Récapitulatif des flux GLPI attendus
| Source | Destination | Port(s) | Protocole | Rôle |
|---|---|---|---|---|
| LAN (192.168.10.x) | GLPI (DMZ) | 443 | TCP | Accès Web interne |
| Internet (WAN) | GLPI (DMZ) | 443 (via NAT) | TCP | Accès Web externe |
| GLPI (DMZ) | AD (SRV) | 636 | TCP | Authentification LDAPS |
| Admin (192.168.10.1) | GLPI (DMZ) | 80, 443 | TCP | Accès Admin HTTP/S |
| GLPI | Internet | 53, 443 | TCP/UDP | Majs, DNS si nécessaire |
...
🛠 Règles à mettre en place dans OPNsense
🔸Interface LAN (192.168.10.0/24)
| Action | Source | Destination | Port(s) | Description |
|---|---|---|---|---|
| Pass | LAN net | GLPI_DMZ (192.168.X.X) | 443 | Accès GLPI Web |
| Pass | 192.168.10.1 | GLPI_DMZ | 80, 443 | Admin (optionnel) |
🔸Interface DMZ (où sera GLPI)
| Action | Source | Destination | Port(s) | Description |
|---|---|---|---|---|
| Pass | GLPI_DMZ | AD (192.168.20.1) | 636 | Authentification LDAPS |
| Pass | GLPI_DMZ | WAN (ou Internet) | 53, 443 | Majs + DNS ext |
| Block | DMZ net | LAN net | * | Sécurité : interdire tout sauf exceptions |
🔸Interface WAN (NAT)
| Action | Source | Destination | Port(s) | Description |
|---|---|---|---|---|
| NAT + Pass | * | WAN IP → GLPI_DMZ | 443 | Accès Web depuis Internet |
| Pass | WAN net | GLPI_DMZ | 443 | (Si pas auto-créée par le NAT) |
...
🔁 Règles NAT (Firewall > NAT > Port Forward)
| Interface | Destination | Port | Redirect to | Description |
|---|---|---|---|---|
| WAN | WAN address | 443 | 192.168.X.X:443 | NAT HTTP(S) vers GLPI |
| WAN | WAN address | 80 (optionnel) | 192.168.X.X:80 | Redirection HTTP vers HTTPS |
...
🚦 Exemple : IP GLPI en DMZ
Disons que tu mets ton serveur GLPI en 192.168.30.3 (réseau DMZ)
➔ Toutes les règles citées plus haut pointeront vers 192.168.30.3.
...
| UI Text Box | ||||||
|---|---|---|---|---|---|---|
| ||||||
LDAPS avec CERTIFICAT AD CS sur opnsense et LDAPS |
...
| title | Certificats VPN |
|---|
CERTIFICAT AD CS
| Note |
|---|
la procédure ci-dessous est seulement à suivre si vous avez ADCS sinon il faut crée une autorité interne / certificat serveur interne à OPNSENSE |
Importer le certificat ROOT de l'active DIRECTORY (DC01 => C:\comptaplus\CA-ROOT.cer ) dans opnsense
| Code Block |
|---|
certutil -encode CA-ROOT-Comptaplus.cer ca.cer |
Permet de coder le certificat en Base-64 et donc il sera lisible avec le bloc et permet de copier le certificat dans opnsense
Pour que LDAPS fonctionne
effectivement, si on utilise le fdqn pour la liason LDAPS , le nom n'est pas reconnu par opnsense
c'est indiquer sur l'aide de OPNSense
| Info |
|---|
| When using SSL, this hostname MUST match the Common Name (CN) of the LDAP server's SSL Certificate. |
Il faut passer par :
Services: Unbound DNS: Override
Configuration LDAPS
Bind credentials
| Code Block |
|---|
CN=svc_opnsense,OU=Comptes de Service,OU=Utilisateurs,OU=COMPTAPLUS,DC=comptaplus,DC=loc |
| Code Block |
|---|
OU=COMPTAPLUS,DC=comptaplus,DC=loc |
...
il faut absolument vérifier que la connexion LDAPS fonctionne sinon le vpn ne fonctionnera pas (permet de faire déjà l'escalade du problème si présent)
Crée une demande C.S.R (Certificat Signed Request)
Copier le CSR en bas de la demande, se rendre sur http://dc01.comptaplus.loc/certsrv/
générer comme un serveur web un cer en base 64 et l'ouvrir avec le bloc note et le coller dans la partie DATA du certificat serveur
| UI Text Box | ||||
|---|---|---|---|---|
| ||||
Crée une instance |
...
| title | Crée le serveur VPN |
|---|
l'ip de mon VPN est une adresse ip VIRTUEL au cas si le master tombe, le vpn est toujours accessible
Se rendre dans client export et télécharger le fichier *.ovpn correspondant à votre certificat crée auparavant, soit le déposer sur un partage réseau ou déploiement par GPO
| Warning |
|---|
| Crée une règle WAN sur la parefeu autorisant le port défini sur le réglage de l'instance |
| UI Text Box | ||||||
|---|---|---|---|---|---|---|
| ||||||
Installation du vpn sur le poste utilisateur |
...
| title | Installation sur le poste utilisateur |
|---|
Sur le poste utilisateur :
Installer le client OPenVPN COMMUNITY : https://swupdate.openvpn.org/community/releases/OpenVPN-2.6.14-I001-amd64.msi
Importer le fichier (ou double cliquer dessus) et clic droit sur la connexion => se connecter
Une demande d'identification sera demander (ldaps) , mettre les identifiants et le logiciel se fermera
un icone (en forme de tv) sera coloré en vert et confirmer la connexion
il suffira de se connecter (rds par ex) (ou ping) vers votre réseau interne pour se connecter
...