# Preparatifs projet 3 sites + un datacenter (groupe) ## Obligatoires : ### GROUPE * AD primary * DNS Primaire * DHCP primaire "par-site" * DHCP secondaire "par-site" * Cluster PfSense * GLPI * IPBX * Ferme web + loadbalancer ### SITES * Cluster Pfsense * AD secondaire * DNS secondaire * DHCP primaire "par-site" * DHCP secondaire "par-site" * NAS * FTP * 2 PC windows ## Points bonus : * IPv6 * Serveur de messagerie (Bluemind) * Serveur relai de messagerie (proxmox mail gateway) * Site web fonctionnel * IDS * Terraform pour la création des VMs * Ansible pour quelques procédures d'exploitation * Active Directory Multi-master * Méthodologie « Chaos engineering * Proxy sortant (squid + squidguard) en cluster ## Definition des composants ### Réseau Wan * VIP WAN groupe : 10.28.3.1 (IP virtuelle, cluster pfsense) * VIP WAN Lyon : 10.28.3.2 (IP virtuelle, cluster pfsense) * VIP WAN Paris : 10.28.3.3 (IP virtuelle, cluster pfsense) * VIP WAN Lille : 10.28.3.4 (IP virtuelle, cluster pfsense) ### Réseau des sites * Un vlan "serveurs" * Un vlan "clients" #### Groupe * vlan 10 serveurs 10.10.10.0/24 * Gateway : 10.10.10.1 / de4:dead:beef:cafe:0010::1(IP virtuelle, cluster pfsense) * gw-groupe-1 : 10.10.10.2 / de4:dead:beef:cafe:0010::2 * gw-groupe-2 : 10.10.10.3 / de4:dead:beef:cafe:0010::3 #### Lyon * vlan 42 serveurs 10.10.42.0/24 * Gateway : 10.10.42.1 / de4:dead:beef:cafe:0042::1 (IP virtuelle, cluster pfsense) * gw-lyon-1 : 10.10.42.2 / de4:dead:beef:cafe:0042::2 * gw-lyon-2 : 10.10.42.3 / de4:dead:beef:cafe:0042::3 * ad-lyon-1 : 10.10.42.4 / de4:dead:beef:cafe:0042::4 * ad-lyon-2 : 10.10.42.5 / de4:dead:beef:cafe:0042::5 * vlan 43 clients 10.10.43.0/24 * Gateway : 10.10.43.1 / de4:dead:beef:cafe:0043::1 (IP virtuelle, cluster pfsense) * gw-lyon-1 : 10.10.43.2 / de4:dead:beef:cafe:0043::2 * gw-lyon-2 : 10.10.43.3 / de4:dead:beef:cafe:0043::3 * vlan 44 interco-pfsense LINK-LOCAL ipv6 #### Paris * vlan 52 serveurs 10.10.52.0/24 * Gateway : 10.10.52.1 / de4:dead:beef:cafe:0052::1 (IP virtuelle, cluster pfsense) * gw-paris-1 : 10.10.52.2 / de4:dead:beef:cafe:0052::2 * gw-paris-2 : 10.10.52.3 / de4:dead:beef:cafe:0052::3 * ad-paris-1 : 10.10.52.4 / de4:dead:beef:cafe:0052::4 * ad-paris-2 : 10.10.52.5 / de4:dead:beef:cafe:0052::5 * vlan 53 clients 10.10.53.0/24 * Gateway : 10.10.53.1 / de4:dead:beef:cafe:0053::1 (cluster pfsense) * gw-paris-1 : 10.10.53.2 / de4:dead:beef:cafe:0053::2 * gw-paris-2 : 10.10.53.3 / de4:dead:beef:cafe:0053::3 * vlan 54 interco-pfsense LINK-LOCAL ipv6 #### Lille * vlan 62 serveurs 10.10.62.0/24 * Gateway : 10.10.62.1 / de4:dead:beef:cafe:0062::1 (IP virtuelle, cluster pfsense) * gw-lille-1 : 10.10.62.2 / de4:dead:beef:cafe:0062::2 * gw-lille-2 : 10.10.62.3 / de4:dead:beef:cafe:0062::3 * ad-lille-1 : 10.10.62.4 / de4:dead:beef:cafe:0062::4 * ad-lille-2 : 10.10.62.5 / de4:dead:beef:cafe:0062::5 * vlan 63 clients 10.10.63.0/24 * Gateway : 10.10.63.1 / de4:dead:beef:cafe:0063::1 (IP virtuelle, cluster pfsense) * gw-lille-1 : 10.10.63.2 / de4:dead:beef:cafe:0062::2 * gw-lille-2 : 10.10.63.3 / de4:dead:beef:cafe:0062::3 * vlan 64 interco-pfsense LINK-LOCAL ipv6 ### Pfsense haute-dispo : On utilisera la fonctionnalité haute-dispo de Pfsense. On utilisera une IP virtuelle pour la sortie internet et une adresse IP virtuelle pour chaque "gateway" dans les vlans On ne pourra pas avoir d'IP publique dédiée à chaque pfsense. Par contre, on ecoutera sur l'IP 2 et 3 de chaque vlan serveurs/clients. ### IDS On utilisera snort sous forme de plugin directement intégré à PFsense. Ce dernier sera uniquement installé sur l'équipement #1 de chaque site. ### Serveur et relai de messagerie On installera un proxmox mail gateway ainsi qu'un serveur bluemind pour la gestion des emails. Le flux SMTP "entrant" passera par le proxmox qui renverra ensuite à Bluemind. Les flux SMTP authentifiés et IMAP seront directement redirigés au serveur Bluemind. Le flux web passera par le service reverse-proxy qui