[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

infra replication + firewall

Bonjour

j'aurais besoin d'un avis expert sur la config suivante

l'existant :

site 1 :
une livebox pro V2 avec un débit pourri, paire de cuivre impossible à upgrader, etc. 

un hyperviser proxmox avec 4 vms

debian stretch openvpn

debian stretch dolibarr1

debian stretch dolibarr2

debian stretch openmediavault
3 utilisateurs locaux et quelques nomades qui passent par la vm openvpn pour l’accès aux autres vm (ERP dolibarr et NAS Openmediavault)
VPS chez OVH avec une instance Nextcloud (fichiers + synchro agenda/contacts smartphones et Thunderbird) 

mis a part les débits, tout ceci tourne comme une horloge


site 2 :

monté à l'arrache

livebox pro avec un débit confortable

debian stretch avec backuppc + openvpn sur un pc recyclé en serveur

le backuppc sauvegarde aussi l'instance Nextcloud d'OVH
NAS openmediavault sur un deuxième "serveur" synchronisé via cron/unison avec le NAS du site1
le tout sans avoir planché sur la sécurité, mis à part fail2ban qui tourne sur chacune des machines exposées à internet 

et maintenant le projet :
renforcer la securité et en outre, sur le site 2, achat d'une machine hyperviseur proxmox  pour virtualiser la totalité des machines du site 2 (Raid5?, rai6?, ZFS ?)
ainsi que l'instance Nextcloud qui pourrait etre rapatriée en local pour des raisons essentiellement économiques.
puis sur chacun  des sites, un mini-pc fanless 4 ports (j'ai vu ça sur amazon) qui servirait de firewall (pfsense ?, IPfire ?, autre chose ?) permettant de fabriquer un tunnel (ssh? openvpn, autrechose?) entre les deux sites et fournir un acces openVPN aux nomades et en outre d'assurer le routage/filtrage pour la future DMZ sur laquelle tournerait l'instance nexcloud virtualisée.
les deux VM Nas devraient être totalement synchro pour qu'un utilisateur local ou nomade retrouve l’intégralité des fichiers sur chacun des deux NAS (unison, rsync ? autrechoose?) 

ça donnerait a peu prés ça :
site1 :livebox( je coupe la wifi)  > firewall + wifi > proxmox (vm-openvpn, vm nas1, etc.)
site2 : livebox (je coupe la wifi) > firewall+wifi > proxmox patte 1 (les vm LAN)
                                                    > proxmox patte 2 (la DMZ)
en bref, sur chacun des sites ne subsisterait que l'architecture suivante : box > firewall > hyperviseur 

voilà le projet en gros
je serais trés interessé par des retours d'expé"rience, commentaires et suggestions 

SC
Reply to: