Re: infra replication + firewall
Le 09/02/2018 à 16:36, Samuel Cifuentes a écrit : Bonjour Bonjour j'aurais besoin d'un avis expert sur la config suivante l'existant : site 1 : une livebox pro V2 avec un débit pourri, paire de cuivre impossible à upgrader, etc. un hyperviser proxmox avec 4 vms debian stretch openvpn debian stretch dolibarr1 debian stretch dolibarr2 debian stretch openmediavault 3 utilisateurs locaux et quelques nomades qui passent par la vm openvpn pour l’accès aux autres vm (ERP dolibarr et NAS Openmediavault) VPS chez OVH avec une instance Nextcloud (fichiers + synchro agenda/contacts smartphones et Thunderbird) mis a part les débits, tout ceci tourne comme une horloge site 2 : monté à l'arrache livebox pro avec un débit confortable debian stretch avec backuppc + openvpn sur un pc recyclé en serveur le backuppc sauvegarde aussi l'instance Nextcloud d'OVH NAS openmediavault sur un deuxième "serveur" synchronisé via cron/unison avec le NAS du site1 le tout sans avoir planché sur la sécurité, mis à part fail2ban qui tourne sur chacune des machines exposées à internet et maintenant le projet : renforcer la securité et en outre, sur le site 2, achat d'une machine hyperviseur proxmox pour virtualiser la totalité des machines du site 2 (Raid5?, rai6?, ZFS ?) ainsi que l'instance Nextcloud qui pourrait etre rapatriée en local pour des raisons essentiellement économiques. puis sur chacun des sites, un mini-pc fanless 4 ports (j'ai vu ça sur amazon) qui servirait de firewall (pfsense ?, IPfire ?, autre chose ?) permettant de fabriquer un tunnel (ssh? openvpn, autrechose?) entre les deux sites et fournir un acces openVPN aux nomades et en outre d'assurer le routage/filtrage pour la future DMZ sur laquelle tournerait l'instance nexcloud virtualisée. les deux VM Nas devraient être totalement synchro pour qu'un utilisateur local ou nomade retrouve l’intégralité des fichiers sur chacun des deux NAS (unison, rsync ? autrechoose?) ça donnerait a peu prés ça : site1 :livebox( je coupe la wifi) > firewall + wifi > proxmox (vm-openvpn, vm nas1, etc.) site2 : livebox (je coupe la wifi) > firewall+wifi > proxmox patte 1 (les vm LAN) > proxmox patte 2 (la DMZ) en bref, sur chacun des sites ne subsisterait que l'architecture suivante : box > firewall > hyperviseur voilà le projet en gros je serais trés interessé par des retours d'expé"rience, commentaires et suggestions Je n'utilise pas Proxmox mais un host avec 2 VM et gestion VLAN: l'une routeur/pare-feu (Sophos UTM 9), la seconde pour les services que je ne veux pas gérer via UTM pour des questions de souplesse, essentiellement dnsmasq et openvpn. Sur les sites, FAI => switch manageable avec VLAN x (un différent pour chaque FAI) => UTM => Intranet (VLAN y) Cela fonctionne très bien. -- Daniel
Re: infra replication + firewall
désolé pour les envois multiples Le 09/02/2018 à 16:36, Samuel Cifuentes a écrit : Bonjour j'aurais besoin d'un avis expert sur la config suivante l'existant : site 1 : une livebox pro V2 avec un débit pourri, paire de cuivre impossible à upgrader, etc. un hyperviser proxmox avec 4 vms debian stretch openvpn debian stretch dolibarr1 debian stretch dolibarr2 debian stretch openmediavault 3 utilisateurs locaux et quelques nomades qui passent par la vm openvpn pour l’accès aux autres vm (ERP dolibarr et NAS Openmediavault) VPS chez OVH avec une instance Nextcloud (fichiers + synchro agenda/contacts smartphones et Thunderbird) mis a part les débits, tout ceci tourne comme une horloge site 2 : monté à l'arrache livebox pro avec un débit confortable debian stretch avec backuppc + openvpn sur un pc recyclé en serveur le backuppc sauvegarde aussi l'instance Nextcloud d'OVH NAS openmediavault sur un deuxième "serveur" synchronisé via cron/unison avec le NAS du site1 le tout sans avoir planché sur la sécurité, mis à part fail2ban qui tourne sur chacune des machines exposées à internet et maintenant le projet : renforcer la securité et en outre, sur le site 2, achat d'une machine hyperviseur proxmox pour virtualiser la totalité des machines du site 2 (Raid5?, rai6?, ZFS ?) ainsi que l'instance Nextcloud qui pourrait etre rapatriée en local pour des raisons essentiellement économiques. puis sur chacun des sites, un mini-pc fanless 4 ports (j'ai vu ça sur amazon) qui servirait de firewall (pfsense ?, IPfire ?, autre chose ?) permettant de fabriquer un tunnel (ssh? openvpn, autrechose?) entre les deux sites et fournir un acces openVPN aux nomades et en outre d'assurer le routage/filtrage pour la future DMZ sur laquelle tournerait l'instance nexcloud virtualisée. les deux VM Nas devraient être totalement synchro pour qu'un utilisateur local ou nomade retrouve l’intégralité des fichiers sur chacun des deux NAS (unison, rsync ? autrechoose?) ça donnerait a peu prés ça : site1 :livebox( je coupe la wifi) > firewall + wifi > proxmox (vm-openvpn, vm nas1, etc.) site2 : livebox (je coupe la wifi) > firewall+wifi > proxmox patte 1 (les vm LAN) > proxmox patte 2 (la DMZ) en bref, sur chacun des sites ne subsisterait que l'architecture suivante : box > firewall > hyperviseur voilà le projet en gros je serais trés interessé par des retours d'expé"rience, commentaires et suggestions SC
