🧱 1. Mise à jour DNS Active Directory

Étape	Action
🛠	Ouvre `dnsmgmt.msc` sur ton DC
✏️	Modifie l’entrée A `glpi.comptaplus.loc`
📌	Nouvelle IP = `192.168.30.3` (DMZ)
💡	Vide le cache DNS : `ipconfig /flushdns` sur serveur et postes

🔐 3. Configuration des règles OPNsense

📍 Interface LAN ➜ DMZ (accès internes : agents + utilisateurs)

Source	Destination	Ports	Description
`LAN net`	`192.168.30.3`	TCP 80, 443	Accès Web GLPI

📍 Interface DMZ ➜ SRV (LDAPS vers Active Directory)

Source Destination Port Description

192.168.30.3

192.168.20.1

10.10.20.10

TCP 636

Authentification LDAP sécurisée

📍 Interface WAN ➜ DMZ (accès Internet) =>

PORT FORWARD

Type	Détail
PAT	WAN	TCP/UDP	*	*	WAN net	http /https	192.168.20.3	http/https
Firewall	Autoriser TCP 443 sur l’interface WAN (auto ou manuel)

📍 Interface DMZ ➜ WAN (si GLPI a besoin d’Internet)

Source	Destination	Port(s)	Description
`192.168.30.3`	`*`	53, 443	DNS + MAJ, accès web externe

📍 Interface DMZ ➜ Accès SSH depuis PC_ADM

Source	Destination	Port	Description
`192.168.10.1 (PC_ADM)`	`192.168.30.3`	TCP 22	Administration SSH du serveur GLPI

🧪 4. Vérifications à faire

Test	Commande ou action
Résolution DNS	`nslookup glpi.comptaplus.loc` ➔ doit donner `192.168.30.3`
Agent GLPI	`glpi-agent --debug --no-fork`
Accès Web	`https://glpi.comptaplus.loc` depuis LAN et depuis Internet
LDAPS	Vérifie dans GLPI : connexion LDAP ➔ OK
SSH	`ssh glpi@192.168.30.3` depuis `192.168.10.1`

✅ Optionnel : nettoyage

Action	Pourquoi
Supprimer ancienne règle vers `192.168.20.3`	GLPI n'est plus sur le réseau SRV
Archiver l'ancienne conf GLPI	Bonnes pratiques post-migration

REVERSE PROXY !!!!!!!!!

Nouvelle vm en dmz 192.168.30.3
user srvglpi
installer nginx
configuration nginx avec reverse proxy

Objectif final :

GLPI reste installé sur ton serveur actuel SRV (192.168.20.3) dans le LAN
(Pas besoin de tout réinstaller).
Tu ne déplaces pas GLPI physiquement (ça évite de tout casser côté LDAP/BD/GLPI).
Tu ajoutes un reverse proxy dans ta DMZ (ex: 192.168.30.3) qui publie GLPI vers l’extérieur.
Aucune ouverture directe du LAN vers le WAN.

✅ Plus propre, plus sécurisé, moins de galère.

🛠️ Architecture réseau après mise en place :

scss

[WAN] ↓ [OPNsense NAT/Firewall] ↓ [DMZ] ↳ Reverse Proxy (Nginx, IP : 192.168.30.3) ↳ redirige vers 192.168.20.3 (GLPI) [LAN] ↳ Serveur GLPI (SRV - IP : 192.168.20.3)

🔥 Détail des étapes :

1. Installer un Reverse Proxy (Nginx) en DMZ

VM ou serveur avec IP 192.168.30.3.
Installer Nginx.
Configurer un proxy_pass vers ton GLPI :

server {
  listen 80;
    server_name glpi.tondomaine.fr;

    # Redirection automatique vers HTTPS
    return 301 https://$host$request_uri;

    listen 443 ssl;
    server_name glpi.comptaplus.loc;

    ssl_certificate /etc/letsencrypt/live/glpi.tondomaine.fr/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/glpi.tondomaine.fr/privkey.pem;

    location / {
        proxy_pass https://192.168.20.3/;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

👉 Ici ton Nginx en DMZ reçoit les requêtes HTTPS et renvoie proprement vers ton serveur GLPI interne.

Sur OPNsense (pare-feu) :

2 règles NAT à faire :

Interface	Source	Port Destination	Redirection interne vers IP DMZ (Reverse Proxy)	Port interne
WAN	Any	80 (HTTP)	192.168.30.3 (Reverse Proxy)	80
WAN	Any	443 (HTTPS)	192.168.30.3 (Reverse Proxy)	443

3. SSL/TLS

Sur ton reverse proxy, génère un Let’s Encrypt certif SSL directement.
(Tu peux faire en HTTP-01 ou DNS-01 challenge suivant ton domaine.)

4. Bonus Sécurité :

Limite l’accès Nginx par IP si besoin.
Active Fail2ban sur le reverse proxy pour bloquer les attaques.
Ajoute un header de sécurité dans ton nginx.conf (Strict-Transport-Security, etc.).
Mets à jour GLPI et tous les composants régulièrement.

📋 Résumé rapide :

Composant	Rôle	IP
GLPI	Serveur Applicatif	192.168.20.3 (LAN)
Reverse Proxy	Publie GLPI sur Internet	192.168.30.3 (DMZ)
Pare-feu (OPNsense)	NAT + Firewall + Suricata protection

Sécurité :

server {
    listen 443 ssl;
    server_name glpi.tondomaine.fr;

    allow 1.2.3.4;         # Ton IP publique perso
    allow 5.6.7.8;         # Une autre IP autorisée
    deny all;              # Bloque tout le reste

    ssl_certificate /etc/letsencrypt/live/glpi.tondomaine.fr/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/glpi.tondomaine.fr/privkey.pem;

    location / {
        proxy_pass https://192.168.20.3/;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}