le contrôle et la possibilité de vous amuser avec votre réseau, ce qui est génial. Dans cet article, je vais vous montrer comment configurer ce truc. Nous allons remplacer ce stupide routeur domestique.
Comment mettre en place PFSense ?
Je vais vous montrer des choses comme le transfert de port dynamique, le DNS et la chose la plus cool qui soit, le transfert de tout votre trafic par VPN.
Tout d’abord, sachez que PFSense est un logiciel, ce qui signifie que vous devez l’installer sur quelque chose. Pour cela, vous avez plusieurs options. Ce qui est bien avec PF sense, c’est que vous pouvez l’installer sur n’importe quel routeur informatique. Et avant que vous ne me posiez la question, non, vous ne pouvez pas l’installer sur un raspberry PI.
Il peut s’agir d’une machine virtuelle. Tant que vous avez suffisamment d’interfaces réseau, c’est parfait. J’ai déjà fait fonctionner PF sense en tant que machine virtuelle sur mon serveur VMware. Ne vous laissez donc pas arrêter par l’absence d’un tel appareil, vous pouvez le virtualiser et le faire fonctionner.
Une fois que vous savez où vous allez installer PFSense, parlons de votre réseau et de la façon dont il va être conçu. Je recommande d’avoir un switch géré qui supporte les V lands parce que ça va vraiment débloquer des trucs sympas que vous pourrez faire avec votre routeur PFSense.
Votre routeur, c’est votre wifi. Il diffuse votre connexion sans fil. Et dans de nombreux cas, il fait office de modem, c’est-à-dire que votre routeur reçoit la connexion internet de votre fournisseur d’accès à internet. Là encore, il est probablement intégré à votre routeur. Si c’est le cas, voici ce que vous pouvez faire.
- Prenez un câble, Ethan,
- branchez-le dans votre routeur
- et branchez l’autre extrémité dans votre PFSense.
- Idéalement, vous voudrez mettre votre routeur domestique existant en mode passerelle.
S’il le supporte, je ne vais pas vous expliquer comment faire. Souvent, il suffit de brancher un autre routeur et de le redémarrer. Il se mettra automatiquement en mode passerelle.
Pour cela, consultez la documentation de votre routeur, parlez-en à votre fournisseur d’accès.
Pour le port terrestre, auquel vos appareils vont se connecter, vous pouvez le brancher sur votre commutateur ou directement sur votre ordinateur. Vous pouvez le brancher directement sur votre switch ou sur votre ordinateur. Mais dans l’idéal, vous devez le brancher sur un commutateur.
Qu’est-ce que pfSense ?
PfSense est un logiciel de routeur libre et gratuit que vous pouvez installer sur à peu près n’importe quel PC que vous avez sous la main. Un processeur de bureau à 1 GHz et 1 Go de RAM feront l’affaire, mais si vous êtes comme moi, vous devrez opter pour quelque chose d’un peu plus puissant afin de vous assurer que votre routeur est solide comme un roc.
J’entends parler de pfSense depuis des années, mais j’ai toujours eu l’impression qu’il me dépassait, qu’il était trop compliqué pour moi, qu’il me donnait trop de fil à retordre. Je suis heureux de dire que j’avais tort.
Le processus d’installation est en fait très simple. Même si vous utiliserez la ligne de commande pour certaines opérations, vous n’aurez rien de plus compliqué que de taper Y(es) ou N(o).
Comment installer PFSense
Mon routeur actuel est comme un animal de compagnie, il est limité par défaut, très simple, et beaucoup de maintenance est nécessaire quand quelque chose ne va pas.
Certaines des options de l’interface de votre routeur (comme les serveurs DNS préférés, etc.) sont bloquées par défaut pour éviter de bloquer tout votre réseau domestique.
Par contre, si je construis le routeur moi-même, et que j’utilise un logiciel très documenté, je peux librement configurer n’importe quelle partie du routeur selon mes besoins.
Comment passer votre routeur en mode passerelle
Le mode passerelle désactive le routeur intégré et les parties Wi-Fi et ne laisse que le modem, exposant la connexion à n’importe quel port Ethernet du routeur qui peut être branché à un autre routeur.
Il peut être relativement difficile de mettre un routeur en mode passerelle, c’est pourquoi je ne vous expliquerai pas comment procéder. Mais si vous ne le voyez pas sur la page web de votre routeur ou si vous ne pouvez pas le modifier, vous pouvez appeler votre fournisseur d’accès à internet comme je l’ai fait.
