NexaGroup — Documentation Technique E6

Vue d'ensemble de l'infrastructure

Cette page présente une synthèse de l’infrastructure NexaGroup : périmètre couvert, principaux indicateurs techniques et services critiques déployés. Elle permet d’avoir, en un coup d’œil, la vision globale du système avant d’entrer dans le détail des sections suivantes.

6

VLANs configurés

VLAN 10 · 20 · 30 · 40 · 50 · 60

10

Serveurs déployés

8 Paris · 1 RODC Lyon · 1 pfSense sec.

2

Pare-feu (cluster HA)

pfSense CARP · XMLRPC · failover < 5 s

2

Sites interconnectés (VPN)

Paris ↔ Lyon · IPsec IKEv2 · AES-256

Résumé fonctionnel

L’infrastructure NexaGroup couvre 75 collaborateurs répartis sur 2 sites (Paris & Lyon), reliés en VPN IPsec IKEv2. Elle assure la gestion centralisée des identités (Active Directory — 2 DC + 1 RODC), le stockage collaboratif (Nextcloud), la supervision temps réel (Zabbix — 10 hôtes monitorés) et la détection de menaces (Wazuh SIEM).

Les services sont segmentés en 6 VLANs avec filtrage inter-zones sur un cluster pfSense HA (failover < 5 s). La DMZ (VLAN 30) expose 2 serveurs web derrière un reverse proxy Nginx. Le helpdesk GLPI gère le support IT avec inventaire automatisé via FusionInventory.

Services déployés

Active Directory

SRV-AD01 / SRV-AD02 — VLAN 10

✅ Actif

MariaDB (Base de données)

SRV-BDD — VLAN 10

✅ Actif

Nextcloud & Talk

SRV-NEXTCLOUD — VLAN 10

✅ Actif

SIEM Wazuh

SRV-WAZUH — VLAN 10

✅ Actif

GLPI (Helpdesk)

SRV-GLPI — VLAN 10

✅ Actif

Zabbix (Supervision)

SRV-ZABBIX — VLAN 10

✅ Actif

Reverse Proxy / Web

SRV-WEB1 / SRV-WEB2 / SRV-RPROXY — VLAN 30

✅ Actif

VPN site à site

pfSense IPsec — Interconnexion Paris / Lyon

✅ Actif

Récapitulatif réseau

VLAN	Nom	Réseau	Passerelle (VIP)	Type
10	Serveurs Infrastructure	`192.168.10.0/24`	`192.168.10.254`	Statique
20	Postes Clients	`192.168.20.0/24`	`192.168.20.254`	DHCP (.10 → .200)
30	DMZ	`192.168.30.0/24`	`192.168.30.254`	Statique
40	Dép. IT / Administration	`192.168.40.0/24`	`192.168.40.254`	Mixte (.10 → .50)
50	Infra Distante (RODC)	`192.168.50.0/24`	`192.168.50.254`	Statique
60	Clients Distants	`192.168.60.0/24`	`192.168.60.254`	DHCP (.10 → .100)
Mgmt	Sync / Heartbeat	`10.0.0.0/29`	`10.0.0.1`	Statique

Toutes les passerelles VLAN (.254) sont des adresses IP virtuelles CARP, partagées entre les deux nœuds pfSense en haute disponibilité.

Présentation du projet

NexaGroup Responsable : PAUL BARRAULT-GAUTIER

Contexte de l'entreprise

NexaGroup est une ESN (Entreprise de Services du Numérique) fondée en 2015, spécialisée dans le développement web, l'intégration de solutions métier et le conseil en transformation digitale. L’entreprise compte 75 collaborateurs répartis sur deux sites :

Site principal — Paris : siège social, 55 salariés, hébergeant l’infrastructure principale.
Site secondaire — Lyon : antenne régionale, 20 salariés, reliée au siège via VPN site-à-site.

Enjeux et objectifs du projet

Dans un contexte de croissance et de montée en criticité des services numériques, NexaGroup a engagé un projet de modernisation de son infrastructure. Les principaux objectifs sont :

Assurer la haute disponibilité des services cœur (authentification, données, supervision) via des mécanismes de redondance.
Renforcer la sécurité par une segmentation fine en VLAN et un contrôle centralisé des flux réseau.
Améliorer la visibilité et la supervision de l’infrastructure (alertes, tableaux de bord, corrélation d’événements).
Fournir des services collaboratifs modernes (partage de fichiers, visioconférence, helpdesk) aux équipes internes.

