syoul/MD-to-Prrint
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Files
91730ebf42af5ce6d89e6803caecb0d1ed55b073
MD-to-Prrint/documents/PROCHAINES_ETAPES.md

9.6 KiB
Raw Blame History

Prochaines Etapes - Deploiement Smart-Motions

Date : Decembre 2025
Statut : En cours - Phase 2 (Reseau et Securite)

Etat actuel de l'infrastructure

Ce qui est deploye et operationnel

Composant IP Statut Notes
Proxmox Paris 192.168.42.231 OK Bridges vmbr0-3 configures
PAR-FW1 (pfSense) WAN: 192.168.254.10, LAN: 10.0.0.1, DMZ: 10.0.10.1 OK Config initiale terminee
PAR-ADMIN1 (Jump Host) 192.168.42.225 + 10.0.0.151 OK Acces SSH operationnel

Configuration pfSense terminee

  • Hostname et DNS publics (8.8.8.8, 1.1.1.1) - temporaire
  • DHCP sur LAN (10.0.0.100-199)
  • Regles firewall LAN (Internet, Lyon, DMZ)
  • Regles firewall WAN (OpenVPN, NAT vers DMZ)
  • Regles firewall DMZ (Internet, Block vers LAN)
  • NAT Port Forwards (FTP, HTTP, HTTPS vers DMZ)
  • CA "SmartMotions-CA" cree manuellement

Prochaines etapes par priorite

ETAPE 0 : Configuration DNS OVH + Cloudflare (OPTIONNEL MAIS RECOMMANDE)

Objectif : Deleguer le DNS vers Cloudflare pendant que la propagation se fait (24-48h)

Pourquoi maintenant ?

  • La propagation prend du temps, autant la lancer tot
  • Permet de tester le VPN avec un nom de domaine (vpn.smartmotion.ovh)
  • Aucune dependance avec les autres etapes

0.1 Creer un compte Cloudflare

  1. Aller sur dash.cloudflare.com
  2. Creer un compte (plan Free)
  3. Ajouter le site smartmotion.ovh
  4. Noter les nameservers Cloudflare (ex: alex.ns.cloudflare.com, vera.ns.cloudflare.com)

0.2 Modifier les DNS chez OVH

  1. Aller sur manager.ovh.com
  2. Web Cloud > Noms de domaine > smartmotion.ovh > Serveurs DNS
  3. Remplacer les serveurs OVH par les serveurs Cloudflare
  4. Sauvegarder

0.3 Creer les enregistrements de base dans Cloudflare

Type Name Content Proxy
A @ 45.80.22.46 ON
A www 45.80.22.46 ON
A vpn 45.80.22.46 OFF

Duree : 1-2h de configuration + 24-48h de propagation

Documentation complete : docs/services/DNS_OVH_CLOUDFLARE_SETUP.md

ETAPE 1 : VPN Site-to-Site Paris-Lyon (Prerequis pour Lyon)

Objectif : Etablir la connectivite entre les deux sites avant de deployer quoi que ce soit a Lyon.

1.1 Creer le certificat serveur OpenVPN (sur PAR-FW1)

  1. Aller dans System > Cert Manager > Certificates
  2. Cliquer + Add/Sign
  3. Remplir :
    • Method : Create an internal Certificate
    • Descriptive Name : PAR-FW1-OpenVPN-Server
    • Certificate Authority : SmartMotions-CA
    • Certificate Type : Server Certificate
    • Key Length : 2048
    • Common Name : par-fw1.smartmotion.ovh
    • Alternative Names : 192.168.254.10
  4. Save

