Discussion :

[ooO_qO_Op_Ooo]

Bounour à tous,

Je suis un débutant en réseau , comme qui dirait un jojo la bricole.

J'ai accumulé tout au fil du temps whatmille appareils connectés à ma box du moment, parmi lesquels (au dernier recensement) :

• - 3 PC fixes
• - 3 PC portables
• - 1 PS4
• - 4 Téléphones
• - 2 tablettes
• - 1 home cinéma
• - 1 TV
• - 1 Box IPTV
• - 3 Chrome cast
• - 2 Miracast
• - 2 NAS
• - 1 imprimante
• - 1 Imprimante 3D
• - 1 box domotique

Le contexte est le suivant :

• Je suis en micro entreprise, je fais du conseil en gestion de projet côté MOA et voudrais isoler le matériel consacré à cette activité. D'une part pour des questions de cloisonnement, et d'autre part pour des besoins professionnels spécifiques (hébergement de sites web, gestion de base de données, serveur FTP, et toutes les joyeusetés collaboratives qui peuvent m'être utiles :-) )
• Côté famille,
• je suis l'heureux titulaire de 2 ados, consommateurs de PLA, de jeux en ligne (ils sont au 35h), de mangas et j'en passe.
• j'ai un NAS famille, pour y stocker toutes les ressources familiales partagées et sauvegardée (musiques, vidéos, photos etc)
• j'ai une box domotique

Le besoin :
Idéalement,

• j'aimerai accéder depuis l'extérieur à mon équipement pro sans exposer le perso et vice versa.
• J'aimerai accéder en local à n'importe quelle ressource
• J'aimerai que n'importe quelle ressource puisse accéder :
• à la domotique
• à l'imprimante
• à l'imprimante 3D

J'ai fait l'inventaire des adresses MAC de tous les équipements parce que c'est la seule chose que je sais faire.

Ma requête est la suivante :
Quelles sont les bonnes questions que je doivent me poser ?
Quels sont les scénarios en matière d'architecture qui s'offrent à moi ?

Merci de m'avoir lu jusqu'ici et du temps que vous pourrez me consacrer.

Bonne fin de journée

X

[becket]

Salut,

Pour faire simple, tu besoin d'autant de réseaux que de segments que tu veux faire

- 1 pour les pc du réseau local
- 1 pour le pc professionnel
- ... etc

Cette segmentation va permettre de mettre en place les autorisations / interdictions que tu voudras mettre en place.

On segmente le tout en mettant les machine sur des réseau séparés et cela se fait à deux niveau ( pour faire simple )

- On met les machines sur des switches différents ( ou mieux sur des VLANS différents )
- On configure machines sur des ranges ip différentes


Ensuite, on connecte tous ces réseau à un routeur ou mieux à un firewall.


Je ne voudrait par te décourager mais même si cela à l'air simple sur le papier, c'est pas mal de choses à maitriser et pas mal de travail pour y arriver.

[ooO_qO_Op_Ooo]

Bonjour Becket

Un grand merci pour avoir pris le temps d'étudier mon projet.

Ça n'est effectivement pas simple. J'ai commencé une "big picture" en me servant d'un logiciel gratuit que j'ai trouvé sur le web (voir PJ). Je pense y aller par petits pas au début, à savoir tout le bordel perso sur la box en modem routeur (j'allais dire comme d'hab) et commencer par le pro derrière un routeur dédié avec reglages fins aux petits oignons.

Je pense faire mes premiers tests ce WE y compris pour le VLAN que je ne connaissois pas . et viendrais pleurer ici même en début de semaine.

Bonne fin de semaine et à bientôt.

-X-

[becket]

J'ai regardé ton schéma en vitesse et cela peut fonctionner avec ce que tu proposes mais cela va être compliqué à configurer / gérer.

Je te recommande d'opérer les modifications suivantes :

1 - Tu dois transformer tes routeur "pro" en Accès point ( avec ou sans controlleur )
2 - Tu dois mettre ton routeur / firewall ( je conseille pfsense pour faire le job ) entre ton switch et la box
3 - Tu dois mettre des switch supportant les vlans partout.

[ooO_qO_Op_Ooo]

Salut Becket

Merci pour ce retour. Mes commentaires dans le texte.

1 - Tu dois transformer tes routeur "pro" en Accès point ( avec ou sans contrôleur )

• [Ok, merci ! Je vais essayer ce WE.

2 - Tu dois mettre ton routeur / firewall ( je conseille pfsense pour faire le job ) entre ton switch et la box

• Euh, merci pour le conseil, je ne connaissais pas ce logiciel. J'ai téléchargé la version AMD64 DVD image (ISO) installer. L'installer entre le switch et la box ...euh ok je vais essayer

3 - Tu dois mettre des switch supportant les vlans partout.

• Ok je suis allé en acheter deux hier, c'est ce qu'il restait en magasin. j'ai pris Netgear GS305E. Je verrai comment tout ça se paramètre.

