Update README.md
This commit is contained in:
Ssyleric
64
README.md
64
README.md
@@ -1,40 +1,72 @@
|
||||
# Configuration Réseau Proxmox + Tailscale
|
||||
# Configuration Tailscale avec IP Forwarding et NAT sur Proxmox (PVE)
|
||||
|
||||
## Objectif
|
||||
Ce fichier documente la configuration appliquée sur le nœud Proxmox `pve` pour activer le routage via Tailscale et assurer la sécurité réseau.
|
||||
|
||||
Configurer Proxmox (PVE) pour autoriser le forwarding IP et permettre à Tailscale de relayer le trafic.
|
||||
---
|
||||
|
||||
## Étapes effectuées
|
||||
## 1. Activation de l'IP Forwarding
|
||||
|
||||
1. **Activation de l’IP Forwarding**
|
||||
Deux fichiers ont été configurés pour activer le forwarding IPv4 :
|
||||
|
||||
```bash
|
||||
echo 'net.ipv4.ip_forward = 1' | tee -a /etc/sysctl.d/99-tailscale.conf
|
||||
echo 'net.ipv4.ip_forward = 1' | tee -a /etc/sysctl.conf
|
||||
sysctl -p /etc/sysctl.conf
|
||||
sysctl -p /etc/sysctl.d/99-tailscale.conf
|
||||
```
|
||||
|
||||
2. **Règles iptables**
|
||||
---
|
||||
|
||||
## 2. Configuration des règles iptables
|
||||
|
||||
### Autoriser le trafic Tailscale
|
||||
|
||||
```bash
|
||||
iptables -I FORWARD -i tailscale0 -j ACCEPT
|
||||
iptables -I FORWARD -o tailscale0 -j ACCEPT
|
||||
```
|
||||
|
||||
### Activer le NAT vers le LAN (vmbr0)
|
||||
|
||||
```bash
|
||||
iptables -t nat -I POSTROUTING -o vmbr0 -j MASQUERADE
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## 3. Sauvegarde des règles
|
||||
|
||||
Les règles iptables sont sauvegardées dans `/etc/iptables/rules.v4` :
|
||||
|
||||
```bash
|
||||
iptables-save > /etc/iptables/rules.v4
|
||||
```
|
||||
|
||||
3. **Vérifications**
|
||||
---
|
||||
|
||||
- `sysctl net.ipv4.ip_forward` → doit afficher `= 1`
|
||||
- `iptables -L FORWARD -n -v` → doit montrer les règles ACCEPT pour `tailscale0`
|
||||
## 4. Vérification de l'état du réseau
|
||||
|
||||
## Sécurité
|
||||
Pour vérifier que tout est en place :
|
||||
|
||||
- Ports d’administration limités par PVEFW
|
||||
- Trafic non autorisé bloqué par les chaînes DROP
|
||||
- MASQUERADE appliqué uniquement sur `vmbr0`
|
||||
```bash
|
||||
sysctl net.ipv4.ip_forward
|
||||
iptables -L FORWARD -n -v
|
||||
ss -tulwn | grep LISTEN
|
||||
```
|
||||
|
||||
## Notes
|
||||
---
|
||||
|
||||
- Cette configuration permet à PVE d’agir comme **exit node** ou **subnet router** pour Tailscale.
|
||||
- À tester depuis un autre nœud Tailscale avec un `ping` vers une IP locale derrière PVE.
|
||||
## 5. Sécurité
|
||||
|
||||
- Le **firewall PVE** est actif et bloque tout trafic non autorisé
|
||||
- NAT uniquement sur le réseau Tailscale (`100.64.0.0/10`)
|
||||
- Règles de DROP sur les paquets multicast/broadcast non nécessaires
|
||||
- Port d’administration 8006 uniquement accessible depuis IP autorisées
|
||||
|
||||
---
|
||||
|
||||
## 6. Résultat attendu
|
||||
|
||||
- Accès aux machines du LAN via l’IP Tailscale (`100.x.x.x`)
|
||||
- Routage correct via le nœud PVE
|
||||
- Trafic non sollicité bloqué
|
||||
|
||||
Reference in New Issue
Block a user