Périmètre de la solution mise en œuvre

Le projet couvre l’infrastructure réseau et serveurs des deux sites (Paris et Lyon), incluant le routage, la sécurité périmétrique, les services Active Directory, la supervision et les outils collaboratifs internes.

Environnement technique

Domaine Active Directory	`barrault.pb`
Environnement de virtualisation	VMware Workstation Pro
Pare-feux	Cluster pfSense HA (CARP, pfsync, XMLRPC)
Supervision	Zabbix + Wazuh (SIEM)
Services collaboratifs	Nextcloud & Talk, GLPI

Architecture réseau

L’architecture réseau de NexaGroup est conçue autour d’un cœur redondé basé sur un cluster de pare-feux pfSense HA. Elle s’appuie sur une segmentation par VLAN afin d’isoler les usages (serveurs, postes clients, DMZ, administration et site distant) et de maîtriser les flux inter‑zones.

Vue logique des zones

Zone	VLAN	Usage principal	Niveau de sensibilité
Infrastructure	VLAN 10	Serveurs AD, BDD, supervision, services internes critiques	Élevé
Postes clients	VLAN 20	Postes utilisateurs du site principal	Moyen
DMZ	VLAN 30	Services exposés (reverse proxy, web)	Élevé (surface exposée)
Administration	VLAN 40	Postes et outils du département IT	Très élevé
Site distant – Infra	VLAN 50	RODC et services locaux du site distant	Élevé
Site distant – Clients	VLAN 60	Postes utilisateurs site distant (VPN IPsec)	Moyen

Plan d'adressage IP

VLAN / Zone	Réseau	Passerelle VIP	Plage DHCP
VLAN 10 — Serveurs Infrastructure	`192.168.10.0/28`	`192.168.10.254`	-
VLAN 20 — Clients	`192.168.20.0/24`	`192.168.20.254`	`192.168.20.10 → .200`
VLAN 30 — DMZ	`192.168.30.0/28`	`192.168.30.254`	-
VLAN 40 — Dép. IT / Administration	`192.168.40.0/24`	`192.168.40.254`	`192.168.40.10 → .50`
VLAN 50 — Infra Distante (RODC)	`192.168.50.0/24`	`192.168.50.254`	-
VLAN 60 — Clients Distants	`192.168.60.0/24`	`192.168.60.254`	`192.168.60.10 → .100`

Principes de routage et de flux

Tout le trafic inter‑VLAN transite par le cluster pfSense (routage + filtrage L3/L4).
Les flux entre VLAN 20 / 60 (postes) et VLAN 10 (serveurs) sont limités aux ports applicatifs nécessaires.
La DMZ (VLAN 30) est isolée : aucun accès direct depuis les postes clients ; seuls des flux contrôlés vers les serveurs internes sont autorisés.
Le site distant (VLAN 50/60) est joint via un tunnel VPN IPsec chiffré, terminé sur les pare‑feux pfSense.

Segmentation VLAN

La segmentation par VLAN permet de cloisonner les usages (postes, serveurs, DMZ, administration, site distant) et de limiter l’impact d’un incident de sécurité à une zone donnée. Chaque VLAN est associé à une politique de filtrage spécifique au niveau du cluster pfSense.

Rôle des principaux VLAN

VLAN	Zone	Équipements principaux	Flux autorisés (exemples)
VLAN 10	Infrastructure	Contrôleurs de domaine, BDD, supervision, Nextcloud, GLPI, Wazuh…	Accès depuis VLAN 20/40 aux services AD, DNS, BDD, HTTP(S) internes selon besoin.
VLAN 20	Postes clients – Site principal	Postes Windows des utilisateurs	Accès contrôlé aux services internes (VLAN 10) et à Internet via pfSense.
VLAN 30	DMZ	SRV-RPROXY, SRV-WEB1, SRV-WEB2…	Flux entrants depuis Internet vers reverse proxy, flux sortants limités vers VLAN 10.
VLAN 40	Administration	Postes et outils du département IT	Accès d’administration vers VLAN 10/30/50/60 (RDP, SSH, consoles web sécurisées).
VLAN 50	Infra site distant	RODC, services locaux du site distant	Flux AD/DNS vers VLAN 10 via tunnel VPN IPsec.
VLAN 60	Clients site distant	Postes utilisateurs site distant	Accès contrôlé aux services internes via VPN IPsec (similaire aux postes VLAN 20).

Schéma de l'infrastructure

Le schéma ci‑dessous représente les principales zones (LAN, DMZ, site distant, Internet), la répartition des VLAN et le rôle du cluster pfSense dans le routage et la sécurisation des flux.

