PLAN DE MIGRATION GLPI EN DMZ
1. Déplacement du serveur GLPI
Déplacer ton serveur GLPI (IP GLPI ) dans une DMZ192.168.20.3 Tout en le rendant accessible depuis Internet via NAT
Conserver l’accès depuis le LAN (HTTPS)
(réseau SRV) 192.168.30.3 (réseau DMZ) Nom DNS glpi.comptaplus.loc glpi.comptaplus.loc (inchangé) 2. Mise à jour DNS (Active Directory)
Modifier l’enregistrement A glpiRemplacer Et qu’il continue à interroger l’Active Directory (LDAPS) sur l’interface SRV (192.168.20 .x)
✅ Objectif : accès sécurisé, segmenté, clair
Je te prépare un tableau clair avec toutes les règles nécessaires, réparties par interface.
📋 Récapitulatif des flux GLPI attendus
...
.3 par 192.168.30.3 dans la zone DNS comptaplus.loc.Commandes ipconfig /flushdnssur serveur et postes.3. Modification de la GPO GLPI-Agent
PAS DE MODIFICATION de l'agent car déployer par gpo avec le FQDN
GPO Regedit Vérifier/modifier la valeur server→https://glpi.comptaplus.loc/plugins/fusioninventory/front/inventory.php.Avantage Tous les agents GLPI se reconnectent automatiquement sans toucher aux fichiers locaux. 4. Configuration OPNsense (Firewall et NAT)
🔸 Interface LAN ➔ DMZ (accès internes)
LAN net
...
(192.168.10.
...
0/24) GLPI (
...
192.168.30.3) 443 (HTTPS) TCP Accès Web
...
utilisateurs LAN net
...
GLPI
...
80, 443
...
TCP Accès
...
Agents GLPI 🔸 Interface DMZ ➔ SRV (pour LDAPS)
GLPI
...
(192.168.
...
30.
...
🛠 Règles à mettre en place dans OPNsense
...
3)
...
DC01/DC02 (192.168.
...
20.
...
x)
...
636 (LDAPS)
...
TCP
...
Authentification Active Directory 🔸 Interface WAN ➔ DMZ (exposition Internet)
Redirection WAN IP ➔ 192.168.
...
30.3:443 Source : * Destination :
...
192.168.
...
🔸Interface DMZ (où sera GLPI)
...
30.3:443 (NAT) 5. Test et Validation
Résolution DNS nslookup glpi.comptaplus.locIP
...
192.168.
...
30.3 attendue Accès HTTPS interne Naviguer vers https://glpi.comptaplus.locdepuis LANAccès HTTPS externe Naviguer via IP publique ou FQDN Internet Test Agent GLPI glpi-agent --debug --no-forksur un poste🧠 Points de vigilance
🔒 Vérifier que SSL (HTTPS) est fonctionnel (certificat valide ou certificat autorisé).
🔥 Rappel : aucun accès DMZ ➔ LAN sauf règles explicitement définies.
📡 Prévoir de sécuriser l'accès public (fail2ban, WAF, restriction IP si besoin).
⏱ Penser à synchroniser l’heure (
NTP) pour éviter les erreurs SSL/LDAP.
🏁 Finalisation
Déplacement GLPI sur IP DMZ ⬜ Mise à jour enregistrement DNS ⬜ Application de la GPO Regedit sur tous les postes ⬜ Mise en place des règles OPNsense (LAN, DMZ, WAN) ⬜ Tests de résolution DNS et HTTPS ⬜ Tests de communication Agent GLPI ⬜ Publication Internet sécurisée (si besoin) ⬜ 🔥 En résumé
Ton GLPI sera :
Accessible depuis ton LAN sécurisé,
Accessible depuis Internet en HTTPS,
Capable de faire du LDAPS avec ton AD,
Les agents continueront de pousser automatiquement leur inventaire via la GPO Regedit
🔸Interface WAN (NAT)
| Action | Source | Destination | Port(s) | Description |
|---|---|---|---|---|
| NAT + Pass | * | WAN IP → GLPI_DMZ | 443 | Accès Web depuis Internet |
| Pass | WAN net | GLPI_DMZ | 443 | (Si pas auto-créée par le NAT) |
🔁 Règles NAT (Firewall > NAT > Port Forward)
| Interface | Destination | Port | Redirect to | Description |
|---|---|---|---|---|
| WAN | WAN address | 443 | 192.168.X.X:443 | NAT HTTP(S) vers GLPI |
| WAN | WAN address | 80 (optionnel) | 192.168.X.X:80 | Redirection HTTP vers HTTPS |
🚦 Exemple : IP GLPI en DMZ
...
.