Contexte
Dans le cadre de la préparation à l'épreuve E6 du BTS SIO, j'ai conçu et déployé une infrastructure réseau complète sur un hyperviseur VMware personnel. L'objectif était de simuler un environnement professionnel réaliste, avec un cloisonnement réseau par segments, un accès internet sécurisé et plusieurs services opérationnels.
Toute l'infrastructure est virtualisée : les machines, les cartes réseau, les switchs et le pare-feu sont gérés depuis VMware. C'est cette réalisation qui m'a permis de tout mettre en place et de faire fonctionner l'ensemble des services de mon infra E6.
Déroulement
Mise en place du pare-feu pfSense
Installation et configuration de pfSense comme routeur/pare-feu central de l'infrastructure. Création d'une interface WAN en DHCP pour obtenir automatiquement une adresse IP depuis la box du réseau physique hôte — ce qui me permet de changer d'endroit physiquement sans reconfiguration. Création de 4 interfaces LAN distinctes : LAN Serveur, LAN Administration, DMZ et LAN Technique. Chaque segment dispose de son propre sous-réseau et de règles de pare-feu adaptées.
Déploiement des serveurs Active Directory redondants
Installation de deux contrôleurs de domaine Windows Server 2019 placés sur le LAN Serveur. Le DC principal gère le domaine, le DC secondaire assure la redondance par réplication AD. En cas de panne du DC1, le DC2 prend automatiquement le relais sans interruption de service.
Installation de deux serveurs supplémentaires
Déploiement de deux autres serveurs dans l'infrastructure : l'un hébergeant Zabbix pour la supervision réseau (monitoring des équipements, alertes en temps réel), l'autre hébergeant GLPI pour la gestion de parc et le ticketing interne.
Mise en place d'un serveur web accessible depuis internet
Déploiement d'un serveur web Apache placé en DMZ, le segment réseau dédié aux services exposés vers l'extérieur. Configuration d'une règle de redirection de port (port forwarding) sur pfSense pour que les requêtes HTTP/HTTPS entrantes depuis internet soient redirigées vers ce serveur. Ce serveur héberge mon portfolio BTS SIO, accessible publiquement via un nom de domaine. Le placement en DMZ est intentionnel : il permet d'exposer le service tout en isolant le serveur web du reste de l'infrastructure interne — si le serveur est compromis, il ne peut pas atteindre les LAN internes. C'est une architecture standard en entreprise pour tout service exposé sur internet.
Configuration des règles de pare-feu et du routage
Définition des règles de filtrage inter-VLAN sur pfSense : le LAN Administration peut accéder à tous les segments, le LAN Technique est restreint, la DMZ est isolée du reste. Configuration des règles NAT pour l'accès internet depuis chaque segment autorisé.
Tests de connectivité globaux
Vérification de l'accès internet depuis les segments autorisés, test du cloisonnement réseau entre les LAN, vérification des résolutions DNS, validation du bon fonctionnement de Zabbix et GLPI, et test d'accès au serveur web depuis l'extérieur du réseau via le nom de domaine.
Difficultés rencontrées
La principale difficulté a été l'alignement des adresses MAC des interfaces réseau dans pfSense avec celles que VMware attribue aux cartes réseau virtuelles. Par défaut, VMware génère ses propres adresses MAC, qui ne correspondaient pas à ce que pfSense attendait après une reconfiguration. J'ai dû identifier manuellement chaque adresse MAC depuis VMware et les faire correspondre aux bonnes interfaces dans pfSense.
L'installation du serveur Debian 12 destiné à héberger GLPI a également posé problème : malgré une configuration réseau correcte (adresse IP statique, masque, passerelle, DNS), le serveur ne pingait pas sa passerelle pfSense, alors que les autres serveurs sur le même segment n'avaient aucun souci. Après de longues recherches, j'ai identifié que le problème venait de Debian 12 lui-même, qui semble avoir un comportement différent dans la gestion de certaines configurations réseau virtuelles sous VMware. J'ai finalement opté pour Debian 13, sur lequel tout a fonctionné immédiatement. Ce problème m'a pris beaucoup de temps avant d'en identifier l'origine.
Résultats
L'infrastructure est entièrement opérationnelle : pfSense assure le routage et le filtrage entre tous les segments, les deux contrôleurs de domaine AD fonctionnent en redondance, Zabbix supervise les équipements en temps réel, GLPI est accessible depuis le LAN Administration, et le serveur web hébergé en DMZ est accessible depuis internet via un nom de domaine. Cette réalisation couvre à la fois l'architecture réseau, les services internes et la présence en ligne, en appliquant les bonnes pratiques de sécurité avec le cloisonnement DMZ.