Cluster Pare-feu HA (pfSense) En production

Cluster pfSense — Haute Disponibilité

Routage, filtrage et continuité de service — Basculement automatique CARP

12/12/2025 CARP + pfsync + XMLRPC 2 nœuds

Identification Réseau Configuration Sécurité Tests

1. Identification & Rôle

Rôle : Routage, filtrage et continuité de service. Basculement automatique sans interruption des sessions actives en cas de panne du nœud primaire.

SRV-PFSENSE-01 : Nœud Primaire / Maître
SRV-PFSENSE-02 : Nœud Secondaire / Esclave

2. Intégration réseau

Interfaces (6 adaptateurs réseau par VM) :

Network Adapter 1 : WAN (Externe) — Bridged/NAT
Network Adapter 2 : SYNC (Heartbeat) — Segment LAN : SEG_SYNC_HA
Network Adapter 3 : OPT1 (VLAN 10)
Network Adapter 4 : OPT2 (VLAN 20)
Network Adapter 5 : OPT3 (VLAN 30)
Network Adapter 6 : OPT4 (VLAN 40)

Interface	IP Réelle Primaire	IP Réelle Secondaire	IP Virtuelle (VIP/GW)
WAN	DHCP/Static FAI	DHCP/Static FAI	Selon FAI
SYNC	`10.0.0.2`	`10.0.0.3`	N/A
OPT1	`192.168.10.253`	`192.168.10.252`	`192.168.10.254`
OPT2	`192.168.20.253`	`192.168.20.252`	`192.168.20.254`
OPT3	`192.168.30.253`	`192.168.30.252`	`192.168.30.254`
OPT4	`192.168.40.253`	`192.168.40.252`	`192.168.40.254`

3. Paramétrage & Configuration

Configuration CARP

Menu pfSense : Firewall > Virtual IPs
Type : CARP
VHID Group : Identifiant unique par réseau (ex: 10 pour VLAN10)
Skew Primaire : 0 (Maître) / Skew Secondaire : 100 (Backup)

Synchronisation XMLRPC & pfsync

Interface SYNC : Autoriser tout le trafic (Protocol Any)
pfsync : Synchronisation de l'état des connexions via interface SYNC
XMLRPC : Configuré UNIQUEMENT sur le Primaire
- IP cible : 10.0.0.3
- Synchroniser : Rules, NAT, DHCP, VIPs (toutes les options)

DHCP associé

La passerelle distribuée aux clients doit OBLIGATOIREMENT être la VIP (.254) et non l'IP réelle du routeur.

4. Sécurité & Règles pare-feu

Le cluster pfSense constitue le point unique de contrôle des flux entre les différentes zones (VLAN 10/20/30/40/50/60) et vers Internet. Le principe retenu est : tout est interdit par défaut, seules les communications explicitement nécessaires sont autorisées.

Principes généraux

Trafic inter-VLAN bloqué par défaut (policy deny).
Ouverture ciblée pour les services d’infrastructure : DNS, AD, supervision, accès DMZ, VPN.
Règles spécifiques heartbeat/synchronisation (SYNC, pfsync, XMLRPC) autorisées uniquement entre les nœuds pfSense.

Exemples de règles clés

Source	Destination	Service / Port	Action	Commentaire
VLAN 20 / 60 (Clients)	VLAN 10 (SRV-AD01/02)	DNS (53/TCP-UDP), Kerberos, LDAP/LDAPS	Allow	Authentification et résolution de noms des postes
VLAN 20 / 60 (Clients)	Internet	HTTP/HTTPS (80/443)	Allow	Navigation vers l’extérieur via pfSense
VLAN 30 (DMZ)	VLAN 10 (Nextcloud / GLPI / Zabbix)	HTTPS, DB (ports nécessaires)	Allow	Accès contrôlé des services exposés vers l’interne
VLAN 40 (Admin)	VLAN 10 / 30 / 50 / 60	RDP, SSH, consoles web d’administration	Allow	Accès d’administration restreint aux postes IT
VLAN 50 / 60 (Site distant)	VLAN 10 (Infra centrale)	DNS, AD, services applicatifs	Allow	Accès des utilisateurs distants via tunnel VPN IPsec

5. Tests & Validation

Test de basculement réalisé :

1. Depuis un client, lancer : ping 8.8.8.8 -t
2. Suspendre SRV-PFSENSE-01
3. Résultat attendu : perte de 1 à 2 paquets maximum, puis reprise via SRV-PFSENSE-02 qui passe en statut MASTER.

