From 389b085b62af2a2246cb5975864a73f6309aec9e Mon Sep 17 00:00:00 2001
From: Ssyleric <47066760+Ssyleric@users.noreply.github.com>
Date: Sat, 16 Aug 2025 03:08:32 +0200
Subject: [PATCH] Update README.md

---
 README.md | 64 +++++++++++++++++++++++++++++++++++++++++--------------
 1 file changed, 48 insertions(+), 16 deletions(-)

diff --git a/README.md b/README.md
index cc5af58..4fad75f 100644
--- a/README.md
+++ b/README.md
@@ -1,40 +1,72 @@
-# Configuration Réseau Proxmox + Tailscale
+# Configuration Tailscale avec IP Forwarding et NAT sur Proxmox (PVE)
 
-## Objectif
+Ce fichier documente la configuration appliquée sur le nœud Proxmox `pve` pour activer le routage via Tailscale et assurer la sécurité réseau.
 
-Configurer Proxmox (PVE) pour autoriser le forwarding IP et permettre à Tailscale de relayer le trafic.
+---
 
-## Étapes effectuées
+## 1. Activation de l'IP Forwarding
 
-1. **Activation de l’IP Forwarding**
+Deux fichiers ont été configurés pour activer le forwarding IPv4 :
 
 ```bash
 echo 'net.ipv4.ip_forward = 1' | tee -a /etc/sysctl.d/99-tailscale.conf
 echo 'net.ipv4.ip_forward = 1' | tee -a /etc/sysctl.conf
 sysctl -p /etc/sysctl.conf
+sysctl -p /etc/sysctl.d/99-tailscale.conf
 ```
 
-2. **Règles iptables**
+---
+
+## 2. Configuration des règles iptables
+
+### Autoriser le trafic Tailscale
 
 ```bash
 iptables -I FORWARD -i tailscale0 -j ACCEPT
 iptables -I FORWARD -o tailscale0 -j ACCEPT
+```
+
+### Activer le NAT vers le LAN (vmbr0)
+
+```bash
 iptables -t nat -I POSTROUTING -o vmbr0 -j MASQUERADE
+```
+
+---
+
+## 3. Sauvegarde des règles
+
+Les règles iptables sont sauvegardées dans `/etc/iptables/rules.v4` :
+
+```bash
 iptables-save > /etc/iptables/rules.v4
 ```
 
-3. **Vérifications**
+---
 
-- `sysctl net.ipv4.ip_forward` → doit afficher `= 1`
-- `iptables -L FORWARD -n -v` → doit montrer les règles ACCEPT pour `tailscale0`
+## 4. Vérification de l'état du réseau
 
-## Sécurité
+Pour vérifier que tout est en place :
 
-- Ports d’administration limités par PVEFW
-- Trafic non autorisé bloqué par les chaînes DROP
-- MASQUERADE appliqué uniquement sur `vmbr0`
+```bash
+sysctl net.ipv4.ip_forward
+iptables -L FORWARD -n -v
+ss -tulwn | grep LISTEN
+```
 
-## Notes
+---
 
-- Cette configuration permet à PVE d’agir comme **exit node** ou **subnet router** pour Tailscale.
-- À tester depuis un autre nœud Tailscale avec un `ping` vers une IP locale derrière PVE.
+## 5. Sécurité
+
+- Le **firewall PVE** est actif et bloque tout trafic non autorisé
+- NAT uniquement sur le réseau Tailscale (`100.64.0.0/10`)
+- Règles de DROP sur les paquets multicast/broadcast non nécessaires
+- Port d’administration 8006 uniquement accessible depuis IP autorisées
+
+---
+
+## 6. Résultat attendu
+
+- Accès aux machines du LAN via l’IP Tailscale (`100.x.x.x`)
+- Routage correct via le nœud PVE
+- Trafic non sollicité bloqué