Bonsoir,
Comme l'a demandé Totofe, je vous met un post spécial récapitulatif afin que tout le monde puisse comprendre.
1-Migration
1.1-IPCOP
A l'origine, mon réseau était composé d'un IPCOP (vieillissant au niveau Hardware, et disposant d'une distribution maintenant non supporté), de deux Switchs manageable, d'un serveur Samba et d'un Serveur Web.
1.2-But originel
Mon but était à l'époque de raccordé ce réseau à celui d'un ami avec lequel nous amorçons de nombreux projets numérique. Les choses ont quelque peut évolué et je voulais quelque-chose de plus fiable... quoi que ! Mon ami, m'avais parlé de pfsense. Devant lui, premier essai d'un iso, premier échec! Comme de nature je suis têtu, j'ai proposé de récupérer une machine qui me servirais de test fiable, et plus si afinité.
1.3-But actuel
Il est désormais évident qu'avec le nombre de machine dont je dispose, 5 de production; elles ne font pas toutes la même chose; et 3 serveur, il me fallait établir quelques règles. J'ai bien étudier mon cas et je me suis rendu compte que notre découpage, enfin celui de nos deux réseau, était basé sur la potentialité et non sur la réel quantité de machine. J'ai donc proposé de lui laisser les 10.1.X.X de son réseau et je suis parti, sur les 10.0.X.X. Voilà donc pour l'origine de mes 3 réseaux en 10.0.1.X, 10.0.2.X, 10.0.3.X, 10.0.4.X. Nous avons encore envie de reliée nos deux réseaux, moi sur Brive, lui sur Lille. Ca fait une trotte mais on aime bien se lancé ce genre de défi. On va y arrivé c'est sur
2-Faisons le tri
Comme j'ai dit, je me suis réservé tout le 10.0.X.X en 4 zones bien distincte.
10.0.1.X / 24 (à cause du 255.255.255.0) est attribué au local Réseau qui est mon bureau de production numérique et qui comporte pas moins de 12 prises réseaux. C'est depuis ce réseau que je passe le plus clair de mon temps.
10.0.2.X / 24 (à cause du 255.255.255.0) est attribué non seulement au local Réseau sur quelques prises murale mais il est assigné à la maison qui me sert de lieu de vie et de repos. Et bien oui, je ne suis pas seul à aller sur le net, ma maman aussi et les amis de passage. De plus j'ai adjoint à ce réseau un point d'accès wifi qui est allumé que quelques rare fois ou, par beau temps je suis debors avec le PC portable.
10.0.3.X / 24 (à cause du 255.255.255.0) est attribué à la DMZ. La zone démilitarisé, comme les pros aiment le surnommé. C'est lui qui va tenir, pour le moment mon seul serveur mais qui en réalité sera gonflé ultérieurement dans un projet particulier. J'y reviendrais dans 5 / 10ans... On va dire, pour simplifier qu'on prévoie une montée en nombre de serveur d'au moins 2, soit 3 serveur de type http/https/ssh.
10.0.4.X / 24 (à cause du 255/255/255/0) est attribué au VPN. Et bien oui, j'ai bien parlé de connecter deux réseaux entre eux ? Et bien ça sera les adresses qui y viendrons.
3-Un shéma.
Comme décrit par Titofe, j'ai pas mal de choses qui n'avais pas été donné dès le départ. Oui, mais j'étais censé d'abord monter le serveur, pas avoir autant de bug Dans ma hâte de remplacer l'ipcop, je me suis vue allé plus loin qu'il ne fallait et découvrir des problèmes auquel je ne m'attendais pas. J'ai fini par trouvé le bon truc. Je me propose de vous montrer celui-ci et qui reprends l'intégralité de l'actuel. Les détails sur les switchs ne sont pas parlant, je ferais un tableau pour ça après.
4-Le détails de chaque switch
Bien, que je vous explique le fonctionnement de ce tableau.
On commence par la gauche, avec le modem. Il rentre dans la WAN sur Pfsense, puis sort en 3 couleurs. vert pour la LAN, Bleu pour BLEU, Orange pour la DMZ.
Les numéros de chaque switchs sont donc les ports auquel ont été attribué les réseau.
Dans le switch 1, nomé A1, on entre la LAN sur le port 1. Il va être distribué aux ports 4, 5, 6, 7.....16, 17 qui eux même conduisent aux prises murale 1A, 1B, 2A, 2B.....7A, 7B.
Il en ba du même fonctionnement pour les autres couleurs et les autres switchs.
La question que je m'attends à vous entendre dire, c'est: "Pourquoi avoir fait entré DMZ dans le SWI vue qu'il alimente le SW2.
Très bonne question mon chère Watson ! en réalité, une prise murale, mettons la 4A peut, un jour alimenté un serveur web qui doit être en DMZ mais pour des raisons de simplicité, il n'est pas dans son port définitif en SW2. Et bien en procédant ainsi, je peux en quelques cliques, changer un port pour être alimenté par un autre réseau (de façon provisoire).
5-configuration.
Afin de ne pas cherché partout les informations glané dans les posts, je vais faire un copier/collé de ce qui a été retenu.
Etape 1, le wizard. Je retrouve les infos d'ailleurs dans le General Setup du menu System.
Hostname -> hydrogene
Domain -> localdomain
DNS Server 208.67.222.222 et 208.67.220.220
Time zone sur Europe/Paris
Ntp par défaut fr.pool.ntp.org (Conseillé ici)
Je décoche la case Allow DNS server to be overridden by DHCP/PPP on WAN
Le reste est facile à configurer.
Ensuite, j'ai créer mes réseaux à savoir
WAN -> msk0 -> DHCP venue du modem fixé depuis l'adresse mac en 192.168.15.200
LAN -> re2 -> 10.0.1.254
Bleu -> re1 -> 10.0.2.254
DMZ -> re0 -> 10.0.3.254
Ensuite j'ai fait mes DHCP Server avec
LAN -> 10.0.1.1 à 10.0.1.200 (DNS 208.67.222.222 et 208.67.220.220)
BLEU -> 10.0.2.1 à 10.0.2.200 (DNS 208.67.222.222 et 208.67.220.220)
DMZ -> 10.0.3.1 à 10.0.3.10 (DNS 208.67.222.222 et 208.67.220.220)
Ensuite j'ai fait mes rules avec
Lan -> par défaut
Bleu -> Règle 1 : Block / proto * / Source BLEU net / Port * /Destination LAN net / Gateway * / Queue none / Schedule vide
Bleu -> Règle 2 : Pass / proto * / Source BLEU net / Port * /Destination * / Gateway * / Queue none / Schedule vide
6-Ce qu'il reste à faire
6.1-Viabilisé le serveur par un essayage grandeur nature
6.2-Configurer les équipements qui doivent être déclarer et fixé en adresse IP + nom. Exemple mon samba s'appelle lithium est il doit être associer à 10.0.1.252. C'est à dire que lorsque on saisie https://lithium:631/, il sera en mesure d'aller chercher 10.0.1.252:631. Idem pour les imprimentes.
6.3-Configurer la DMZ
6.4-Régler les autorisation entre réseau, pour certaines machines uniquement
6.5-Sécurisé le wifi
6.6-Monter le vpn (ce week-ends ?)
7-Boire un coup et se félicité d'avir franchi toutes ces étapes.
En espérant avoir fait le récapitulatif que demandais Totofe. Merci de m'avoir lue