syoul/MD-to-Prrint
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Files
6285840eb278bee0c77971f9a607e526306a832e
MD-to-Prrint/documents/PROCHAINES_ETAPES.md

327 lines
9.6 KiB
Markdown
Raw Blame History

# Prochaines Etapes - Deploiement Smart-Motions
**Date** : Decembre 2025
**Statut** : En cours - Phase 2 (Reseau et Securite)
---
## Etat actuel de l'infrastructure
### Ce qui est deploye et operationnel
| Composant | IP | Statut | Notes |
|-----------|-----|--------|-------|
| Proxmox Paris | 192.168.42.231 | OK | Bridges vmbr0-3 configures |
| PAR-FW1 (pfSense) | WAN: 192.168.254.10, LAN: 10.0.0.1, DMZ: 10.0.10.1 | OK | Config initiale terminee |
| PAR-ADMIN1 (Jump Host) | 192.168.42.225 + 10.0.0.151 | OK | Acces SSH operationnel |
### Configuration pfSense terminee
- Hostname et DNS publics (8.8.8.8, 1.1.1.1) - temporaire
- DHCP sur LAN (10.0.0.100-199)
- Regles firewall LAN (Internet, Lyon, DMZ)
- Regles firewall WAN (OpenVPN, NAT vers DMZ)
- Regles firewall DMZ (Internet, Block vers LAN)
- NAT Port Forwards (FTP, HTTP, HTTPS vers DMZ)
- CA "SmartMotions-CA" cree manuellement
---
## Prochaines etapes par priorite
### ETAPE 0 : Configuration DNS OVH + Cloudflare (OPTIONNEL MAIS RECOMMANDE)
**Objectif** : Deleguer le DNS vers Cloudflare pendant que la propagation se fait (24-48h)
**Pourquoi maintenant ?**
- La propagation prend du temps, autant la lancer tot
- Permet de tester le VPN avec un nom de domaine (`vpn.smartmotion.ovh`)