Construire votre propre routeur
Construire votre propre routeur peut sembler impossible ou hors de votre portée, mais je vous promets que ce n’est pas le cas. Si vous avez quelques vieilles pièces de PC dans votre placard, ou si vous êtes prêt à dépenser un peu d’argent pour un PC de petite taille comme un NUC d’Intel, vous pouvez construire un routeur qui surpasse tout ce que vous avez pu acheter dans le commerce.
Tout ce dont vous avez besoin, c’est d’un matériel modeste et d’un logiciel de routage open source appelé pfSense. Cela peut sembler intimidant, mais c’est en fait très facile à installer et plus facile à dépanner que n’importe quel routeur acheté dans le commerce que j’ai jamais possédé.
L’abandon du routeur sans fil merdique de votre fournisseur d’accès à internet vous rendra plus heureux. Mais construire son propre super routeur est un véritable bonheur.
Pourquoi j’ai construit mon propre routeur
Il y a quelques mois, je suis passé à une connexion gigabit par fibre optique et, au début, j’ai eu l’impression de m’approcher des vitesses gigabit. Mais les problèmes ont commencé à s’accumuler.
Même via Ethernet, le téléchargement de jeux à partir de Steam n’était pas aussi rapide que ce que je savais que les serveurs de Steam pouvaient supporter. Pire encore, pour une raison quelconque, le téléchargement d’un jeu, même à 100-200 mbps, bloquait souvent l’ensemble du réseau domestique.
Que signifie exactement construire son propre routeur ?
Lorsque nous parlons de routeurs, nous parlons presque toujours de routeurs wi-fi. Il s’agit essentiellement d’ordinateurs de faible puissance conçus pour faire une seule chose : contrôler le trafic réseau. Ils sont dotés d’antennes qui diffusent vos données sur les fréquences 2,4 GHz et 5 GHz.
Mais le wi-fi est en fait une fonctionnalité supplémentaire. L’élément essentiel ici est le routage.
Je n’ai pas vraiment construit un routeur Wi-Fi. J’ai construit un PC capable de mieux diriger le trafic sur mon réseau et j’ai transformé mon ancien routeur wi-fi en point d’accès, en lui retirant toutes ses responsabilités, à l’exception de la transmission d’informations aux appareils sans fil.
Votre routeur est en quelque sorte un agent de la circulation au milieu d’un carrefour qui se divise en un millier de routes différentes, et il doit savoir instantanément quel trafic doit aller où, et il doit faire ce travail sans jamais ralentir ni s’embrouiller, pour toujours.
La grande différence entre les routeurs réside dans le processeur qui se trouve en son cœur
Mon routeur wi-fi Netgear R8000 à 250 €, fabriqué en 2019, est équipé d’un processeur double cœur de 1 GHz. Mon nouveau routeur est équipé d’un processeur beaucoup plus puissant, un Intel i5-6500 à quatre cœurs cadencé à 3,2 GHz. C’est absolument exagéré, mais c’est ce que je voulais.
Construire un super routeur
Après m’être renseigné sur pfSense, je me suis rendu compte qu’il semblait assez facile à installer et que le PC mini-ITX dont je disposais pouvait être bien plus puissant que mon routeur actuel.
Remplacer mon routeur wi-fi me permettrait également de le repositionner comme point d’accès dans un endroit plus central de ma maison, loin du modem et du commutateur réseau qui sont coincés dans un coin du garage (là où la ligne téléphonique entre dans la maison). À l’avenir, je pourrai même me débarrasser de ce routeur wi-fi et créer mon propre réseau wi-fi maillé avec des points d’accès sans fil d’une société comme Ubiquiti.
Dans le PC mini-ITX que j’ai récemment construit, j’ai échangé quelques pièces. J’ai trouvé un processeur et une carte mère i5-6500 inutilisés et je les ai installés, ainsi que 16 Go de RAM DDR4 (2 à 4 fois plus que ce dont j’ai réellement besoin, oups) et un SSD de 256 Go (environ 250 Go de plus que ce dont j’ai réellement besoin, oups).
Je reprendrai certainement une de ces barrettes de RAM plus tard.