De mon côté je vais commencer à te poser les questions cons du novice ... :

• Y a t'il un point d'entrée pour la configuration de tous les équipements ? Par exemple, je me mets sur l'interface de la box ? ou je passe par chaque équipement pour le paramétrer ? Exemple le routeur pro. Dans quel ordre faut il que j'opère ?
• Je n'ai que deux sorties RJ45 sur la box 4G, une "LAN1" et une "LAN2/WAN", sur laquelle dois-je connecter le router pro ?

[becket]

Y a t'il un point d'entrée pour la configuration de tous les équipements ? Par exemple, je me mets sur l'interface de la box ? ou je passe par chaque équipement pour le paramétrer ? Exemple le routeur pro. Dans quel ordre faut il que j'opère ?

Tu vas avoir l'interface pour le firewall et une ou plusieurs pour les antennes wifi ( sans ou avec contrôleur )

Je n'ai que deux sorties RJ45 sur la box 4G, une "LAN1" et une "LAN2/WAN", sur laquelle dois-je connecter le router pro ?

Si tu pars sur un "routeur" pro, tu dois utiliser LAN1

[ooO_qO_Op_Ooo]

Si tu pars sur un "routeur" pro, tu dois utiliser LAN1

Je pars sur un routeur pro parce que mon immense science que je n'ai pas m'a dit qu'il fallait bien se lancer à un moment.

Pour autant, n'aurais-tu pas une autre façon de faire plus élégante et optimisée par rapport à ce premier jet ? Si tu as des suggestions je prends volontiers

[becket]

Je comprend que ton projet peut te sembler volumineux en terme de configuration et d'apprentissage mais c'est des demandes tout à fait habituel dans le monde de l'entreprise.

Si je peux te donner un conseil, c'est de travailler par étape en faisant toujours en sorte d'apporter quelque chose de nouveau. Je m'explique : Il peut être tentant de tout mettre en œuvre en même temps mais c'est la meilleure façon pour "tout casser".

Donc si je peux me permettre :

1 - Ajouter le firewall entre box et le switch
2 - Installer les deux AP
3 - Créer les VLAN ( Pro, Perso, IOT, etc ) sur les switch et les sous-interfaces du routeurs. Configurer les portes des switches en fonction du type : Porte Accès ( Pc, Imprimante ), Trunk ( AP, Routeur, Switch )
4 - Créer plusieurs SSID sur les AP ( Plus simple si tu utilises un contrôleur ) et lier chaque SSID à son numéro de VLAN ( distinct ou identique au réseau "concernée" )


Je me doute que tu dois être bien dérouté par mon message mais en procédant ainsi, tu obtiendrais une topologie très souple plus facile à gérer ( une fois assimilée )

[ooO_qO_Op_Ooo]

Ola,

Merci pour ce retour méthodo très très apprécié.

J'ai récupéré les switches configurables hier, j'ai téléchargé pfsense et du coup VirtualBox pour l'étape 1, sur mon ordinateur de bureau. Pas moyen de trouver un SHA256 checksums équivalent entre ce que je téléchargeais et ce que le site mentionnait. De guerre lasse j'ai tout de même fait le CD à partir de l'image ISO.

Pour autant je n'ai pas poursuivi l'installation, j'ai regardé des tutos mais je ne comprends rien à la logique du "virtuel". j'ai cru comprendre qu'à un moment il fallait installer tout ça sur des partitions de disques durs et de surcroit entre la box et le premier switch. De quoi s'agit-il ? Faut-il que je mette un disque dur externe sur l'USB de la box pour y installer le firewall ? Faut-il une machine dédiée allumée en permanence ? Comment cibler l'endroit exact ou l'on installe le firewall.
Si j'installe tout ça sur mon ordinateur de bureau et qu'il est éteint, en maintenance ou que j'en change quid de pfsense ?

Merci de ta patience

[becket]

Par rapport à Virtualbox, c'est une très bonne idée pour de l'apprentissage et éventuellement une plateforme de test mais ce n'est pas du tout destiné à être utilisé en permanence puisque tu si tu vas dans cette direction, tu vas faire dépendre la connexion internet de tous les utilisateurs a une machine virtuelle sur ton pc. Tu as donc très bien anticipé le fait que si ta machine est coupée, les utilisateurs n'auront plus accès à internet également ... Pas top ! En plus, un certain nombre de fonctionnalités ne seront pas disponible car le matériel est "émulé".

Personnellement, j'utilise très régulièrement Virtualbox pour faire des "labos" sur mon pc avec des pfsense virtuels et cela fonctionne très bien mais pour cela il faut bien maîtriser la configuration d'un réseau, le routage, le NAT ... etc et les différents mode d'opération des cartes réseaux virtuelles proposées par virtualbox ( NAT, Accès par pont, Réseau interne, Réseau privé d'hotes ).

Pour mettre en route un pfsense soit tu achètes du matériel officiel Netgate et je ne te cache pas que c'est un peu cher ... , soit du achètes du matériel d'occasion qui a été adapté pour faire tourner pfsense ( ebay.be propose déjà du matériel préconfiguré pour une centaine d'euros ), soit tu utilises un vieux pc ou tu installes une seconde carte réseau. J'ajoute à titre d'anecdote qu'il est possible sur les plus gros modèle de synology de faire tourner des machines virtuelles mais je n'ai jamais essayé pfsense dessus en tant que passerelle par defaut et je précise tout de suite que si c'était quelque chose que tu envisageait que la configuration peut être relativement plus compliquées.