1.2 Configurer le serveur OpenVPN (sur PAR-FW1)

  1. Aller dans VPN > OpenVPN > Servers
  2. Cliquer + Add
  3. Configuration :
    • Server mode : Peer to Peer (SSL/TLS)
    • Protocol : UDP on IPv4 only
    • Device mode : tun
    • Interface : WAN
    • Local port : 1194
    • TLS Configuration : Activer, generer une cle TLS
    • Peer Certificate Authority : SmartMotions-CA
    • Server Certificate : PAR-FW1-OpenVPN-Server
    • Encryption Algorithm : AES-256-GCM
    • IPv4 Tunnel Network : 10.10.0.0/30 (petit reseau pour P2P)
    • IPv4 Remote Network(s) : 10.1.0.0/24 (LAN Lyon)
    • Compression : Omit
  4. Save

1.3 Exporter la configuration pour Lyon

  1. Aller dans System > Cert Manager > CAs
  2. Exporter le CA (icone export) - sauvegarder le fichier
  3. Creer un certificat client pour LYO-FW1 :
    • System > Cert Manager > Certificates > Add
    • Descriptive Name : LYO-FW1-OpenVPN-Client
    • Certificate Type : User Certificate
  4. Noter la cle TLS partagee

ETAPE 2 : Deployer Lyon (LYO-FW1)

Prerequis : VPN configure cote Paris

2.1 Deployer la VM LYO-FW1 avec Terraform

cd "/home/syoul/IPSSI SMARTMOTION/terraform/environments/lyon"
tofu init
tofu plan
tofu apply

2.2 Configuration manuelle initiale LYO-FW1

Via la console Proxmox :

  1. Assigner les interfaces :
    • vtnet0 = WAN (192.168.254.11/24, GW: 192.168.254.254)
    • vtnet1 = LAN (10.1.0.1/24)
  2. Activer SSH
  3. Changer le mot de passe admin

2.3 Configurer le client OpenVPN (sur LYO-FW1)

  1. Importer le CA SmartMotions-CA
  2. Importer le certificat LYO-FW1-OpenVPN-Client
  3. Configurer le client OpenVPN vers 192.168.254.10:1194
  4. Verifier la connectivite : ping 10.0.0.1 depuis LYO-FW1

ETAPE 3 : Deployer les Domain Controllers Paris

Prerequis : pfSense Paris operationnel

3.1 Deployer PAR-DC1 (10.0.0.11)

# Ajouter au main.tf de Paris si pas deja fait
cd "/home/syoul/IPSSI SMARTMOTION/terraform/environments/paris"
tofu plan
tofu apply

Configuration Windows Server :

  1. IP statique : 10.0.0.11/24, GW: 10.0.0.1, DNS: 127.0.0.1
  2. Installer le role AD DS
  3. Promouvoir en DC : nouvelle foret smartmotion.ovh
  4. Configurer DNS integre

3.2 Deployer PAR-DC2 (10.0.0.12)

  1. IP statique : 10.0.0.12/24, GW: 10.0.0.1, DNS: 10.0.0.11
  2. Joindre le domaine smartmotion.ovh
  3. Promouvoir en DC additionnel

3.3 Mettre a jour DNS pfSense

Une fois les DC operationnels :

cd "/home/syoul/IPSSI SMARTMOTION/ansible"
ansible-playbook -i inventories/paris.yml playbooks/04b-configure-pfsense-paris-dns.yml

ETAPE 4 : Deployer le serveur DMZ (PAR-FTP1)

Prerequis : pfSense et NAT configures

4.1 Deployer PAR-FTP1 (10.0.10.70)

cd "/home/syoul/IPSSI SMARTMOTION/terraform/environments/paris"
tofu plan
tofu apply

4.2 Configurer le serveur

  1. IP statique : 10.0.10.70/24, GW: 10.0.10.1, DNS: 8.8.8.8
  2. Installer vsftpd (FTP)
  3. Installer Apache/Nginx (Extranet)
  4. Tester l'acces depuis Internet via NAT

