Restructuration du dépot
This commit is contained in:
mablr
41
applicatif/zone_wan/opnsense.md
Normal file
41
applicatif/zone_wan/opnsense.md
Normal file
@@ -0,0 +1,41 @@
|
||||
# Firewall
|
||||
|
||||
Au niveau du pare-feu nous allons utiliser OPNSense (fork de pfSense). Les deux nodes auront une VM avec OPNSense pour la Haute Disponibilité, l'IP publique (WAN) se déplacera entre les deux VM grâce à une IP virtuelle à CARP et à pfSense. Ca sera la même chose pour la gateway sur chaque interface.
|
||||
|
||||
## Les interfaces
|
||||
- Interface d'entrée WAN (vmbr0)
|
||||
- Interfaces de sortie ROUTE, KRKN, CTF, EXT (vmbr1 et vmbr2)
|
||||
|
||||
Toutes les autres interfaçe seront pour des liens purement locaux (Corosync, pfSync et VXLAN) donc géré avec un parefeu local type UFW et non par OPNSense.
|
||||
|
||||
## Configuration de la VM
|
||||
- Guest OS : Other
|
||||
- Bus Device : VirtIO Block
|
||||
- Network device model : VirtIO (paravirtualized)
|
||||
|
||||
Il faudra ensuite ajouter au moins deux interfaces réseau.
|
||||
|
||||
## Installation du système
|
||||
Il faut récupérer une image iso "DVD" sur le site d'OpnSense
|
||||
|
||||
Lors du démarrage il faut utiliser,
|
||||
- login : installer
|
||||
- pass : opnsense
|
||||
|
||||
Ne pas configurer de VLANs.
|
||||
|
||||
Une fois installation terminée, quitter le programme d'installation et redémarrer la VM.
|
||||
|
||||
## Premiers paramétrages d'OPNSense
|
||||
### Interfaces
|
||||
Une fois la VM rédémarrée pour la première fois, il faut faut assigner les interfaces, choix 1 dans le menu (assign interfaces).
|
||||
Il faut configurer 2 interfaces pour commencer, une le WAN (vmbr0) et une pour le LAN (vmbr1). On ajoutera le reste plus tard.
|
||||
|
||||
|
||||
# En attente du choix WAN...
|
||||
|
||||
### Règles (uniquement DNAT)
|
||||
- DNAT 80,443 route:10.0.0.5
|
||||
- DNAT 25,465,587,143,993,4190 krkn:10.0.1.10
|
||||
- DNAT 2222 ctf:10.0.2.12
|
||||
- DNAT 8081,8082,8083,8084,8085,8086,8087,8088,8089,8090,8091 ctf:10.0.2.13
|
||||
22
applicatif/zone_wan/option_possible.md
Normal file
22
applicatif/zone_wan/option_possible.md
Normal file
@@ -0,0 +1,22 @@
|
||||
# Différentes options pour la zone WAN
|
||||
|
||||
Pour l'accès au pare-feu du serveur, plusieurs options sont envisageables :
|
||||
|
||||
## En ipv4
|
||||
|
||||
NB: Il y aura un firewall de type OPNSense dans un VM sur chaque node. Il faut donc que l'ipv4 puisse être alloué à une VM.
|
||||
|
||||
### Une seule ipv4
|
||||
Un firewall sur chaque serveur et une ipv4 publique (virtuelle) qui se déplacerait entre les deux firewall en fonction de leur disponibilité.
|
||||
|
||||
### Deux ipv4
|
||||
Deux combinaisons possibles
|
||||
- Une par serveur avec un firewall sur chaque serveur, le choix du serveur se ferait au niveau des entrées DNS.
|
||||
- Une pour l'accès au firewall sur le même modèle que décrit pour une seule ipv4 et une autre pour un accès direct au serveur sans passer par le firewall principal.
|
||||
|
||||
## En ipv6
|
||||
Un réseau uniquement ipv6 serait plus compliqué à mettre en place au niveau des accès depuis des clients ipv4. Cependant un bloc d'ipv6 en plus d'une ou deux ipv4 serait un plus.
|
||||
|
||||
## Conclusion
|
||||
|
||||
Le choix qui serait le plus fiable au niveau de la gestion de la disponibilité du serveur serait une ipv4 pour l'accès au firewall et une seconde ipv4 pour l'accès direct au serveur car plus sûr en cas de crash des deux VM. Avec un bloc d'ipv6 pour pouvoir rajouter progressivement le support de l'ipv6.
|
||||
Reference in New Issue
Block a user