Cet article explique comment connecter et configurer un PFsense à une BBox qui refuse le mode « bridge ».

L’idéal, lorsque l’on met en place un couple BBox/PFsense, est de passer la BBox en mode « bridge » et de laisser PFsense s’occuper de la connexion PPPoE. La BBox fait alors uniquement office de « bête modem », tout en gardant ses capacités de services VoIP et Belgacom TV (puisqu’ils passent par des VC différents).
Le mode « bridge » de la BBox est bien connu et peut être facilement activé via la manipulation suivante:

1. Advanced settings > Network Interfaces > WAN PPPoE > Disable > OK
2. Settings > Underlying Connections > select « LAN Bridge »

Mais il peut arriver que pour des raisons inconnues, une connexion PPPoE derrière une BBox bridgée parvienne à se connecter mais sans recevoir d’adresse IP publique. Dans ce genre de cas, il faut soit changer de modem, soit déployer une solution alternative, qui sera détaillée dans cet article.

Design

Configurer la BBox

Etapes:

• Configurer la BBox en mode normal
• Créer les routes vers les LANs internes
• Créer les redirections de ports vers les machines situées sur les LANs internes

Si votre BBox était précédemment en mode bridge, faites un reset de ses paramètres et reconfigurez ses paramètres de base (adresse IP, DHCP, wifi, etc.). Personnellement, je vous conseille de désactiver le DHCP et le Wifi qui n’ont pas d’utilité sur le LAN intermédiaire.

Pour créer les routes, vous devez aller dans le menu Advanced Settings > Route > Routing et y ajouter les entrées correspondantes (avec leur gateway bien sûr):

 

Votre BBox connaît maintenant vos LANs internes!

Il ne nous reste plus qu’à configurer les redirections de ports (ou port forwarding). Ca se passe dans le menu Advanced Settings > LAN servers :

 

Configurer PFsense comme routeur

Etapes:

• Désactiver le NAT (activé par défaut)
• Indiquer le gateway sur l’interface WAN
• Configurer les rules au niveau du firewall

Dans notre cas, PFsense doit se comporter comme un gateway/firewall sans faire de NAT (puisque le NAT est fait par le modem). Il faut donc désactiver le NAT en allant dans le menu  Firewall > NAT > Outbound, le configurer en manual et ajouter les mappings vers les LANs internes:

 

Et il ne faut pas oublier d’indiquer le gateway correspondant au modem sur l’interface qui y est connectée. Vous pouvez l’indiquer dans le menu Interfaces > WAN > IPv4 Upstream Gateway:

 

Il ne reste plus qu’à configurer les rules au niveau du firewall et paramètrer les interfaces des LANs internes. N’oubliez pas que les firewall rules ont 2 principes: « block by default » et « apply rule for incoming traffic ».