Ordre de deploiement recommande

Phase actuelle : Phase 2 (Reseau) - EN COURS
                      |
                      v
+--------------------------------------------------+
|  ETAPE 1 : VPN Site-to-Site                      |
|  - Certificat serveur OpenVPN                    |
|  - Serveur OpenVPN sur PAR-FW1                   |
|  Duree estimee : 1-2 heures                      |
+--------------------------------------------------+
                      |
                      v
+--------------------------------------------------+
|  ETAPE 2 : Deploiement Lyon                      |
|  - Terraform LYO-FW1                             |
|  - Config manuelle + Client OpenVPN              |
|  - Test connectivite VPN                         |
|  Duree estimee : 2-3 heures                      |
+--------------------------------------------------+
                      |
                      v
+--------------------------------------------------+
|  ETAPE 3 : Domain Controllers Paris              |
|  - PAR-DC1 (DC primaire, DNS, DHCP)              |
|  - PAR-DC2 (DC secondaire)                       |
|  - Mise a jour DNS pfSense                       |
|  Duree estimee : 1 jour                          |
+--------------------------------------------------+
                      |
                      v
+--------------------------------------------------+
|  ETAPE 4 : Serveur DMZ                           |
|  - PAR-FTP1 (FTP + Extranet)                     |
|  - Tests NAT depuis Internet                     |
|  Duree estimee : 2-3 heures                      |
+--------------------------------------------------+
                      |
                      v
+--------------------------------------------------+
|  ETAPE 5 : RODC Lyon (apres VPN + DC)            |
|  - LYO-RODC1 (RODC + DNS cache + DHCP)           |
|  Duree estimee : 3-4 heures                      |
+--------------------------------------------------+
                      |
                      v
        [Suite Phase 4 : Services Windows]

Commandes utiles

Acces SSH aux VMs

# Via le jump host PAR-ADMIN1
ssh -J debian@192.168.42.225 admin@10.0.0.1      # pfSense Paris
ssh -J debian@192.168.42.225 debian@10.0.10.70   # PAR-FTP1 (DMZ)

Terraform

cd "/home/syoul/IPSSI SMARTMOTION/terraform/environments/paris"
tofu plan      # Voir les changements
tofu apply     # Appliquer
tofu destroy   # Supprimer (attention!)

Ansible

cd "/home/syoul/IPSSI SMARTMOTION/ansible"

# Installer les collections
ansible-galaxy collection install -r requirements.yml -p ./collections

# Lancer un playbook
ansible-playbook -i inventories/paris.yml playbooks/04a-configure-pfsense-paris-initial.yml

# Tester la connectivite
ansible -i inventories/paris.yml paris_firewalls -m ping

Points d'attention

VPN Site-to-Site

  • Le tunnel doit etre etabli AVANT de deployer quoi que ce soit a Lyon
  • Les routes doivent etre configurees des deux cotes
  • Tester avec un ping avant de continuer

Domain Controllers

  • PAR-DC1 doit etre operationnel avant PAR-DC2
  • Attendre la replication AD avant de deployer le RODC
  • Ne pas oublier de mettre a jour les DNS sur pfSense

DMZ

  • Le serveur DMZ ne doit PAS avoir acces au LAN
  • Tester le blocage : depuis PAR-FTP1, ping 10.0.0.11 doit echouer
  • Tester le NAT depuis une IP externe

Ressources

  • Architecture : docs/architecture/architecture.md
  • Plan complet : docs/deployment/PLAN_DEPLOIEMENT_ORDRE.md
  • Config pfSense : docs/pfsense/PFSENSE_SETUP.md
  • Config VPN : docs/services/VPN_CLIENT_RADIUS.md
  • DMZ : docs/services/DMZ_FTP_EXTRANET.md
  • DNS OVH + Cloudflare : docs/services/DNS_OVH_CLOUDFLARE_SETUP.md
  • NAT Freebox + OpenWRT : docs/network/NAT_FREEBOX_OPENWRT.md

Document cree le : Decembre 2025
Derniere mise a jour : 13 Decembre 2025

Reference in New Issue View Git Blame Copy Permalink