Ensuite, j’ai ajouté le composant clé : une carte réseau Intel à 4 ports dans le slot PCIe, parce qu’il faut au moins deux ports réseau :
- Un pour la connexion internet entrant dans le routeur,
- et un pour alimenter votre réseau local, ou LAN.
Sur la recommandation d’utilisateurs de pfSense, j’ai acheté une carte d’entreprise d’occasion sur Ebay, pour 20 $.
J’ai installé le programme d’installation de pfSense sur une clé USB avec Rufus, un outil gratuit essentiel. L’installation s’est déroulée sans problème, même si j’ai passé cinq minutes à me demander comment formater correctement le disque SSD (si vous utilisez un disque propre, sans Windows ni partitions, vous n’aurez probablement pas ce problème). L’interface rend cette partie de l’installation très facile.
Enfin, il y a la partie qui semble un peu effrayante, mais qui ne l’est pas vraiment. Il s’agit simplement de vous demander d’identifier quels ports de votre carte sont utilisés pour quels câbles. Il vous suffit d’appuyer sur « a » pour automatique avec les câbles débranchés, puis de brancher le câble qu’il vous demande, et il fera le reste.
L’interface du navigateur
C’est tout ce que vous avez à faire sur la ligne de commande. À partir de là, vous pouvez utiliser l’interface du navigateur, qui est une version suralimentée des interfaces de routeur que vous avez probablement déjà utilisées.
- Elle est beaucoup plus riche en fonctionnalités,
- vous permet d’installer des tonnes de plugins,
- de consulter des journaux et des graphiques très détaillés de votre consommation de données,
- et tout cela est bien plus rapide que l’interface léthargique d’un routeur.
J’ai fait quelques erreurs de débutant lors de cette installation qui m’ont ralenti, mais qui n’ont pas pris trop de temps à résoudre :
- J’ai d’abord essayé de me connecter à l’interface du navigateur en branchant mon ordinateur portable sur l’un des ports supplémentaires (les deux qui ne sont pas affectés au WAN ou au LAN). C’était stupide, car aucun trafic n’était dirigé vers ces ports.
- J’ai laissé pfSense utiliser son adresse de passerelle par défaut, 192.168.1.1, puis j’ai branché mon modem avant de le configurer, qui utilise également 192.168.1.X. Je pense que cela a perturbé toute la configuration et je n’étais pas sûr de savoir comment y remédier. Après quelques bricolages infructueux, j’ai débranché le modem, redémarré le routeur pfSense, et j’ai pu me connecter à l’interface web et le configurer avec une adresse différente (j’aime bien 10.0.0.1). Après cela, je n’ai eu aucun problème.
Si ces deux choses vous semblent difficiles à résoudre, cela ne devrait pas vous décourager d’essayer pfSense ! En effet, les ressources permettant de résoudre les petits problèmes de ce type sont abondantes. pfSense compte de nombreux utilisateurs dévoués, dont beaucoup connaissent et s’intéressent de près à la technologie des réseaux. Si vous avez un problème, vous pouvez chercher une réponse sur Google.
Tous les membres de la communauté utilisent le même logiciel, ce qui est très utile. Je dirais que pfSense est en fait plus facile à dépanner qu’un routeur standard, car même deux modèles Netgear auront des différences de firmware, d’interface utilisateur, etc. Essayer de trouver des conseils sur le problème exact de votre modèle sur un forum de support est un enfer que pfSense peut vous aider à éviter.
Si vous avez de vieilles pièces de PC, même si elles datent de 2015, envisagez de les transformer en routeur. Si vous voulez quelque chose de plus compact, les Z-Box de Zotac sont un choix populaire, bien que certains utilisateurs de pfSense avertissent que les adaptateurs réseau Realtek dans les Z-Box ne peuvent pas gérer de lourdes charges de routage, et qu’ils ne sont donc pas idéaux pour les connexions gigabit. Les adaptateurs réseau d’Intel sont préférables.
Et les résultats ?
Je suis très heureux. J’utilise maintenant presque entièrement ma connexion gigabit par fibre optique. La vitesse semble fluctuer un peu en fonction de l’heure de la journée, mais alors qu’auparavant je n’arrivais pas à dépasser 650 Mbps, je dépasse maintenant régulièrement les 900 Mbps.
Les gros téléchargements de Steam sont désormais beaucoup plus rapides et n’affectent pas les autres ordinateurs du réseau. Il est solide comme un roc, et la plupart du temps, il ne dépasse même pas les 10 % d’utilisation du processeur.
