🧱 1. Mise à jour DNS Active Directory

🔐 3. Configuration des règles OPNsense

📍 Interface LAN ➜ DMZ (accès internes : agents + utilisateurs)

📍 Interface DMZ ➜ SRV (LDAPS vers Active Directory)

📍 Interface WAN ➜ DMZ (accès Internet) => 

PORT FORWARD 

📍 Interface DMZ ➜ WAN (si GLPI a besoin d’Internet)

📍 Interface DMZ ➜ Accès SSH depuis PC_ADM

🧪 4. Vérifications à faire

✅ Optionnel : nettoyage

REVERSE PROXY !!!!!!!!!

• Nouvelle vm en dmz 192.168.30.3
• user srv
• installer nginx
• configuration nginx avec reverse proxy

Objectif final :

• GLPI reste installé sur ton serveur actuel SRV (192.168.20.3) dans le LAN
  (Pas besoin de tout réinstaller).

• Ne déplaces pas GLPI physiquement (ça évite de tout casser côté LDAP/BD/GLPI).

• Ajoutes un reverse proxy dans ta DMZ (ex: 192.168.30.3) qui publie GLPI vers l’extérieur.

• Aucune ouverture directe du LAN vers le WAN.

✅ Plus propre, plus sécurisé, moins de galère.

🛠️ Architecture réseau après mise en place :

scss

[WAN] ↓

[OPNsense NAT/Firewall]

↓

[DMZ] ↳ Reverse Proxy (Nginx, IP : 192.168.30.3)

 n        ↳ redirige vers 192.168.20.3 (GLPI)

[LAN] ↳ Serveur GLPI (SRV - IP : 192.168.20.3)

🔥 Détail des étapes :

1. Installer un Reverse Proxy (Nginx) en DMZ

• VM ou serveur avec IP 192.168.30.3.

• Installer Nginx.

• https://wiki.johnnybonnetier.fr/spaces/ds/pages/1769511/Annexe+1+Cr%C3%A9e+un+certificat+avec+ADCS+pour+un+serveur+web

  # 1. Mettre à jour le système
  sudo apt update
  sudo apt upgrade -y
  
  # 2. Installer Nginx
  sudo apt install nginx -y
  
  # 3. Vérifier que Nginx est bien installé et actif
  sudo systemctl status nginx
  
  # 4. Démarrer Nginx si besoin
  sudo systemctl start nginx
  
  # 5. Activer Nginx pour qu’il se lance automatiquement au démarrage
  sudo systemctl enable nginx

  
  

• Configurer un proxy_pass vers ton GLPI :

générer un certificat 

Annexe 1 : Crée un certificat avec ADCS (pour un serveur web)

• # Aller dans le dossier de config Nginx
  cd /etc/nginx/sites-available/
  
  # Créer un nouveau fichier pour GLPI
  sudo nano glpi.conf
  
  

    server {
      listen 80 default_server;
      server_name _;
      return 301 https://$host$request_uri;
  }
  
  server {
      listen 443 ssl default_server;
      server_name _ glpi.comptaplus.loc;
  
      ssl_certificate /etc/nginx/ssl/cert.pem;
      ssl_certificate_key /etc/nginx/ssl/key.pem;
  
      ssl_protocols TLSv1.2 TLSv1.3;
      ssl_prefer_server_ciphers on;
  
      add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
      add_header X-Content-Type-Options "nosniff" always;
      add_header X-Frame-Options "DENY" always;
      add_header X-XSS-Protection "1; mode=block" always;
  
      location / {
          proxy_pass https://192.168.20.3;
          proxy_set_header Host $host;
          proxy_set_header X-Real-IP $remote_addr;
          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
          proxy_set_header X-Forwarded-Proto $scheme;
      }
  }
  
  

• # Créer un lien symbolique dans sites-enabled
  sudo ln -s /etc/nginx/sites-available/glpi.conf /etc/nginx/sites-enabled/
  
  # Tester la configuration Nginx pour être sûr qu’il n’y a pas d'erreurs
  sudo nginx -t
  
  # Recharger Nginx pour appliquer la nouvelle config
  sudo systemctl reload nginx
  
  

 Ici  Nginx en DMZ reçoit les requêtes HTTPS et renvoie proprement vers  le serveur GLPI interne.

Sur OPNsense (pare-feu) :

1 règles NAT à faire :