Contrôleurs de domaine (AD DS / DNS / DHCP) En production

Active Directory — SRV-AD01 / SRV-AD02

Authentification Kerberos, gestion des objets, résolution DNS, DHCP Failover

12/12/2025 barrault.pb Windows Server 2016+

1. Identification & Rôle

Rôle : Authentification Kerberos, gestion des objets, résolution de noms.

SRV-AD01 : Contrôleur Principal / Détenteur des rôles FSMO — IP : 192.168.10.5
SRV-AD02 : Contrôleur Secondaire / Réplication — IP : 192.168.10.10

2. Intégration réseau

VLAN10

Masque/24

Passerelle192.168.10.254

Serveur	Rôle	IP Fixe	DNS Préféré	DNS Auxiliaire
SRV-AD01	PDC	`192.168.10.5`	`127.0.0.1`	`192.168.10.10`
SRV-AD02	SDC	`192.168.10.10`	`192.168.10.5`	`127.0.0.1`

3. Paramétrage & Configuration

AD DS & Réplication

Réplication SYSVOL : DFS-R
Topologie : Réplication intra-site automatique (latence < 15 secondes)
Catalogue Global (GC) : Activé sur les DEUX serveurs
Rôles FSMO : tous hébergés sur SRV-AD01 (Schéma, Maître d'attribution de noms, RID, CDP, Infrastructure)

DNS Intégré AD

Type de zone : Zone de recherche directe intégrée AD (mises à jour sécurisées)
Zone principale : barrault.pb
Zones inversées : 10.168.192.in-addr.arpa, 20.168.192.in-addr.arpa
Forwarders : 8.8.8.8 / 1.1.1.1

DHCP Failover (Mode Load Balancing 50/50)

Étendue	Plage	Masque	Gateway	DNS
VLAN 20 Clients	`192.168.20.10 → .200`	`/24`	`.254`	`10.5, 10.10`
VLAN 40 Admin	`192.168.40.10 → .50`	`/24`	`.254`	`10.5, 10.10`

Structure OU Active Directory

OU=Entreprise
  ├── OU=Utilisateurs
  ├── OU=Ordinateurs
  ├── OU=Groupes
  └── OU=Services (ex: SVC_Nextcloud)

4. Sécurité & Règles pare-feu

GPO : Default Domain Policy (Politique de mots de passe, verrouillage de compte).

5. Tests & Validation

Jonction au domaine testée sur les postes clients physiques et virtuels. Résolution DNS interne/externe vérifiée via nslookup.

Serveur de données (SRV-BDD) En production

SRV-BDD — MariaDB Server

Hébergement centralisé des bases de données (GLPI, Nextcloud, Zabbix)

29/10/2025 Debian 12 MariaDB 10.11 LTS

1. Identification & Rôle

Nom d'hôte : SRV-BDD
FQDN : srv-bdd.barrault.pb
Rôle : Hébergement centralisé des bases de données relationnelles pour GLPI, Nextcloud, Centreon.

2. Intégration réseau

VLAN10

IP192.168.10.30

Masque/24

Passerelle192.168.10.254

DNS Prim192.168.10.5

DNS Sec192.168.10.10

3. Paramétrage & Configuration

Partitionnement LVM

Disque 1 (Système) : 30 Go → /, /boot, /home
Disque 2 (Données) : 50 Go → /var/lib/mysql
- Groupe de Volume : vg_data
- Volume Logique : lv_mysql
- Format : EXT4

Configuration MariaDB

Fichier : /etc/mysql/mariadb.conf.d/50-server.cnf
bind-address : 0.0.0.0 (connexions distantes depuis serveurs applicatifs)
Jeu de caractères : utf8mb4

4. Sécurité & Règles pare-feu

Sécurisation initiale

mysql_secure_installation exécuté.
Mot de passe root complexe. suppression des utilisateurs anonymes, base test supprimée, connexion root distante désactivée.

Matrice des privilèges

Base de données	Utilisateur	IP Source autorisée	Serveur source	Privilèges
glpidb	glpi_user	`192.168.10.25`	SRV-GLPI	ALL on glpidb
nextclouddb	nc_user	`192.168.10.35`	SRV-NEXTCLOUD	ALL on ncloud db
centreondb	centreon_user	`192.168.10.20`	SRV-CENTREON	ALL on centreon

Pare-feu local UFW

# Port 22 : ALLOW depuis VLAN 40 (Administration)
# Port 3306 : ALLOW depuis 192.168.10.0/24 uniquement
# Politique par défaut : DENY INCOMING

5. Tests & Validation

Modèle de privilèges testé depuis chaque IP applicative via mysql -u <user> -p -h 192.168.10.30. Connexions refusées depuis les réseaux non autorisés.