Je commence à peine à jouer avec les capacités plus avancées de pfSense. J’ai installé des plugins pfBlockerNG pour bloquer les publicités invasives et les pop-ups, et un autre appelé Traffic Totals qui crée des graphiques amusants de mon utilisation d’internet.
PfSense permet certaines fonctionnalités vraiment avancées, comme l’exécution de votre propre VPN, qui sont beaucoup plus gourmandes en CPU et en RAM. Mais j’ai encore de la marge.
⇒ Un VPN, ou réseau privé virtuel, chiffre tout le trafic internet d’un appareil et l’achemine ensuite par un serveur intermédiaire situé à l’endroit choisi par l’utilisateur.
Le résultat final est que l’adresse IP de l’appareil est masquée et que des tiers (y compris les fournisseurs d’accès) ne peuvent pas surveiller le trafic. Personnellement j’utilise NordVPN parce qu’il est no-log (sans enregistrer aucun historique).
⇒ Lien vers le VPN
Comment utiliser pfSense avec NordVPN ?
PfSense est un système d’exploitation open source qui peut être utilisé comme un routeur ou un logiciel pare-feu. pfSense peut également être utilisé pour créer une connexion VPN.
Configuration de pfSense 2.5 avec NordVPN
Avec la mise à jour 2.5.0, les routeurs pfSense ont maintenant un client VPN WireGuard intégré. Actuellement, il est impossible de configurer le protocole NordLynx sur les routeurs pfSense en utilisant le client WireGuard, car le protocole NordLynx n’est disponible qu’avec l’application NordVPN sur les ordinateurs de bureau et les appareils mobiles pour le moment.
Protégez vos données et libérez tout le potentiel d'internet
🌐 Découvrez la liberté en ligne : Avec notre application VPN, changez votre adresse IP et accédez aux contenus bloqués ou géo-restreints partout dans le monde. Netflix US, chaînes TV étrangères, sites spécifiques… rien ne vous résistera !
🔒 Sécurisez votre navigation : Protégez vos données sensibles grâce à un cryptage avancé. Dites adieu aux malwares et aux risques de piratage, que ce soit chez vous ou sur un Wi-Fi public.
📈 Essayez dès maintenant notre VPN et rejoignez des millions d'utilisateurs satisfaits. Ne laissez pas votre vie privée sans défense !
🔑 Gérez vos mots de passe comme un pro : Avec notre gestionnaire de mots de passe, dites adieu aux oublis et créez des mots de passe ultra-sécurisés. Plus besoin de vous inquiéter des failles de sécurité.
1. Pour configurer OpenVPN sur pfSense 2.5.0, accédez à votre pfSense à partir de votre navigateur, puis naviguez vers Système > Gestionnaire de certificats > Autorités de certification. Sélectionnez +Ajouter.
2. Pour ce tutoriel, nous allons configurer notre pfSense pour qu’il se connecte à un serveur aux Pays-Bas, mais vous devriez vous connecter à un serveur qui vous est suggéré à l’adresse https://nordvpn.com/servers/tools/. Cet outil choisit automatiquement un serveur pour vous, en fonction de sa proximité et de la charge de travail actuelle.
Remplissez les champs comme suit :
- Nom descriptif : vous pouvez utiliser le nom de votre choix (exemple : NordVPN_CA)
- Méthode : Importer une autorité de certification existante
- Trust Store : Décocher
- Randomize Serial : Décocher
Données du certificat :
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
Ne modifiez rien d’autre. Appuyez sur Enregistrer.
3. Naviguez vers VPN > OpenVPN > Clients et appuyez sur +Ajouter.
4. Remplissez les champs comme suit :
- Désactiver ce client : Désactiver ce client : Décocher
- Mode serveur : Peer to Peer (SSL/TLS)
- Protocole : UDP sur IPv4 uniquement (vous pouvez également utiliser TCP)
- Mode périphérique : tun – Mode tunnel de couche 3
- Interface : WAN
- Local port : Ne rien indiquer
- Server host or address : le nom d’hôte du serveur qui vous est recommandé (dans notre cas, il s’agit de855.nordvpn.com) ;
- Port du serveur : 1194 (utilisez 443 si vous utilisez TCP)
- Hôte ou adresse du proxy : Laisser en blanc
- Port du proxy : Laisser en blanc
- Authentification du proxy : aucune
- Description : N’importe quel nom.