- Aucune dependance avec les autres etapes
#### 0.1 Creer un compte Cloudflare
1. Aller sur [dash.cloudflare.com](https://dash.cloudflare.com)
2. Creer un compte (plan Free)
3. Ajouter le site `smartmotion.ovh`
4. Noter les nameservers Cloudflare (ex: `alex.ns.cloudflare.com`, `vera.ns.cloudflare.com`)
#### 0.2 Modifier les DNS chez OVH
1. Aller sur [manager.ovh.com](https://www.ovh.com/manager/)
2. Web Cloud > Noms de domaine > `smartmotion.ovh` > Serveurs DNS
3. Remplacer les serveurs OVH par les serveurs Cloudflare
4. Sauvegarder
#### 0.3 Creer les enregistrements de base dans Cloudflare
| Type | Name | Content | Proxy |
|------|------|---------|-------|
| A | @ | 45.80.22.46 | ON |
| A | www | 45.80.22.46 | ON |
| A | vpn | 45.80.22.46 | OFF |
**Duree** : 1-2h de configuration + 24-48h de propagation
**Documentation complete** : `docs/services/DNS_OVH_CLOUDFLARE_SETUP.md`
---
### ETAPE 1 : VPN Site-to-Site Paris-Lyon (Prerequis pour Lyon)
**Objectif** : Etablir la connectivite entre les deux sites avant de deployer quoi que ce soit a Lyon.
#### 1.1 Creer le certificat serveur OpenVPN (sur PAR-FW1)
1. Aller dans **System > Cert Manager > Certificates**
2. Cliquer **+ Add/Sign**
3. Remplir :
- **Method** : Create an internal Certificate
- **Descriptive Name** : `PAR-FW1-OpenVPN-Server`
- **Certificate Authority** : SmartMotions-CA
- **Certificate Type** : Server Certificate
- **Key Length** : 2048
- **Common Name** : `par-fw1.smartmotion.ovh`
- **Alternative Names** : `192.168.254.10`
4. **Save**
#### 1.2 Configurer le serveur OpenVPN (sur PAR-FW1)
1. Aller dans **VPN > OpenVPN > Servers**
2. Cliquer **+ Add**
3. Configuration :
- **Server mode** : Peer to Peer (SSL/TLS)
- **Protocol** : UDP on IPv4 only
- **Device mode** : tun
- **Interface** : WAN
- **Local port** : 1194
- **TLS Configuration** : Activer, generer une cle TLS
- **Peer Certificate Authority** : SmartMotions-CA
- **Server Certificate** : PAR-FW1-OpenVPN-Server
- **Encryption Algorithm** : AES-256-GCM
- **IPv4 Tunnel Network** : `10.10.0.0/30` (petit reseau pour P2P)
- **IPv4 Remote Network(s)** : `10.1.0.0/24` (LAN Lyon)
- **Compression** : Omit
4. **Save**
#### 1.3 Exporter la configuration pour Lyon
1. Aller dans **System > Cert Manager > CAs**
2. Exporter le CA (icone export) - sauvegarder le fichier
3. Creer un certificat client pour LYO-FW1 :
- **System > Cert Manager > Certificates > Add**
- **Descriptive Name** : `LYO-FW1-OpenVPN-Client`
- **Certificate Type** : User Certificate
4. Noter la cle TLS partagee
---
### ETAPE 2 : Deployer Lyon (LYO-FW1)
**Prerequis** : VPN configure cote Paris
#### 2.1 Deployer la VM LYO-FW1 avec Terraform
```bash
cd "/home/syoul/IPSSI SMARTMOTION/terraform/environments/lyon"
tofu init
tofu plan
tofu apply
```
#### 2.2 Configuration manuelle initiale LYO-FW1
Via la console Proxmox :
1. Assigner les interfaces :
- vtnet0 = WAN (192.168.254.11/24, GW: 192.168.254.254)
- vtnet1 = LAN (10.1.0.1/24)
2. Activer SSH
3. Changer le mot de passe admin
#### 2.3 Configurer le client OpenVPN (sur LYO-FW1)
1. Importer le CA SmartMotions-CA
2. Importer le certificat LYO-FW1-OpenVPN-Client
3. Configurer le client OpenVPN vers 192.168.254.10:1194
4. Verifier la connectivite : `ping 10.0.0.1` depuis LYO-FW1
---
### ETAPE 3 : Deployer les Domain Controllers Paris
**Prerequis** : pfSense Paris operationnel
#### 3.1 Deployer PAR-DC1 (10.0.0.11)
```bash
# Ajouter au main.tf de Paris si pas deja fait
cd "/home/syoul/IPSSI SMARTMOTION/terraform/environments/paris"
tofu plan
tofu apply
```
Configuration Windows Server :
1. IP statique : 10.0.0.11/24, GW: 10.0.0.1, DNS: 127.0.0.1
2. Installer le role AD DS
3. Promouvoir en DC : nouvelle foret `smartmotion.ovh`
4. Configurer DNS integre
#### 3.2 Deployer PAR-DC2 (10.0.0.12)
1. IP statique : 10.0.0.12/24, GW: 10.0.0.1, DNS: 10.0.0.11
2. Joindre le domaine `smartmotion.ovh`
