Update README.md
This commit is contained in:
Ssyleric
64
README.md
64
README.md
@@ -1,40 +1,72 @@
|
|||||||
# Configuration Réseau Proxmox + Tailscale
|
# Configuration Tailscale avec IP Forwarding et NAT sur Proxmox (PVE)
|
||||||
|
|
||||||
## Objectif
|
Ce fichier documente la configuration appliquée sur le nœud Proxmox `pve` pour activer le routage via Tailscale et assurer la sécurité réseau.
|
||||||
|
|
||||||
Configurer Proxmox (PVE) pour autoriser le forwarding IP et permettre à Tailscale de relayer le trafic.
|
---
|
||||||
|
|
||||||
## Étapes effectuées
|
## 1. Activation de l'IP Forwarding
|
||||||
|
|
||||||
1. **Activation de l’IP Forwarding**
|
Deux fichiers ont été configurés pour activer le forwarding IPv4 :
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
echo 'net.ipv4.ip_forward = 1' | tee -a /etc/sysctl.d/99-tailscale.conf
|
echo 'net.ipv4.ip_forward = 1' | tee -a /etc/sysctl.d/99-tailscale.conf
|
||||||
echo 'net.ipv4.ip_forward = 1' | tee -a /etc/sysctl.conf
|
echo 'net.ipv4.ip_forward = 1' | tee -a /etc/sysctl.conf
|
||||||
sysctl -p /etc/sysctl.conf
|
sysctl -p /etc/sysctl.conf
|
||||||
|
sysctl -p /etc/sysctl.d/99-tailscale.conf
|
||||||
```
|
```
|
||||||
|
|
||||||
2. **Règles iptables**
|
---
|
||||||
|
|
||||||
|
## 2. Configuration des règles iptables
|
||||||
|
|
||||||
|
### Autoriser le trafic Tailscale
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
iptables -I FORWARD -i tailscale0 -j ACCEPT
|
iptables -I FORWARD -i tailscale0 -j ACCEPT
|
||||||
iptables -I FORWARD -o tailscale0 -j ACCEPT
|
iptables -I FORWARD -o tailscale0 -j ACCEPT
|
||||||
|
```
|
||||||
|
|
||||||
|
### Activer le NAT vers le LAN (vmbr0)
|
||||||
|
|
||||||
|
```bash
|
||||||
iptables -t nat -I POSTROUTING -o vmbr0 -j MASQUERADE
|
iptables -t nat -I POSTROUTING -o vmbr0 -j MASQUERADE
|
||||||
|
```
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## 3. Sauvegarde des règles
|
||||||
|
|
||||||
|
Les règles iptables sont sauvegardées dans `/etc/iptables/rules.v4` :
|
||||||
|
|
||||||
|
```bash
|
||||||
iptables-save > /etc/iptables/rules.v4
|
iptables-save > /etc/iptables/rules.v4
|
||||||
```
|
```
|
||||||
|
|
||||||
3. **Vérifications**
|
---
|
||||||
|
|
||||||
- `sysctl net.ipv4.ip_forward` → doit afficher `= 1`
|
## 4. Vérification de l'état du réseau
|
||||||
- `iptables -L FORWARD -n -v` → doit montrer les règles ACCEPT pour `tailscale0`
|
|
||||||
|
|
||||||
## Sécurité
|
Pour vérifier que tout est en place :
|
||||||
|
|
||||||
- Ports d’administration limités par PVEFW
|
```bash
|
||||||
- Trafic non autorisé bloqué par les chaînes DROP
|
sysctl net.ipv4.ip_forward
|
||||||
- MASQUERADE appliqué uniquement sur `vmbr0`
|
iptables -L FORWARD -n -v
|
||||||
|
ss -tulwn | grep LISTEN
|
||||||
|
```
|
||||||
|
|
||||||
## Notes
|
---
|
||||||
|
|
||||||
- Cette configuration permet à PVE d’agir comme **exit node** ou **subnet router** pour Tailscale.
|
## 5. Sécurité
|
||||||
- À tester depuis un autre nœud Tailscale avec un `ping` vers une IP locale derrière PVE.
|
|
||||||
|
- Le **firewall PVE** est actif et bloque tout trafic non autorisé
|
||||||
|
- NAT uniquement sur le réseau Tailscale (`100.64.0.0/10`)
|
||||||
|
- Règles de DROP sur les paquets multicast/broadcast non nécessaires
|
||||||
|
- Port d’administration 8006 uniquement accessible depuis IP autorisées
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## 6. Résultat attendu
|
||||||
|
|
||||||
|
- Accès aux machines du LAN via l’IP Tailscale (`100.x.x.x`)
|
||||||
|
- Routage correct via le nœud PVE
|
||||||
|
- Trafic non sollicité bloqué
|
||||||
|
|||||||
Reference in New Issue
Block a user