🧱 1. Mise à jour DNS Active Directory
| Étape | Action |
|---|---|
| 🛠 | Ouvre dnsmgmt.msc sur ton DC |
| ✏️ | Modifie l’entrée A glpi.comptaplus.loc |
| 📌 | Nouvelle IP = 192.168.30.3 (DMZ) |
| 💡 | Vide le cache DNS : ipconfig /flushdns sur serveur et postes |
🔐 3. Configuration des règles OPNsense
📍 Interface LAN ➜ DMZ (accès internes : agents + utilisateurs)
| Source | Destination | Ports | Description |
|---|---|---|---|
LAN net | 192.168.30.3 | TCP 80, 443 | Accès Web GLPI |
📍 Interface DMZ ➜ SRV (LDAPS vers Active Directory)
| Source | Destination | Port | Description |
|---|---|---|---|
192.168.30.3 |
| TCP 636 | Authentification LDAP sécurisée |
📍 Interface WAN ➜ DMZ (accès Internet) =>
PORT FORWARD
| Type | Détail | |||||||
|---|---|---|---|---|---|---|---|---|
| PAT | WAN | TCP/UDP | * | * | WAN net | http /https | 192.168.20.3 | http/https |
| Firewall | Autoriser TCP 443 sur l’interface WAN (auto ou manuel) |
📍 Interface DMZ ➜ WAN (si GLPI a besoin d’Internet)
| Source | Destination | Port(s) | Description |
|---|---|---|---|
192.168.30.3 | * | 53, 443 | DNS + MAJ, accès web externe |
📍 Interface DMZ ➜ Accès SSH depuis PC_ADM
| Source | Destination | Port | Description |
|---|---|---|---|
192.168.10.1 (PC_ADM) | 192.168.30.3 | TCP 22 | Administration SSH du serveur GLPI |
🧪 4. Vérifications à faire
| Test | Commande ou action |
|---|---|
| Résolution DNS | nslookup glpi.comptaplus.loc ➔ doit donner 192.168.30.3 |
| Agent GLPI | glpi-agent --debug --no-fork |
| Accès Web | https://glpi.comptaplus.loc depuis LAN et depuis Internet |
| LDAPS | Vérifie dans GLPI : connexion LDAP ➔ OK |
| SSH | ssh glpi@192.168.30.3 depuis 192.168.10.1 |
✅ Optionnel : nettoyage
| Action | Pourquoi |
|---|---|
Supprimer ancienne règle vers 192.168.20.3 | GLPI n'est plus sur le réseau SRV |
| Archiver l'ancienne conf GLPI | Bonnes pratiques post-migration |
REVERSE PROXY !!!!!!!!!
- Nouvelle vm en dmz 192.168.30.3
- user srvglpi
- installer nginx
- configuration nginx avec reverse proxy
Objectif final :
GLPI reste installé sur ton serveur actuel SRV (
192.168.20.3) dans le LAN
(Pas besoin de tout réinstaller).Tu ne déplaces pas GLPI physiquement (ça évite de tout casser côté LDAP/BD/GLPI).
Tu ajoutes un reverse proxy dans ta DMZ (ex:
192.168.30.3) qui publie GLPI vers l’extérieur.Aucune ouverture directe du LAN vers le WAN.
✅ Plus propre, plus sécurisé, moins de galère.
🛠️ Architecture réseau après mise en place :
scss[WAN]
↓
[OPNsense NAT/Firewall]
↓
[DMZ]
↳ Reverse Proxy (Nginx, IP : 192.168.30.3)
↳ redirige vers 192.168.20.3 (GLPI)
[LAN]
↳ Serveur GLPI (SRV - IP : 192.168.20.3)
🔥 Détail des étapes :
1. Installer un Reverse Proxy (Nginx) en DMZ
VM ou serveur avec IP 192.168.30.3.
Installer Nginx.
# 1. Mettre à jour le système sudo apt update sudo apt upgrade -y # 2. Installer Nginx sudo apt install nginx -y # 3. Vérifier que Nginx est bien installé et actif sudo systemctl status nginx # 4. Démarrer Nginx si besoin sudo systemctl start nginx # 5. Activer Nginx pour qu’il se lance automatiquement au démarrage sudo systemctl enable nginx
Configurer un proxy_pass vers ton GLPI :
générer un certificat
Annexe 1 : Crée un certificat avec ADCS (pour un serveur web)
transférer le fichier base 64 :
scp C:\chemin\vers\ton\fichier.txt user@IP_LINUX:/home/user/
# Aller dans le dossier de config Nginx cd /etc/nginx/sites-available/ # Créer un nouveau fichier pour GLPI sudo nano glpi.conf
# Redirection HTTP vers HTTPS server { listen 80; server_name glpi.comptaplus.loc; return 301 https://$host$request_uri; } # Reverse Proxy HTTPS server { listen 443 ssl; server_name glpi.comptaplus.loc; ssl_certificate /etc/letsencrypt/live/glpi.tondomaine.fr/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/glpi.tondomaine.fr/privkey.pem; # Headers de sécurité add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; add_header X-Content-Type-Options "nosniff" always; add_header X-Frame-Options "DENY" always; add_header X-XSS-Protection "1; mode=block" always; location / { proxy_pass https://192.168.20.3/; # Adresse interne de ton serveur GLPI proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_ssl_verify off; # À activer si tu as un vrai certificat sur ton GLPI interne } }# Créer un lien symbolique dans sites-enabled sudo ln -s /etc/nginx/sites-available/glpi.conf /etc/nginx/sites-enabled/ # Tester la configuration Nginx pour être sûr qu’il n’y a pas d'erreurs sudo nginx -t # Recharger Nginx pour appliquer la nouvelle config sudo systemctl reload nginx
👉 Ici ton Nginx en DMZ reçoit les requêtes HTTPS et renvoie proprement vers ton serveur GLPI interne.
Sur OPNsense (pare-feu) :
2 règles NAT à faire :
| Interface | Source | Port Destination | Redirection interne vers IP DMZ (Reverse Proxy) | Port interne |
|---|---|---|---|---|
| WAN | Any | 80 (HTTP) | 192.168.30.3 (Reverse Proxy) | 80 |
| WAN | Any | 443 (HTTPS) | 192.168.30.3 (Reverse Proxy) | 443 |
📋 Résumé rapide :
| Composant | Rôle | IP |
|---|---|---|
| GLPI | Serveur Applicatif | 192.168.20.3 (LAN) |
| Reverse Proxy | Publie GLPI sur Internet | 192.168.30.3 (DMZ) |
| Pare-feu (OPNsense) | NAT + Firewall + Suricata protection |
Sécurité :
server {
listen 443 ssl;
server_name glpi.tondomaine.fr;
allow 1.2.3.4; # Ton IP publique perso
allow 5.6.7.8; # Une autre IP autorisée
deny all; # Bloque tout le reste
ssl_certificate /etc/letsencrypt/live/glpi.tondomaine.fr/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/glpi.tondomaine.fr/privkey.pem;
location / {
proxy_pass https://192.168.20.3/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}