| IP GLPI | 192.168.20.3 (réseau SRV) | 192.168.30.3 (réseau DMZ) |
| Nom DNS | glpi.comptaplus.loc | glpi.comptaplus.loc (inchangé) |
Modifier l’enregistrement A glpi | Remplacer 192.168.20.3 par 192.168.30.3 dans la zone DNS comptaplus.loc. |
| Commandes | ipconfig /flushdns sur serveur et postes. |
| GPO Regedit | Vérifier/modifier la valeur server → https://glpi.comptaplus.loc/plugins/fusioninventory/front/inventory.php. |
| Avantage | Tous les agents GLPI se reconnectent automatiquement sans toucher aux fichiers locaux. |
| LAN net (192.168.10.0/24) | GLPI (192.168.30.3) | 443 (HTTPS) | TCP | Accès Web utilisateurs |
| LAN net | GLPI | 80, 443 | TCP | Accès Agents GLPI |
| GLPI (192.168.30.3) | DC01/DC02 (192.168.20.x) | 636 (LDAPS) | TCP | Authentification Active Directory |
| Redirection WAN IP ➔ 192.168.30.3:443 |
| Source : * | Destination : 192.168.30.3:443 (NAT) |
| Résolution DNS | nslookup glpi.comptaplus.loc | IP 192.168.30.3 attendue |
| Accès HTTPS interne | Naviguer vers https://glpi.comptaplus.loc depuis LAN | |
| Accès HTTPS externe | Naviguer via IP publique ou FQDN Internet | |
| Test Agent GLPI | glpi-agent --debug --no-fork sur un poste |
🔒 Vérifier que SSL (HTTPS) est fonctionnel (certificat valide ou certificat autorisé).
🔥 Rappel : aucun accès DMZ ➔ LAN sauf règles explicitement définies.
📡 Prévoir de sécuriser l'accès public (fail2ban, WAF, restriction IP si besoin).
⏱ Penser à synchroniser l’heure (NTP) pour éviter les erreurs SSL/LDAP.
| Déplacement GLPI sur IP DMZ | ⬜ |
| Mise à jour enregistrement DNS | ⬜ |
| Application de la GPO Regedit sur tous les postes | ⬜ |
| Mise en place des règles OPNsense (LAN, DMZ, WAN) | ⬜ |
| Tests de résolution DNS et HTTPS | ⬜ |
| Tests de communication Agent GLPI | ⬜ |
| Publication Internet sécurisée (si besoin) | ⬜ |
Ton GLPI sera :
Accessible depuis ton LAN sécurisé,
Accessible depuis Internet en HTTPS,
Capable de faire du LDAPS avec ton AD,
Les agents continueront de pousser automatiquement leur inventaire via la GPO Regedit.