Nextcloud & Talk (SRV-NEXTCLOUD) En production

SRV-NEXTCLOUD — Cloud privé & Talk

Plateforme collaborative + communication audio/vidéo (Coturn)

12/12/2025 Debian 12 192.168.10.35

1. Identification & Rôle

Nom d'hôte : SRV-NEXTCLOUD
FQDN : srv-nextcloud.barrault.pb / nextcloud.barrault.pb
Rôle : Cloud privé collaboratif + communication audio/vidéo (Talk). Architecture : Multi-tiers.

2. Intégration réseau

Composant	Serveur hôte	Adresse IP	Port d'écoute
Frontend Web	SRV-NEXTCLOUD	`192.168.10.35`	80 (HTTP) / 443 (HTTPS)
Backend BDD	SRV-BDD	`192.168.10.30`	3306 (MySQL)
Serveur TURN	SRV-NEXTCLOUD	`192.168.10.35`	3478 (UDP/TCP)

3. Paramétrage & Configuration

Serveur Web : Apache2 + module SSL.
PHP : apcu, gd, imagick, ldap, mysql, zip, intl
Certificat SSL : Auto-signé (CN: nextcloud.barrault.pb) — requis pour Talk.
Service TURN (Coturn) : Coïmplanté sur SRV-NEXTCLOUD, Port 3478, auth: static-auth-secret.

Base de données (sur SRV-BDD)

Nom : db_nextcloud | Utilisateur : usr_nextcloud

Domaines de confiance (config.php)

'trusted_domains' => array (
  0 => '192.168.10.35',
  1 => 'nextcloud.barrault.pb',
),
'overwriteprotocol' => 'https',

4. Sécurité & Règles pare-feu

Intégration Active Directory (LDAP)

Serveur LDAP : 192.168.10.5 (Port 389)
Bind DN : CN=SVC_Nextcloud,OU=NEXTCLOUD,OU=Groupe SERVICES,DC=barrault,DC=pb
Filtre utilisateurs : Groupe "Nextcloud Users"

5. Tests & Validation

Authentification via compte AD fonctionnelle. Appels audio/vidéo Talk opérationnels via le serveur TURN.

SIEM Wazuh (SRV-WAZUH) En production

SRV-WAZUH — SIEM All-in-one

Gestionnaire de logs centralisé (Manager + Indexer + Dashboard)

12/12/2025 All-in-one 192.168.10.40

1. Identification & Rôle

Nom d'hôte : SRV-WAZUH
FQDN : wazuh.barrault.pb (A Record sur SRV-AD01)
Rôle : Gestionnaire de logs centralisé (Manager + Indexer + Dashboard).

2. Intégration réseau

Rôle	Machine	IP	Domaine
SIEM Manager	SRV-WAZUH	`192.168.10.40`	barrault.pb
Contrôleur domaine	SRV-AD01	`192.168.10.5`	barrault.pb
Passerelle	pfSense	`192.168.10.254`	—

3. Paramétrage & Configuration

Stockage dédié : Second disque de 50 Go monté sur /var/lib/wazuh-indexer. Point persistant via /etc/fstab.
Accès Dashboard : https://wazuh.barrault.pb (Login: admin). Certificat auto-signé.
Données analysées : Journaux Windows (Sécurité/Système), Intégrité FIM, Vulnérabilités.

Déploiement agent (exemple SRV-AD01)

- OS Agent : Windows
- Server address : 192.168.10.40
- Groupe : Default
- Démarrage du service : NET START WazuhSvc

4. Sécurité & Règles pare-feu

Ports ouverts (UFW) :

443/tcp : Interface Web
1514/tcp : Remontée des logs agents
1515/tcp : Enrôlement des agents
55000/tcp : API Wazuh

5. Tests & Validation

Remontée des alertes de sécurité Windows réussie. Création d'événements de test FIM détectée et indexée.

GLPI — Gestion de parc & Helpdesk (SRV-GLPI) En production

Date : 12/12/2025 OS : Debian 12 Bookworm Version : GLPI 10.x

1. Identification & Rôle

Nom d'hôte : SRV-GLPI
FQDN : srv-glpi.barrault.pb
Rôle : Gestion centralisée du parc informatique (inventaire), ticketing (helpdesk) et suivi des incidents pour l'ensemble des sites NexaGroup.