3. Promouvoir en DC additionnel
#### 3.3 Mettre a jour DNS pfSense
Une fois les DC operationnels :
```bash
cd "/home/syoul/IPSSI SMARTMOTION/ansible"
ansible-playbook -i inventories/paris.yml playbooks/04b-configure-pfsense-paris-dns.yml
```
---
### ETAPE 4 : Deployer le serveur DMZ (PAR-FTP1)
**Prerequis** : pfSense et NAT configures
#### 4.1 Deployer PAR-FTP1 (10.0.10.70)
```bash
cd "/home/syoul/IPSSI SMARTMOTION/terraform/environments/paris"
tofu plan
tofu apply
```
#### 4.2 Configurer le serveur
1. IP statique : 10.0.10.70/24, GW: 10.0.10.1, DNS: 8.8.8.8
2. Installer vsftpd (FTP)
3. Installer Apache/Nginx (Extranet)
4. Tester l'acces depuis Internet via NAT
---
## Ordre de deploiement recommande
```
Phase actuelle : Phase 2 (Reseau) - EN COURS
|
v
+--------------------------------------------------+
| ETAPE 1 : VPN Site-to-Site |
| - Certificat serveur OpenVPN |
| - Serveur OpenVPN sur PAR-FW1 |
| Duree estimee : 1-2 heures |
+--------------------------------------------------+
|
v
+--------------------------------------------------+
| ETAPE 2 : Deploiement Lyon |
| - Terraform LYO-FW1 |
| - Config manuelle + Client OpenVPN |
| - Test connectivite VPN |
| Duree estimee : 2-3 heures |
+--------------------------------------------------+
|
v
+--------------------------------------------------+
| ETAPE 3 : Domain Controllers Paris |
| - PAR-DC1 (DC primaire, DNS, DHCP) |
| - PAR-DC2 (DC secondaire) |
| - Mise a jour DNS pfSense |
| Duree estimee : 1 jour |
+--------------------------------------------------+
|
v
+--------------------------------------------------+
| ETAPE 4 : Serveur DMZ |
| - PAR-FTP1 (FTP + Extranet) |
| - Tests NAT depuis Internet |
| Duree estimee : 2-3 heures |
+--------------------------------------------------+
|
v
+--------------------------------------------------+
| ETAPE 5 : RODC Lyon (apres VPN + DC) |
| - LYO-RODC1 (RODC + DNS cache + DHCP) |
| Duree estimee : 3-4 heures |
+--------------------------------------------------+
|
v
[Suite Phase 4 : Services Windows]
```
---
## Commandes utiles
### Acces SSH aux VMs
```bash
# Via le jump host PAR-ADMIN1
ssh -J debian@192.168.42.225 admin@10.0.0.1 # pfSense Paris
ssh -J debian@192.168.42.225 debian@10.0.10.70 # PAR-FTP1 (DMZ)
```
### Terraform
```bash
cd "/home/syoul/IPSSI SMARTMOTION/terraform/environments/paris"
tofu plan # Voir les changements
tofu apply # Appliquer
tofu destroy # Supprimer (attention!)
```
### Ansible
```bash
cd "/home/syoul/IPSSI SMARTMOTION/ansible"
# Installer les collections
ansible-galaxy collection install -r requirements.yml -p ./collections
# Lancer un playbook
ansible-playbook -i inventories/paris.yml playbooks/04a-configure-pfsense-paris-initial.yml
# Tester la connectivite
ansible -i inventories/paris.yml paris_firewalls -m ping
```
---
## Points d'attention
### VPN Site-to-Site
- Le tunnel doit etre etabli AVANT de deployer quoi que ce soit a Lyon
- Les routes doivent etre configurees des deux cotes
- Tester avec un ping avant de continuer
### Domain Controllers
- PAR-DC1 doit etre operationnel avant PAR-DC2
- Attendre la replication AD avant de deployer le RODC
- Ne pas oublier de mettre a jour les DNS sur pfSense
### DMZ
- Le serveur DMZ ne doit PAS avoir acces au LAN
- Tester le blocage : depuis PAR-FTP1, `ping 10.0.0.11` doit echouer
- Tester le NAT depuis une IP externe
---
## Ressources
- Architecture : `docs/architecture/architecture.md`
- Plan complet : `docs/deployment/PLAN_DEPLOIEMENT_ORDRE.md`
- Config pfSense : `docs/pfsense/PFSENSE_SETUP.md`
- Config VPN : `docs/services/VPN_CLIENT_RADIUS.md`
- DMZ : `docs/services/DMZ_FTP_EXTRANET.md`
- **DNS OVH + Cloudflare** : `docs/services/DNS_OVH_CLOUDFLARE_SETUP.md`
- **NAT Freebox + OpenWRT** : `docs/network/NAT_FREEBOX_OPENWRT.md`
---
*Document cree le : Decembre 2025*
*Derniere mise a jour : 13 Decembre 2025*
Reference in New Issue View Git Blame Copy Permalink