# Prochaines Etapes - Deploiement Smart-Motions

**Date** : Decembre 2025  
**Statut** : En cours - Phase 2 (Reseau et Securite)

---

## Etat actuel de l'infrastructure

### Ce qui est deploye et operationnel

| Composant | IP | Statut | Notes |
|-----------|-----|--------|-------|
| Proxmox Paris | 192.168.42.231 | OK | Bridges vmbr0-3 configures |
| PAR-FW1 (pfSense) | WAN: 192.168.254.10, LAN: 10.0.0.1, DMZ: 10.0.10.1 | OK | Config initiale terminee |
| PAR-ADMIN1 (Jump Host) | 192.168.42.225 + 10.0.0.151 | OK | Acces SSH operationnel |

### Configuration pfSense terminee

- Hostname et DNS publics (8.8.8.8, 1.1.1.1) - temporaire
- DHCP sur LAN (10.0.0.100-199)
- Regles firewall LAN (Internet, Lyon, DMZ)
- Regles firewall WAN (OpenVPN, NAT vers DMZ)
- Regles firewall DMZ (Internet, Block vers LAN)
- NAT Port Forwards (FTP, HTTP, HTTPS vers DMZ)
- CA "SmartMotions-CA" cree manuellement

---

## Prochaines etapes par priorite

### ETAPE 0 : Configuration DNS OVH + Cloudflare (OPTIONNEL MAIS RECOMMANDE)

**Objectif** : Deleguer le DNS vers Cloudflare pendant que la propagation se fait (24-48h)

**Pourquoi maintenant ?**
- La propagation prend du temps, autant la lancer tot
- Permet de tester le VPN avec un nom de domaine (`vpn.smartmotion.ovh`)
- Aucune dependance avec les autres etapes

#### 0.1 Creer un compte Cloudflare

1. Aller sur [dash.cloudflare.com](https://dash.cloudflare.com)
2. Creer un compte (plan Free)
3. Ajouter le site `smartmotion.ovh`
4. Noter les nameservers Cloudflare (ex: `alex.ns.cloudflare.com`, `vera.ns.cloudflare.com`)

#### 0.2 Modifier les DNS chez OVH

1. Aller sur [manager.ovh.com](https://www.ovh.com/manager/)
2. Web Cloud > Noms de domaine > `smartmotion.ovh` > Serveurs DNS
3. Remplacer les serveurs OVH par les serveurs Cloudflare
4. Sauvegarder

#### 0.3 Creer les enregistrements de base dans Cloudflare

| Type | Name | Content | Proxy |
|------|------|---------|-------|
| A | @ | 45.80.22.46 | ON |
| A | www | 45.80.22.46 | ON |
| A | vpn | 45.80.22.46 | OFF |

**Duree** : 1-2h de configuration + 24-48h de propagation

**Documentation complete** : `docs/services/DNS_OVH_CLOUDFLARE_SETUP.md`

---

### ETAPE 1 : VPN Site-to-Site Paris-Lyon (Prerequis pour Lyon)

**Objectif** : Etablir la connectivite entre les deux sites avant de deployer quoi que ce soit a Lyon.

#### 1.1 Creer le certificat serveur OpenVPN (sur PAR-FW1)

1. Aller dans **System > Cert Manager > Certificates**
2. Cliquer **+ Add/Sign**
3. Remplir :
   - **Method** : Create an internal Certificate
   - **Descriptive Name** : `PAR-FW1-OpenVPN-Server`
   - **Certificate Authority** : SmartMotions-CA
   - **Certificate Type** : Server Certificate
   - **Key Length** : 2048
   - **Common Name** : `par-fw1.smartmotion.ovh`
   - **Alternative Names** : `192.168.254.10`
4. **Save**