2. Intégration réseau

VLAN : 10 — IP : 192.168.10.25 — Masque : /24 — GW : 192.168.10.254
DNS : 192.168.10.5 (Prim) / 192.168.10.10 (Sec)

3. Paramétrage & Configuration

Pile applicative

Serveur Web : Apache2 avec module PHP
PHP : Extensions requises (curl, gd, intl, ldap, mysql, xml, zip, mbstring)
Base de données : Externalisée sur SRV-BDD (192.168.10.30)
- Base : glpidb
- Utilisateur : glpi_user
- Accès restreint depuis 192.168.10.25 uniquement

Intégration Active Directory

Annuaire LDAP configuré vers 192.168.10.5 (port 389)
Importation automatique des utilisateurs et groupes AD
Authentification unique via les identifiants du domaine barrault.pb

Fonctionnalités activées

Inventaire automatique du parc (via agent GLPI / FusionInventory)
Module Helpdesk : création et suivi de tickets par les utilisateurs
Gestion des contrats, licences logicielles et fournisseurs

4. Sécurité & Règles pare-feu

Pare-feu local (UFW)

# Port 22  : ALLOW depuis VLAN 40 (Administration SSH)
# Port 80  : ALLOW depuis 192.168.0.0/16 (Accès Web interne)
# Port 443 : ALLOW depuis 192.168.0.0/16 (HTTPS)
# Politique par défaut : DENY INCOMING

5. Tests & Validation

Accès à l'interface web vérifié depuis les VLAN 20 et 40.
Authentification LDAP fonctionnelle avec les comptes du domaine.
Remontee d'inventaire automatique validée sur les postes clients.

Supervision (SRV-ZABBIX) En production

Date : 12/12/2025 OS : Debian 12 Bookworm Version : Zabbix 7.x LTS

1. Identification & Rôle

Nom d'hôte : SRV-ZABBIX
FQDN : srv-zabbix.barrault.pb
Rôle : Supervision proactive de l'infrastructure : surveillance de la disponibilité des services, des performances système (CPU, RAM, disque, réseau) et génération d'alertes en cas d'anomalie.

2. Intégration réseau

VLAN : 10 — IP : 192.168.10.20 — Masque : /24 — GW : 192.168.10.254
DNS : 192.168.10.5 (Prim) / 192.168.10.10 (Sec)

3. Paramétrage & Configuration

Architecture

Serveur Zabbix : Collecteur de métriques et moteur d'alertes
Frontend Web : Apache2 + PHP (accès via https://srv-zabbix.barrault.pb)
Base de données : Externalisée sur SRV-BDD (192.168.10.30)
- Base : zabbixdb
- Utilisateur : zabbix_user

Éléments supervisés

Hôte	IP	Type d'agent	Métriques clés
SRV-AD01	`192.168.10.5`	Zabbix Agent (Windows)	CPU, RAM, Disque, Services AD/DNS/DHCP
SRV-AD02	`192.168.10.10`	Zabbix Agent (Windows)	CPU, RAM, Disque, Réplication AD
SRV-BDD	`192.168.10.30`	Zabbix Agent (Linux)	CPU, RAM, I/O disque, MySQL queries
SRV-NEXTCLOUD	`192.168.10.35`	Zabbix Agent (Linux)	CPU, RAM, Disque, Apache status
pfSense (VIP)	`192.168.10.254`	SNMP	Interfaces, Firewall states, CPU

4. Sécurité & Règles pare-feu

10050/tcp : Agent Zabbix (passif) — ouvert sur chaque hôte supervisé
10051/tcp : Zabbix Server (trapper) — ouvert sur SRV-ZABBIX
443/tcp : Frontend Web — depuis VLAN 40 uniquement
161/udp : SNMP — interrogation des équipements réseau

5. Tests & Validation

Remontee des métriques vérifiée pour tous les hôtes enregistrés.
Déclenchement de triggers testé (simulation de charge CPU, espace disque faible).
Notifications par e-mail fonctionnelles (via relais SMTP interne).

VLAN 20 — Clients Utilisateurs En production

Réseau : 192.168.20.0/24 Site : Principal (Virtualisé)

1. Identification & Rôle

Ce VLAN regroupe les postes de travail (ex: CLT-WIN) des collaborateurs du site principal. Ils accèdent aux ressources internes (VLAN 10) et à internet, tout en étant isolés de la DMZ (VLAN 30) et du domaine d'administration (VLAN 40).

2. Intégration réseau

Adressage IP : Configuré en DHCP avec allocation depuis le cluster de contrôleurs de domaine réseau (SRV-AD01, SRV-AD02).