PARAMÈTRES D’AUTHENTIFICATION DE L’UTILISATEUR
- Nom d’utilisateur : Votre nom d’utilisateur du service NordVPN.
- Mot de passe : Le mot de passe de votre service NordVPN.
- Authentification Retry : ne pas cocher.
Vous pouvez trouver les informations d’identification de votre service NordVPN dans le tableau de bord du compte Nord. Copiez les informations d’identification en utilisant les boutons « Copy » sur la droite.
PARAMÈTRES CRYPTOGRAPHIQUES
- Configuration TLS : Utiliser une clé TLS – Cocher ;
- Générer automatiquement une clé TLS – Décocher
Clé TLS :
-----BEGIN OpenVPN Static key V1-----
e685bdaf659a25a200e2b9e39e51ff03
0fc72cf1ce07232bd8b2be5e6c670143
f51e937e670eee09d4f2ea5a6e4e6996
5db852c275351b86fc4ca892d78ae002
d6f70d029bd79c4d1c26cf14e9588033
cf639f8a74809f29f72b9d58f9b8f5fe
fc7938eade40e9fed6cb92184abb2cc1
0eb1a296df243b251df0643d53724cdb
5a92a1d6cb817804c4a9319b57d53be5
80815bcfcb2df55018cc83fc43bc7ff8
2d51f9b88364776ee9d12fc85cc7ea5b
9741c4f598c485316db066d52db4540e
212e1518a9bd4828219e24b20d88f598
a196c9de96012090e333519ae18d3509
9427e7b372d348d352dc4c85e18cd4b9
3f8a56ddb2e64eb67adfc9b337157ff4
-----END OpenVPN Static key V1-----
- Mode d’utilisation de la clé TLS : Authentification TLS
- Direction de la clé TLS : Utiliser la direction par défaut
- Autorité de certification de l’homologue : NordVPN_CA
- Liste de révocation du certificat de l’homologue : Ne pas définir
- Certificat client : webConfigurator default (59f92214095d8) (Serveur : Oui, en cours d’utilisation) (notez que les numéros sur votre machine peuvent être différents)
- Négociation du chiffrement des données : Vérifier
- Algorithmes de chiffrement des données : AES-256-GCM et AES-256-CBC
- Algorithme de chiffrement des données de repli : AES-256-CBC
- Algorithme de résumé d’authentification : SHA512 (512 bits)
- Cryptage matériel : Pas d’accélération cryptographique matérielle
PARAMÈTRES DU TUNNEL
- Réseau du tunnel IPv4 : Laisser vide
- Réseau de tunnel IPv6 : Laisser en blanc
- Réseau(x) distant(s) IPv4 : Laisser en blanc
- Réseau(x) distant(s) IPv6 : Laisser en blanc
- Limiter la bande passante sortante : Laisser vide
- Autoriser la compression : Refuser toute compression non stub (le plus sûr)
- Topologie : Sous-réseau – Une adresse IP par client dans un sous-réseau commun
- Type de service : Décocher
- Ne pas tirer d’itinéraires : Non coché
- Ne pas ajouter/supprimer de routes : Vérifier
CONFIGURATION AVANCÉE
Options personnalisées
tls-client ;
remote-random ;
tun-mtu 1500 ;
tun-mtu-extra 32 ;
mssfix 1450 ;
persist-key ;
persist-tun ;
reneg-sec 0 ;
remote-cert-tls server ;
- UDP FAST I/O : Décocher
- Notification de sortie : Désactivé
- Tampon d’envoi/réception : Défaut
- Création de passerelle : IPv4 uniquement
- Niveau de verbosité : 3 (recommandé)
5. Naviguer vers Interfaces > Interface Assignments et Ajouter l’interface NordVPN.
6. Appuyez sur l’OPT1 à gauche de l’interface assignée et remplissez les informations suivantes :
- Enable (Activer) : Cocher
- Description : NordVPN
- Mac Address : Laisser vide
- MTU : Laisser vide
- MSS : Laisser vide
Ne modifiez rien d’autre. Faites défiler jusqu’en bas et appuyez sur Enregistrer.