#### 1.2 Configurer le serveur OpenVPN (sur PAR-FW1)

1. Aller dans **VPN > OpenVPN > Servers**
2. Cliquer **+ Add**
3. Configuration :
   - **Server mode** : Peer to Peer (SSL/TLS)
   - **Protocol** : UDP on IPv4 only
   - **Device mode** : tun
   - **Interface** : WAN
   - **Local port** : 1194
   - **TLS Configuration** : Activer, generer une cle TLS
   - **Peer Certificate Authority** : SmartMotions-CA
   - **Server Certificate** : PAR-FW1-OpenVPN-Server
   - **Encryption Algorithm** : AES-256-GCM
   - **IPv4 Tunnel Network** : `10.10.0.0/30` (petit reseau pour P2P)
   - **IPv4 Remote Network(s)** : `10.1.0.0/24` (LAN Lyon)
   - **Compression** : Omit
4. **Save**

#### 1.3 Exporter la configuration pour Lyon

1. Aller dans **System > Cert Manager > CAs**
2. Exporter le CA (icone export) - sauvegarder le fichier
3. Creer un certificat client pour LYO-FW1 :
   - **System > Cert Manager > Certificates > Add**
   - **Descriptive Name** : `LYO-FW1-OpenVPN-Client`
   - **Certificate Type** : User Certificate
4. Noter la cle TLS partagee

---

### ETAPE 2 : Deployer Lyon (LYO-FW1)

**Prerequis** : VPN configure cote Paris

#### 2.1 Deployer la VM LYO-FW1 avec Terraform

```bash
cd "/home/syoul/IPSSI SMARTMOTION/terraform/environments/lyon"
tofu init
tofu plan
tofu apply
```

#### 2.2 Configuration manuelle initiale LYO-FW1

Via la console Proxmox :
1. Assigner les interfaces :
   - vtnet0 = WAN (192.168.254.11/24, GW: 192.168.254.254)
   - vtnet1 = LAN (10.1.0.1/24)
2. Activer SSH
3. Changer le mot de passe admin

#### 2.3 Configurer le client OpenVPN (sur LYO-FW1)

1. Importer le CA SmartMotions-CA
2. Importer le certificat LYO-FW1-OpenVPN-Client
3. Configurer le client OpenVPN vers 192.168.254.10:1194
4. Verifier la connectivite : `ping 10.0.0.1` depuis LYO-FW1

---

### ETAPE 3 : Deployer les Domain Controllers Paris

**Prerequis** : pfSense Paris operationnel

#### 3.1 Deployer PAR-DC1 (10.0.0.11)

```bash
# Ajouter au main.tf de Paris si pas deja fait
cd "/home/syoul/IPSSI SMARTMOTION/terraform/environments/paris"
tofu plan
tofu apply
```

Configuration Windows Server :
1. IP statique : 10.0.0.11/24, GW: 10.0.0.1, DNS: 127.0.0.1
2. Installer le role AD DS
3. Promouvoir en DC : nouvelle foret `smartmotion.ovh`
4. Configurer DNS integre

#### 3.2 Deployer PAR-DC2 (10.0.0.12)

1. IP statique : 10.0.0.12/24, GW: 10.0.0.1, DNS: 10.0.0.11
2. Joindre le domaine `smartmotion.ovh`
3. Promouvoir en DC additionnel

#### 3.3 Mettre a jour DNS pfSense

Une fois les DC operationnels :

```bash
cd "/home/syoul/IPSSI SMARTMOTION/ansible"
ansible-playbook -i inventories/paris.yml playbooks/04b-configure-pfsense-paris-dns.yml
```

---

### ETAPE 4 : Deployer le serveur DMZ (PAR-FTP1)

**Prerequis** : pfSense et NAT configures

#### 4.1 Deployer PAR-FTP1 (10.0.10.70)

```bash
cd "/home/syoul/IPSSI SMARTMOTION/terraform/environments/paris"
tofu plan
tofu apply
```

#### 4.2 Configurer le serveur

1. IP statique : 10.0.10.70/24, GW: 10.0.10.1, DNS: 8.8.8.8
2. Installer vsftpd (FTP)
3. Installer Apache/Nginx (Extranet)
4. Tester l'acces depuis Internet via NAT