Plage DHCP : 192.168.20.10 à 192.168.20.200
Passerelle : 192.168.20.254 (VIP pfSense)

3. Sécurité

Le trafic vers les autres VLAN est soumis à des ACL strictes dans pfSense.
Filtrage internet sortant via proxy/pfSense.

Infrastructure Web & Reverse Proxy (DMZ) En production

Date : 12/12/2025 VLAN : 30 (DMZ) Techs : Nginx (LB) + Apache2

1. Identification & Rôle

Hébergement des sites métiers redondés et sécurisation via un frontal (Reverse Proxy / Load Balancer). OS Debian Linux 64 bits.

2. Intégration réseau

Serveur	FQDN	IP	Rôle
SRV-RPROXY	`srv-rproxy.barrault.pb`	`192.168.30.10`	Load Balancer (Frontend Nginx)
SRV-WEB1	`srv-web1.barrault.pb`	`192.168.30.20`	Serveur Web Apache2
SRV-WEB2	`srv-web2.barrault.pb`	`192.168.30.21`	Serveur Web Apache2

3. Paramétrage & Configuration

Configuration Nginx (SRV-RPROXY)

# /etc/nginx/nginx.conf
upstream myapp {
    least_conn;
    server 192.168.30.20;
    server 192.168.30.21;
}

server {
    listen 80;
    location / {
        proxy_pass http://myapp;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $remote_addr;
    }
}

4. Sécurité & Règles pare-feu

Flux inter-VLAN (pfSense)

VLAN 30 → VLAN 10 (192.168.10.5 + .10) : Port 53 TCP/UDP autorisé (DNS)

Règles pare-feu local

SRV-RPROXY : Port 80 autorisé depuis réseau client
SRV-WEB1/WEB2 : Port 80 autorisé UNIQUEMENT depuis 192.168.30.10.

5. Tests & Validation

Load balancing vérifié : requêtes distribuées avec maintien sur nœud disponible via least_conn. Arrêt manuel de WEB1 entraîne la redirection totale vers WEB2 transparente pour le client.

VLAN 40 — Département IT & Administration En production

Réseau : 192.168.40.0/24 Site : Principal (Virtualisé)

1. Rôle et Objectif

Ce VLAN est strictement dédié aux administrateurs réseau et système de NexaGroup. Il héberge les postes et outils de gestion, et bénéficie de privilèges d'accès étendus sur l'infrastructure pour la maintenance et la supervision (SSH, RDP, accès Web management).

2. Intégration réseau

Plage réseau : 192.168.40.0/24
Passerelle : 192.168.40.254

3. Règles de sécurité

Il est le seul réseau autorisé à accéder aux interfaces d'administration des pare-feu, des hyperviseurs, et au port 22 des divers serveurs Linux (SRV-BDD, SRV-NEXTCLOUD, etc.).

VLAN 50 — Serveur AD Local (RODC) En production

Réseau : 192.168.50.0/24 Site : Distant (Simulé - VPN) Passerelle : 192.168.50.254

1. Introduction

Le site distant est simulé en laboratoire mais physiquement hébergé sur le même site principal. La liaison entre le réseau centralisé et le site distant virtuel est établie via un tunnel VPN monté sur un routeur pfSense dédié.

2. Spécificités

Équipement réseau : Le pfSense distant est relié à un switch local qui gère la segmentation des VLANs distants (VLAN 50 et VLAN 60).
Serveur : AD-HERO (IP: 192.168.50.x)
Rôle : Contrôleur de domaine en lecture seule (RODC) pour le site de Lyon. Il permet une authentification rapide des profils locaux.
Avantages : Disponibilité réseau accrue et maintien des authentifications sur le site en cas de perte de connectivité VPN avec Paris.

VLAN 60 — Postes Clients Distants En production

Réseau : 192.168.60.0/24 Site : Distant (Simulé - VPN) Passerelle : 192.168.60.254

1. Description

Ce VLAN regroupe les postes clients appartenant au site distant. Il est diffusé via le switch relié au pfSense local, garantissant une étanchéité par rapport au réseau serveur distant (VLAN 50).

2. Connectivité réseau

Authentification garantie par le serveur AD-HERO sur le VLAN 50 (192.168.50.x).
Le trafic vers les services centraux du siège (serveurs web, messagerie, GLPI) est routé et sécurisé de manière transparente via la connexion VPN site-à-site pfSense.

Tests & Validation

L'ensemble des services a fait l'objet de tests de validation fonctionnelle et de résilience.

