Architecture Réseau : Guide DNS, TLS et Proxies Inverse

Objectif

Ce guide de référence propose des modèles d'architecture pour l'implémentation d'un accès réseau sécurisé dans les environnements homelab, en utilisant DNS, les certificats TLS et les proxies inverses.

Modèle d'Architecture : Sécuriser les Services Internes

Couche 1 : Segmentation Réseau

Internet → WAN → pfSense → LAN (Internal Services)
                     ↓
              Reverse Proxy (Nginx Proxy Manager)
                     ↓
         ┌───────────┼───────────┐
         ↓           ↓           ↓
    Proxmox        n8n      Databases
  (192.168.1.10) (.20)       (.30)

Couche 2 : Résolution DNS

Option A : Domaine Public + Split DNS

Externe : proxmox.yourdomain.com → Public IP → Cloudflare Tunnel
Interne : proxmox.lab.local → 192.168.1.100 (Reverse Proxy)

Option B : DNS Local Uniquement

Tous les Clients : proxmox.local → 192.168.1.100 (pfSense DNS Resolver)

Couche 3 : Terminaison TLS

Proxy Inverse (Nginx Proxy Manager)

Client (HTTPS) → Nginx Proxy Manager → Backend (HTTP/HTTPS)
              ↓
      Certificat Let's Encrypt ou Auto-signé

Liste de Contrôle d'Implémentation

Configuration DNS

pfSense DNS Resolver :

Services → DNS Resolver → Host Overrides
- proxmox.lab → 192.168.1.100
- n8n.lab → 192.168.1.100
- db.lab → 192.168.1.100

Configuration du Proxy Inverse

Nginx Proxy Manager :

Proxy Hosts:
1. proxmox.lab → https://192.168.1.10:8006
2. n8n.lab → http://192.168.1.20:5678 (WebSockets: ON)
3. db.lab → http://192.168.1.30:5432

Options de Certificats SSL

Option 1 : Let’s Encrypt (Défi DNS) - Nécessite un domaine public - Utilise l'API Cloudflare - Renouvellement automatique tous les 90 jours

Option 2 : Auto-signé (mkcert) - Installation locale de l'AC requise - Aucune dépendance externe - Renouvellement manuel

Option 3 : Certificat d'Origine Cloudflare - Certificats gratuits de 15 ans - Uniquement pour les domaines sous proxy Cloudflare - Approuvé par le edge de Cloudflare

Couches de Sécurité

1. Couche Réseau

• Règles de pare-feu pfSense
• Segmentation VLAN
• Restrictions de ports

2. Couche Transport

• Chiffrement TLS 1.3
• Suites de chiffrement robustes
• HTTP Strict Transport Security (HSTS)

3. Couche Application

• Authentification (Auth de base HTTP, OAuth)
• Listes de contrôle d'accès
• Limitation de débit

Modèles Courants

Modèle 1 : Services de Développement

DNS Local : service.lab
Certificat : Auto-signé (mkcert)
Accès : LAN uniquement
Backend : HTTP

Modèle 2 : Services de Production

DNS Public : service.yourdomain.com
Certificat : Let's Encrypt
Accès : Internet (avec authentification)
Backend : HTTPS (validé)

Modèle 3 : Approche Hybride

Interne : service.lab (mkcert, LAN)
Externe : service.yourdomain.com (Let's Encrypt, Cloudflare Tunnel)
Backend : Même service, chemins d'accès différents

Référence des Commandes Rapides

Tester la Résolution DNS

nslookup proxmox.lab
dig proxmox.lab +short

Tester le Certificat TLS

openssl s_client -connect proxmox.lab:443 -servername proxmox.lab
curl -vI https://proxmox.lab

Vérifier la Configuration du Proxy

curl -H "Host: proxmox.lab" http://192.168.1.100
curl -I https://proxmox.lab

Matrice de Décision

Bonnes Pratiques

1. Toujours utiliser HTTPS pour les interfaces web
2. Mettre en œuvre une défense en profondeur (pare-feu + proxy + auth)
3. Utiliser des mots de passe robustes ou l'authentification par clé
4. Surveiller régulièrement les journaux d'accès
5. Maintenir les certificats à jour (renouvellement automatique)
6. Documenter votre architecture avec des diagrammes
7. Tester les procédures de reprise après sinistre

Conclusion

Une architecture réseau appropriée avec DNS, TLS et des proxies inverses crée une infrastructure homelab sécurisée et gérable. Choisissez les modèles en fonction de vos exigences de sécurité et de vos besoins d'accès.

Pour une implémentation détaillée, consultez les articles connexes sur Nginx Proxy Manager et la configuration de pfSense.