🧱 1. Mise à jour DNS Active Directory

Étape	Action
🛠	Ouvre `dnsmgmt.msc` sur ton DC
✏️	Modifie l’entrée A `glpi.comptaplus.loc`
📌	Nouvelle IP = `192.168.30.3` (DMZ)
💡	Vide le cache DNS : `ipconfig /flushdns` sur serveur et postes

🔐 3. Configuration des règles OPNsense

📍 Interface LAN ➜ DMZ (accès internes : agents + utilisateurs)

Source	Destination	Ports	Description
`LAN net`	`192.168.30.3`	TCP 80, 443	Accès Web GLPI

📍 Interface DMZ ➜ SRV (LDAPS vers Active Directory)

Source Destination Port Description

192.168.30.3

192.168.20.1

10.10.20.10

TCP 636

Authentification LDAP sécurisée

📍 Interface WAN ➜ DMZ (accès Internet) =>

PORT FORWARD

Type	Détail
PAT	WAN	TCP/UDP	*	*	WAN net	http /https	192.168.20.3	http/https
Firewall	Autoriser TCP 443 sur l’interface WAN (auto ou manuel)

📍 Interface DMZ ➜ WAN (si GLPI a besoin d’Internet)

Source	Destination	Port(s)	Description
`192.168.30.3`	`*`	53, 443	DNS + MAJ, accès web externe

📍 Interface DMZ ➜ Accès SSH depuis PC_ADM

Source	Destination	Port	Description
`192.168.10.1 (PC_ADM)`	`192.168.30.3`	TCP 22	Administration SSH du serveur GLPI

🧪 4. Vérifications à faire

Test	Commande ou action
Résolution DNS	`nslookup glpi.comptaplus.loc` ➔ doit donner `192.168.30.3`
Agent GLPI	`glpi-agent --debug --no-fork`
Accès Web	`https://glpi.comptaplus.loc` depuis LAN et depuis Internet
LDAPS	Vérifie dans GLPI : connexion LDAP ➔ OK
SSH	`ssh glpi@192.168.30.3` depuis `192.168.10.1`

✅ Optionnel : nettoyage

Action	Pourquoi
Supprimer ancienne règle vers `192.168.20.3`	GLPI n'est plus sur le réseau SRV
Archiver l'ancienne conf GLPI	Bonnes pratiques post-migration

REVERSE PROXY !!!!!!!!!

Nouvelle vm en dmz 192.168.30.3
user srvglpi
installer nginx
configuration nginx avec reverse proxy

Objectif final :

GLPI reste installé sur ton serveur actuel SRV (192.168.20.3) dans le LAN
(Pas besoin de tout réinstaller).
Tu ne déplaces pas GLPI physiquement (ça évite de tout casser côté LDAP/BD/GLPI).
Tu ajoutes un reverse proxy dans ta DMZ (ex: 192.168.30.3) qui publie GLPI vers l’extérieur.
Aucune ouverture directe du LAN vers le WAN.

✅ Plus propre, plus sécurisé, moins de galère.

🛠️ Architecture réseau après mise en place :

scss

[WAN] ↓

[OPNsense NAT/Firewall]

↓

[DMZ] ↳ Reverse Proxy (Nginx, IP : 192.168.30.3)

n ↳ redirige vers 192.168.20.3 (GLPI)

[LAN] ↳ Serveur GLPI (SRV - IP : 192.168.20.3)

🔥 Détail des étapes :

1. Installer un Reverse Proxy (Nginx) en DMZ

VM ou serveur avec IP 192.168.30.3.
Installer Nginx.

https://wiki.johnnybonnetier.fr/spaces/ds/pages/1769511/Annexe+1+Cr%C3%A9e+un+certificat+avec+ADCS+pour+un+serveur+web

# 1. Mettre à jour le système
sudo apt update
sudo apt upgrade -y

# 2. Installer Nginx
sudo apt install nginx -y

# 3. Vérifier que Nginx est bien installé et actif
sudo systemctl status nginx

# 4. Démarrer Nginx si besoin
sudo systemctl start nginx

# 5. Activer Nginx pour qu’il se lance automatiquement au démarrage
sudo systemctl enable nginx

Configurer un proxy_pass vers ton GLPI :

générer un certificat

Annexe 1 : Crée un certificat avec ADCS (pour un serveur web)

transférer le fichier base 64 :

scp C:\chemin\vers\ton\fichier.txt user@IP_LINUX:/home/user/

# Aller dans le dossier de config Nginx
cd /etc/nginx/sites-available/

# Créer un nouveau fichier pour GLPI
sudo nano glpi.conf

  GNU nano 7.2                                                                                         /etc/nginx/sites-available/glpi.conf                                                                                                  ##
##  Reverse-proxy GLPI – DMZ (192.168.30.2)
##  Accès WAN : https://10.192.0.249
##  Backend   : http://192.168.20.3
##

# ───────────────────────────────
#  1) Redirection HTTP  →  HTTPS
# ───────────────────────────────
server {
    listen      80  default_server;
    server_name _;                          # accepte n’importe quel Host ou IP
    return 301 https://$host$request_uri;
}

# ───────────────────────────────
#  2) Bloc HTTPS « catch-all »
# ───────────────────────────────
server {
    listen      443 ssl default_server;
    server_name _  glpi.comptaplus.loc;     # IP 10.192.0.249 + FQDN interne

    # ←  fichiers auto-signés (générés avec SAN = IP   [+ DNS si tu veux])
    ssl_certificate     /etc/nginx/ssl/cert.pem;
    ssl_certificate_key /etc/nginx/ssl/key.pem;

    # Harden SSL (basique)
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;

    # Headers de sécurité
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-Frame-Options "DENY" always;
    add_header X-XSS-Protection "1; mode=block" always;

    # ── Reverse-proxy ──────────────────────────────────────────────
    location / {
        proxy_pass https://192.168.20.3;           # HTTP interne (terminaison TLS ici)
        proxy_set_header Host              $host;
        proxy_set_header X-Real-IP         $remote_addr;
        proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

# Créer un lien symbolique dans sites-enabled
sudo ln -s /etc/nginx/sites-available/glpi.conf /etc/nginx/sites-enabled/

# Tester la configuration Nginx pour être sûr qu’il n’y a pas d'erreurs
sudo nginx -t

# Recharger Nginx pour appliquer la nouvelle config
sudo systemctl reload nginx

Ici ton Nginx en DMZ reçoit les requêtes HTTPS et renvoie proprement vers ton serveur GLPI interne.

Sur OPNsense (pare-feu) :

1 règles NAT à faire :

Interface	Source	Port Destination	Redirection interne vers IP DMZ (Reverse Proxy)	Port interne

W AN	Any	443 (HTTPS)	192.168.30.3 (Reverse Proxy)	443