Matrice de validation

Service	Scénario de test	Résultat	Statut
pfSense HA	Suspension du nœud primaire	Perte de 1-2 paquets, reprise automatique via CARP	OK
AD DS	Création objet sur AD01, vérification AD02	Réplication en < 15 secondes	OK
DHCP Failover	Arrêt du DHCP sur AD01	Bail distribué par AD02	OK
DNS	`nslookup srv-bdd.barrault.pb`	Résolution interne/externe correcte	OK
Jonction domaine	Ajout poste Windows au domaine	Jonction réussie, GPO appliquées	OK
MariaDB	Connexion depuis SRV-GLPI (port 3306)	Accès OK ; refus depuis IP non autorisée	OK
Nextcloud LDAP	Connexion avec compte AD	Authentification et sync groupes OK	OK
Nextcloud Talk	Appel audio/vidéo	Flux via serveur TURN opérationnel	OK
Wazuh SIEM	Événement FIM test	Alerte remontée et indexée	OK
Load Balancer	Arrêt SRV-WEB1	Redirection transparente vers SRV-WEB2	OK
VPN site à site	Ping VLAN 50 → VLAN 10	Tunnel IPsec établi	OK
RODC distant	Auth utilisateur VPN coupé	Auth locale via cache RODC	OK

Tous les tests de validation ont été réalisés avec succès. Chaque service répond aux exigences de disponibilité, sécurité et redondance.

Bilan & Difficultés rencontrées

Compétences mobilisées

Architecture réseau

Segmentation VLAN, routage inter-VLAN, adressage IP

Sécurité réseau

Pare-feu pfSense, ACL, DMZ, VPN IPsec

Haute disponibilité

CARP, pfsync, DHCP failover, load balancing

Supervision & SIEM

Zabbix, Wazuh, alerting, FIM

Difficultés rencontrées

Configuration CARP / pfsync

La synchronisation des états de connexion entre les deux nœuds pfSense a nécessité plusieurs itérations pour être stable. La configuration XMLRPC devait impérativement être effectuée uniquement depuis le nœud primaire.

Routage inter-VLAN et règles pare-feu

La mise en place des ACL entre VLANs a demandé une compréhension fine du flux de données. Des ouvertures spécifiques (DNS, DHCP relay) étaient nécessaires pour que les services fonctionnent correctement tout en maintenant l'isolation.

Nextcloud Talk — Serveur TURN

La communication audio/vidéo nécessitait un certificat SSL et un serveur TURN (Coturn) correctement configuré. Le secret partagé et les ports UDP devaient être ouverts à travers le pare-feu.

Wazuh — Déploiement agents Windows

L'enrôlement des agents Wazuh sur les contrôleurs de domaine Windows Server a nécessité l'ouverture de ports spécifiques (1514, 1515) et la configuration correcte de l'adresse du manager.

VPN site à site (IPsec)

La mise en place du tunnel IPsec entre le site principal et le site distant simulé a nécessité une configuration précise des phases 1 et 2, ainsi que des routes statiques adaptées.

Bilan

Points forts du projet

Architecture entièrement redondante : pas de SPOF (Single Point of Failure) sur les composants critiques
Segmentation réseau rigoureuse limitant la surface d'attaque
Supervision et sécurité proactives via Zabbix et Wazuh
Environnement collaboratif complet (Nextcloud, GLPI) intégré à l'annuaire AD
Multi-sites avec résilience (RODC pour authentification locale en cas de perte VPN)

Évolutions envisagées

Migration vers des certificats Let's Encrypt (remplacement des auto-signés)
Mise en place d'un PRA (Plan de Reprise d'Activité) formalisé
Déploiement de la sauvegarde automatisée (Veeam / scripts rsync)
Passage en HTTPS forcé sur l'ensemble des services web internes

Réalisation 1 En cours

Date : À définir Contexte : BTS SIO SISR

1. Contexte & Objectif

Détaillez ici le contexte de la première réalisation professionnelle...

2. Environnement Technique

À compléter

3. Étapes de réalisation

Phase 1 : Analyse

Description de la phase d'analyse.

Phase 2 : Déploiement

Description de la phase de déploiement.

4. Bilan de la réalisation

Résultats obtenus, difficultés rencontrées et solutions apportées.

Réalisation 2 En cours

Date : À définir Contexte : BTS SIO SISR

1. Contexte & Objectif

Détaillez ici le contexte de la deuxième réalisation professionnelle...

2. Environnement Technique

À compléter

3. Étapes de réalisation

Phase 1 : Analyse

Description de la phase d'analyse.

Phase 2 : Déploiement

Description de la phase de déploiement.

4. Bilan de la réalisation

Résultats obtenus, difficultés rencontrées et solutions apportées.