Épreuve BTS - Projet 1

Lycée TechAvenir

Une infrastructure réseau sécurisée et à haute disponibilité pour un établissement scolaire. L'objectif : éliminer tout point de défaillance unique (SPOF) et isoler les services publics pour protéger les données internes.

J'ai conçu une architecture virtualisée sous VirtualBox intégrant un cluster de pare-feux, un portail web redondé en DMZ, et un environnement LAN complet (Active Directory, DHCP, Supervision, Inventaire).

pfSense (CARP) HAProxy Windows Server 2025 Debian 12 Zabbix GLPI Bash / API

Vue d'ensemble

Architecture globale

L'architecture repose sur un cluster pfSense en mode CARP. Le trafic public est dirigé vers une DMZ hébergeant un répartiteur de charge, tandis que le réseau administratif (LAN) est strictement isolé.

3 Zones réseau (WAN, LAN Admin, DMZ) cloisonnées
2 Pare-feux pfSense synchronisés (Failover < 3s)
1 Script d'automatisation Zabbix vers API GLPI (Ticketing)

WAN

Accès Internet

Simulation de la connexion FAI avec translation d'adresse (NAT) vers le portail web.

Cœur de réseau

Cluster pfSense

Nœud Master et Backup avec IP Virtuelles (VIP), synchronisation d'état (pfsync) et failover DHCP.

DMZ

Web Haute Disponibilité

HAProxy distribue le flux HTTP/HTTPS sur deux serveurs web Apache (Web1 et Web2).

LAN Admin

Services d'infrastructure

Authentification AD/LDAP, résolution DNS, supervision Zabbix et gestion de parc GLPI.

Services déployés

Points différenciants

Haute Disponibilité

CARP & pfsync

Le routeur n'est plus un SPOF. Si pfSense-Master tombe, pfSense-Backup prend le relai instantanément sans couper les connexions en cours.

Automatisation ITSM

API Zabbix & GLPI

Création d'un script Bash appelé par Zabbix générant automatiquement un ticket d'incident dans GLPI (via API REST) en cas d'hôte "DOWN".

Épreuve BTS - Projet 2

Atelier68

Conception et déploiement d'une infrastructure d'entreprise segmentée en quatre zones, intégrant un service d'annuaire complet et une zone web dédiée à la haute disponibilité.

Ce projet démontre une maîtrise de la segmentation réseau (VLANs internes VirtualBox), de la politique de sécurité (moindre privilège) et du déploiement de services sur environnements hétérogènes (Windows / Linux).

pfSense Windows Server 2025 Debian 12 HAProxy Apache GPO

Segmentation réseau

4 Zones distinctes

L'architecture s'appuie sur pfSense comme point de routage central, divisant le réseau pour isoler les services publics de l'administration interne.

WAN

Accès externe

Réseau ponté (DHCP)

  • NAT Port 80 vers DMZ.
  • NAT Port 443 vers Zone WWW.

LAN

192.168.10.0/24

Réseau de confiance

  • Srv-ad (AD, DNS, DHCP).
  • Srv-infra (Zabbix, GLPI).
  • Postes clients sous Windows 10/11.

DMZ

192.168.20.0/24

Zone semi-publique

  • Héberge le site web vitrine (dmz-web).
  • Isolement total : interdiction d'accéder au LAN.

WWW

192.168.30.0/24

Haute Disponibilité Web

  • Répartiteur HAProxy en point d'entrée.
  • Deux nœuds de calcul (www3, www4).

Inventaire technique

Serveurs et rôles

Srv-ad (LAN)

192.168.10.200

Windows Server 2025

Contrôleur de domaine atelier.lan, DNS, et distribution DHCP.

Srv-infra (LAN)

192.168.10.250

Debian 12

Centralisation ITSM avec GLPI et supervision réseau via Zabbix.

dmz-web (DMZ)

192.168.20.10

Debian 12

Serveur Apache public exposé via redirection de port (NAT) depuis pfSense.

hap (WWW)

192.168.30.10

Debian 12

Load Balancer HAProxy répartissant la charge sur les serveurs www3 et www4.