7. Naviguez vers Services -> Résolveur DNS -> Paramètres généraux
- Activer : Cocher
- Listen port : Laisser tel quel
- Activer le service SSL/TLS : Décocher
- Certificat SSL/TLS : webConfigurator default (59f92214095d8) (Serveur : Oui, En cours d’utilisation) (notez que les numéros sur votre machine peuvent être différents) ;
- Port d’écoute SSL/TLS : Laisser tel quel
- Interfaces réseau : Toutes
- Interfaces réseau sortantes : NordVPN
- Domaines du système Type de zone locale : Transparent
- DNSSEC : Non vérifié
- Module Python : Non vérifié
- Transfert de requête DNS : Activer le mode de transfert – Cocher ; Utiliser SSL/TLS pour les requêtes DNS sortantes vers les serveurs de transfert – Décocher
- Enregistrement DHCP : Vérifier
- DHCP statique : Vérifier
- Clients OpenVPN : Décocher
Cliquez sur Enregistrer.
8. Dans DNS Resolver, sélectionnez Advanced Settings (Paramètres avancés) en haut et remplissez les champs suivants.
OPTIONS DE CONFIDENTIALITÉ AVANCÉES
- Cacher l’identité : Cochez
- Cacher la version : Vérifier
- Minimisation du nom de la requête : Non vérifié
- Minimisation stricte du nom de la requête : Décocher
OPTIONS AVANCÉES DU RÉSOLVEUR
- Prefetch Support : Vérifier
- Prise en charge de la clé DNS Prefetch : Vérifier
- Durcissement des données DNSSEC : Décocher
Ne modifiez rien d’autre. Faites défiler jusqu’en bas et appuyez sur Enregistrer.
9. Naviguez vers Firewall > NAT > Outbound et sélectionnez Manual Outbound NAT rule generation. Appuyez sur Enregistrer. Six règles apparaissent. Supprimez toutes les règles IPv6 et ajoutez-en une nouvelle.
- 9.1. Interface : NordVPN.
- 9.2. Famille d’adresse : IPv4
- 9.3. Source : votre sous-réseau LAN, par exemple 192.168.2.0/24.
- 9.4. Cliquez sur Enregistrer. À la fin, cela devrait ressembler à ceci :
Veuillez noter que la règle NAT nouvellement créée doit être en haut.
10. Naviguez vers Firewall > Rules > LAN et supprimez la règle IPv6. Modifiez également la règle IPv4.
- 10.1. Appuyez sur Afficher Avancé
- 10.2. Changer la passerelle pour NordVPN
- 10.3. Cliquez sur Enregistrer.
L’écran devrait maintenant ressembler à ceci :
11. Allez dans Système > Configuration générale et remplissez les champs comme suit :
- Serveur DNS 1 : 103.86.96.100 ; aucun
- Serveur DNS 2 : 103.86.99.100 ; NordVPN_VPNV4 – opt1 – …
Laissez tout le reste tel quel. Cliquez sur Enregistrer.
12. Naviguez maintenant vers Status > OpenVPN. Le statut devrait indiquer que le service est « up ».
13. Vous pouvez également vérifier le fichier journal de connexion sous Status > System Logs > OpenVPN :
L’installation du VPN pfsense est terminée, et vous devriez maintenant disposer d’une connexion VPN. Si l’IP ne change pas après la configuration du VPN, essayez de redémarrer le routeur pfSense et vérifiez l’IP à ce moment-là.
Après avoir suivi l’un de ces tutoriels, vous aurez une connexion VPN pfSense sécurisée.
OpenVPN sur pfSense est-il gratuit ?
Puisque pfSense est un système open source, le configurer avec OpenVPN ne coûte rien de plus, tout ce dont vous avez besoin est d’avoir un abonnement NordVPN actif.
Conclusion
En prenant totalement le contrôle de votre routeur, vous disposez de plus de possibilités qu’auparavant (il est vrai qu’il y a maintenant des risques de brickage de votre internet). Voici les principales modifications que j’ai apportées à mon installation de pfSense pour protéger mon réseau domestique
- Vous pouvez changer les serveurs DNS par défaut pour ce que vous voulez (comme Pi-Hole)
- Vous pouvez installer des plugins personnalisés
- Exécuter votre propre VPN au lieu de l’exécuter à l’intérieur de votre réseau
- Vous pouvez ajouter des pare-feux personnalisés si nécessaire pour des choses comme la redirection de ports
et bien d’autres choses encore…