renverra à Bluemind ### IPv6 On configurera IPv6 sur chaque pfsense avec diffusion Router Advertisement. Chaque vlan sur chaque site aura son /64 sous forme de réseau ULA 1. Groupe/serveurs : de4:dead:beef:cafe:0010::/64 2. Lyon/serveurs : de4:dead:beef:cafe:0042::/64 3. Lyon/clients : de4:dead:beef:cafe:0043::/64 4. Paris/serveurs : de4:dead:beef:cafe:0052::/64 5. Paris/clients : de4:dead:beef:cafe:0053::/64 6. Lille/serveurs : de4:dead:beef:cafe:0062::/64 7. Lille/clients : de4:dead:beef:cafe:0063::/64 Router advertisement en mode managé (O+F) avec DHCPv6 sur chaque site. DHCPv6 sur les AD Windows de chaque site avec relai DHCP sur les pfsense ### DHCPv4 et DHCPv6 Sur chaque site se trouveront deux serveurs windows AD. Ces deux serveurs auront le role DHCP. Les pfsense feront office de relai DHCPv4 et DHCPv6 sur chaque site. Les DHCP pousseront le domaine et le serveur DNS LOCAL et celui du groupe en secondaire Les ranges DHCPv4 seront de 101 à 199 Les ranges DHCPv6 seront de de4:dead:beef:cafe:00XX:1000:: à de4:dead:beef:cafe:00XX:1000:FFFF:: ### Ansible #### Sur linux * Installation des tools * Création des utilisateurs * Ajout des clés * Installation du relai postfix #### Sur windows "client" * Relier au domaine * Installation de Thunderbird * Installation de Firefox * Installation de Linphone ### Terraform et déploiement des VMs On utilisera terraform pour le déploiement des VMs. ### Interconnexion inter-site L'interconnexion se fera par l'intermédiaire de lien VPN IPSEC entre le cluster pfsense du groupe et cluster pfsense des sites distants. Au dessus, on ajoutera un couple de règles de routage pour rediriger le trafic ### Active directory #### OU 3 OU pour les sites dans lequel on collera deux OU : utilisateurs et ordinateurs #### GPO On fera une GPO pour pousser le proxy par defaut #### Profils On partira sur des profils itinérants pour les utilisateurs De cette manière, n'importe quel utilisateur du site pourra se connecter sur n'importe quel PC. Le stockage des profils se fera sur le NAS du site local. #### DNS On fera un domaine parti-totoiste.local. On fera un sous-domaine par site : * lyon.parti-totoiste.local * lille.parti-totoiste.local * paris.parti-totoiste.local #### Archi : 2 serveurs AD par site ayant les roles DNS et DHCP 2 serveurs AD sur le groupe ayant les roles DNS et DHCP ### NAS par site Le NAS "par-site" sera motorisé par FreeNAS qu'on connecter au domaine. Ce dernier aura un partage "homes" ainsi qu'un partage de documents locaux via SMB. On fera par ailleurs un espace exporté en iSCSI déstiné à être connecté sur le serveur FTP On devra aussi installer un NAS sur le site du groupe. Ce dernier fera un export iSCSI vers les deux frontaux web ### FTP On utilisera les serveurs FreeNAS pour effectuer un partage FTP aux utilisateurs du site. En fonction des possibilité, voir si on peut utiliser les comptes AD. ### VOIP Un serveur XIVO sur le site groupe avec des users configurés en dur dans le système (pas d'interco AD) ### GLPI Un serveur LAMP (Linux Apache MySQL PHP) installé avec l'applicatif GLPI dans /var/www. Il faudra prendre le temps de configurer GLPI proprement puis installer le plugin Fusion Inventory On devra installer l'agent fusioninventory sur chaque ordinateurs, linux ou windows. Le reverse-proxy fera une redirection vers l'interface depuis l'exterieur ### Ferme web 2 frontaux web apache2 + ITK + mod-php 2 serveurs memcaches Les frontaux auront les sites sous forme /var/www/monsite.com avec un utilisateur www-monsite.com PHP aura un session.save_path configuré sur les 2 serveurs memcache (ca permet de stocker les sessions php et d'avoir de la haute dispo dans le cas ou l'un ou l'autre tomberait) Le dossier /var/www de chaque frontal sera un montage iSCSI du NAS ### Squid + squidguard On installera un serveur squid + squidguard sur le site du groupe. Ce dernier sera doublé avec un deuxième serveur et un système de cluster (corosync, heartbeat, etc)