---

## Ordre de deploiement recommande

```
Phase actuelle : Phase 2 (Reseau) - EN COURS
                      |
                      v
+--------------------------------------------------+
|  ETAPE 1 : VPN Site-to-Site                      |
|  - Certificat serveur OpenVPN                    |
|  - Serveur OpenVPN sur PAR-FW1                   |
|  Duree estimee : 1-2 heures                      |
+--------------------------------------------------+
                      |
                      v
+--------------------------------------------------+
|  ETAPE 2 : Deploiement Lyon                      |
|  - Terraform LYO-FW1                             |
|  - Config manuelle + Client OpenVPN              |
|  - Test connectivite VPN                         |
|  Duree estimee : 2-3 heures                      |
+--------------------------------------------------+
                      |
                      v
+--------------------------------------------------+
|  ETAPE 3 : Domain Controllers Paris              |
|  - PAR-DC1 (DC primaire, DNS, DHCP)              |
|  - PAR-DC2 (DC secondaire)                       |
|  - Mise a jour DNS pfSense                       |
|  Duree estimee : 1 jour                          |
+--------------------------------------------------+
                      |
                      v
+--------------------------------------------------+
|  ETAPE 4 : Serveur DMZ                           |
|  - PAR-FTP1 (FTP + Extranet)                     |
|  - Tests NAT depuis Internet                     |
|  Duree estimee : 2-3 heures                      |
+--------------------------------------------------+
                      |
                      v
+--------------------------------------------------+
|  ETAPE 5 : RODC Lyon (apres VPN + DC)            |
|  - LYO-RODC1 (RODC + DNS cache + DHCP)           |
|  Duree estimee : 3-4 heures                      |
+--------------------------------------------------+
                      |
                      v
        [Suite Phase 4 : Services Windows]
```

---

## Commandes utiles

### Acces SSH aux VMs

```bash
# Via le jump host PAR-ADMIN1
ssh -J debian@192.168.42.225 admin@10.0.0.1      # pfSense Paris
ssh -J debian@192.168.42.225 debian@10.0.10.70   # PAR-FTP1 (DMZ)
```

### Terraform

```bash
cd "/home/syoul/IPSSI SMARTMOTION/terraform/environments/paris"
tofu plan      # Voir les changements
tofu apply     # Appliquer
tofu destroy   # Supprimer (attention!)
```

### Ansible

```bash
cd "/home/syoul/IPSSI SMARTMOTION/ansible"

# Installer les collections
ansible-galaxy collection install -r requirements.yml -p ./collections

# Lancer un playbook
ansible-playbook -i inventories/paris.yml playbooks/04a-configure-pfsense-paris-initial.yml

# Tester la connectivite
ansible -i inventories/paris.yml paris_firewalls -m ping
```

---

## Points d'attention

### VPN Site-to-Site
- Le tunnel doit etre etabli AVANT de deployer quoi que ce soit a Lyon
- Les routes doivent etre configurees des deux cotes
- Tester avec un ping avant de continuer

### Domain Controllers
- PAR-DC1 doit etre operationnel avant PAR-DC2
- Attendre la replication AD avant de deployer le RODC
- Ne pas oublier de mettre a jour les DNS sur pfSense

### DMZ
- Le serveur DMZ ne doit PAS avoir acces au LAN
- Tester le blocage : depuis PAR-FTP1, `ping 10.0.0.11` doit echouer
- Tester le NAT depuis une IP externe

---

## Ressources

- Architecture : `docs/architecture/architecture.md`
- Plan complet : `docs/deployment/PLAN_DEPLOIEMENT_ORDRE.md`
- Config pfSense : `docs/pfsense/PFSENSE_SETUP.md`
- Config VPN : `docs/services/VPN_CLIENT_RADIUS.md`
- DMZ : `docs/services/DMZ_FTP_EXTRANET.md`
- **DNS OVH + Cloudflare** : `docs/services/DNS_OVH_CLOUDFLARE_SETUP.md`
- **NAT Freebox + OpenWRT** : `docs/network/NAT_FREEBOX_OPENWRT.md`

---

*Document cree le : Decembre 2025*  
*Derniere mise a jour : 13 Decembre 2025*