infra replication + firewall
Bonjour j'aurais besoin d'un avis expert sur la config suivante l'existant : site 1 : une livebox pro V2 avec un débit pourri, paire de cuivre impossible à upgrader, etc. un hyperviser proxmox avec 4 vms debian stretch openvpn debian stretch dolibarr1 debian stretch dolibarr2 debian stretch openmediavault 3 utilisateurs locaux et quelques nomades qui passent par la vm openvpn pour l’accès aux autres vm (ERP dolibarr et NAS Openmediavault) VPS chez OVH avec une instance Nextcloud (fichiers + synchro agenda/contacts smartphones et Thunderbird) mis a part les débits, tout ceci tourne comme une horloge site 2 : monté à l'arrache livebox pro avec un débit confortable debian stretch avec backuppc + openvpn sur un pc recyclé en serveur le backuppc sauvegarde aussi l'instance Nextcloud d'OVH NAS openmediavault sur un deuxième "serveur" synchronisé via cron/unison avec le NAS du site1 le tout sans avoir planché sur la sécurité, mis à part fail2ban qui tourne sur chacune des machines exposées à internet et maintenant le projet : renforcer la securité et en outre, sur le site 2, achat d'une machine hyperviseur proxmox pour virtualiser la totalité des machines du site 2 (Raid5?, rai6?, ZFS ?) ainsi que l'instance Nextcloud qui pourrait etre rapatriée en local pour des raisons essentiellement économiques. puis sur chacun des sites, un mini-pc fanless 4 ports (j'ai vu ça sur amazon) qui servirait de firewall (pfsense ?, IPfire ?, autre chose ?) permettant de fabriquer un tunnel (ssh? openvpn, autrechose?) entre les deux sites et fournir un acces openVPN aux nomades et en outre d'assurer le routage/filtrage pour la future DMZ sur laquelle tournerait l'instance nexcloud virtualisée. les deux VM Nas devraient être totalement synchro pour qu'un utilisateur local ou nomade retrouve l’intégralité des fichiers sur chacun des deux NAS (unison, rsync ? autrechoose?) ça donnerait a peu prés ça : site1 :livebox( je coupe la wifi) > firewall + wifi > proxmox (vm-openvpn, vm nas1, etc.) site2 : livebox (je coupe la wifi) > firewall+wifi > proxmox patte 1 (les vm LAN) > proxmox patte 2 (la DMZ) en bref, sur chacun des sites ne subsisterait que l'architecture suivante : box > firewall > hyperviseur voilà le projet en gros je serais trés interessé par des retours d'expé"rience, commentaires et suggestions SC
infra replication + firewall
Bonjour j'aurais besoin d'un avis expert sur la config suivante l'existant : site 1 : une livebox pro V2 avec un débit pourri, paire de cuivre impossible à upgrader, etc. un hyperviser proxmox avec 4 vms debian stretch openvpn debian stretch dolibarr1 debian stretch dolibarr2 debian stretch openmediavault 3 utilisateurs locaux et quelques nomades qui passent par la vm openvpn pour l’accès aux autres vm (ERP dolibarr et NAS Openmediavault) VPS chez OVH avec une instance Nextcloud (fichiers + synchro agenda/contacts smartphones et Thunderbird) mis a part les débits, tout ceci tourne comme une horloge site 2 : monté à l'arrache livebox pro avec un débit confortable debian stretch avec backuppc + openvpn sur un pc recyclé en serveur le backuppc sauvegarde aussi l'instance Nextcloud d'OVH NAS openmediavault sur un deuxième "serveur" synchronisé via cron/unison avec le NAS du site1 le tout sans avoir planché sur la sécurité, mis à part fail2ban qui tourne sur chacune des machines exposées à internet et maintenant le projet : renforcer la securité et en outre, sur le site 2, achat d'une machine hyperviseur proxmox pour virtualiser la totalité des machines du site 2 (Raid5?, rai6?, ZFS ?) ainsi que l'instance Nextcloud qui pourrait etre rapatriée en local pour des raisons essentiellement économiques. puis sur chacun des sites, un mini-pc fanless 4 ports (j'ai vu ça sur amazon) qui servirait de firewall (pfsense ?, IPfire ?, autre chose ?) permettant de fabriquer un tunnel (ssh? openvpn, autrechose?) entre les deux sites et fournir un acces openVPN aux nomades et en outre d'assurer le routage/filtrage pour la future DMZ sur laquelle tournerait l'instance nexcloud virtualisée. les deux VM Nas devraient être totalement synchro pour qu'un utilisateur local ou nomade retrouve l’intégralité des fichiers sur chacun des deux NAS (unison, rsync ? autrechoose?) ça donnerait a peu prés ça : site1 :livebox( je coupe la wifi) > firewall + wifi > proxmox (vm-openvpn, vm nas1, etc.) site2 : livebox (je coupe la wifi) > firewall+wifi > proxmox patte 1 (les vm LAN) > proxmox patte 2 (la DMZ) en bref, sur chacun des sites ne subsisterait que l'architecture suivante : box > firewall > hyperviseur voilà le projet en gros je serais trés interessé par des retours d'expé"rience, commentaires et suggestions SC