Hormis cette dernière suggestion ( qui est la plus pour information ), le plus simple étant de choisir du matériel sur lequel tu peux brancher un écran / clavier car un certain nombre d'opérations/configurations peuvent être effectuées depuis la console.


Et pour finir à ce sujet, evidemment, le pfsense en question devra tourner en permanence, tout comme ta box et le reste du matériel réseau.

[ooO_qO_Op_Ooo]

Je te rejoins, il sera temps de faire de la spéléo dans les paramétrages de Synology quand j'aurais quelques galons de plus. C'est un peu too much pour le bleu bite que je suis.

J'ai trouvé ce truc là sur Amazon, https://www.amazon.fr/Pfsense-Firewa...7KX42T1T&psc=1, ça tourne sous Linux que moi pas connaitre, mais ça a des specs pas dégueulasses.

Qu'en penses-tu ?

[becket]

J'ai utilisé ces boîtiers commandés sur amazon, cela fonctionne très bien. Fait attention de prendre un modèle avec une sortie video ( hdmi, vga ) pour plus de facilité.
Le modèle que tu as choisit possède de l'hdmi, ce qui est parfait.

[ooO_qO_Op_Ooo]

Rhâââ Amazon.fr

"Nous ne sommes pas en mesure d'expédier des articles non numériques vers les adresses d'expédition en France et à Monaco. Veuillez choisir une adresse d'expédition qui n'est pas en France pour continuer. Certaines restrictions peuvent toujours s'appliquer en fonction de l'article.
Vous pouvez également vous rendre sur amazon.fr pour accéder à des millions de produits livrés en France.
Pour expédier cet article à une adresse supplémentaire, veuillez augmenter la quantité."

Rien ne va dans ce message, tout est faux

Bon j'ai fini par acheter directement chez le fabricant, mais vu que le reçu de commande s'intitulait "Reçu pour votre paiement à 倪 爽", je suppose que je le recevrai mais je ne saurais dire quand.

Je vais donc mettre le sujet en pause le temps que l'étape 1 se puisse réaliser.

Bonne semaine becket et @ la prochaine

[ooO_qO_Op_Ooo]

A y est que j'ai reçu mon KETTOP avec une config 4GB de RAM et 32 GB SSD + WiFi et que je l'ai installé (laborieusement ) avec pfsense dessus. Ça n'est pas très français mais ça m'a mis en émoi. Pour info mieux vaut passer par la procédure d'installation USB que par celle du DVD.

Je suis parti sur un setup BIOS UFS en choisissant une partition MBR. Pour autant j'ai lu, sur des forums par la suite, qu'il valait mieux opter pour une installation ZFS dans le cas de baisses de tension auxquelles pfsense parait plus que sensible en UFS. Etant donné que nous avons pas mal d'orages de part chez nous, j'ai beau avoir un onduleur de base, je préfère jouer la carte de la sécurité. Je vais donc réinstaller tout ça en ZFS.

Pour autant, je vais arriver à nouveau sur l'assignation des interfaces et les menus de pfsense qui sont assez déroutants pour moi. Je ne sais même pas s'il faut brancher les câbles sur les ports réseaux avant, pendant ou après la manœuvre.

J'ai également vu des copies écrans de paramétrages via une interface web, mais je n'ai pas encore trouvé comment l'atteindre.

En conclusion, je vais reprendre l'installation en ZFS mais j'aurais besoin d'être guidé pour le minimum viable de paramétrages physique ou logique ou virtuel avant de passer au point 2.

@ bientôt et bonnes vacances si tu es en plein dedans.

[becket]

Salut,

J'opte toujours pour l'installation avec ZFS depuis qu'elle est disponible parce que ZFS intègre un mécanisme de snapshot très pratique.

Pour l'install, tu peux la faire câbles débranchés et assigner chaque interface à son role après depuis le menu de la console

1 - Assign interface
2 - Assign ip adress

Une fois que tu as configuré cela, tu peux brancher ton pc (ou un switch ) sur l'interface que tu as désigné "LAN" et prendre la main avec un navigateur web pour faire toute la configuration. Par défaut, il écoute sur http et te redirige vers https
Si tu as peur de te planter dans la configuration, tu peux faire étape par étape et sauvegarder chaque configuration fonctionnelle depuis le menu "Diagnostic -> Backup & Restore "

[chrtophe]

Alternative simple et efficace :
1 abonnement Internet pro ou tu branches tout ce qui concerne le pro
1 abonnement Internet perso ou tu branches tout ce qui est perso
aucun lien entre les 2. La problématique dans ce cas de figure, par rapport à ton schéma sera les imprimantes, sans compter tes éventuelles autres contraintes/besoins/choix.
cela reste une solution à envisager pour un cloisonnement total, à toi de voir si tu l'écarte ou non.

Si tu connectes 2 routeurs derrière la BOX, pas forcément besoin de VLAN (becket qu'en penses-tu ?) sous réserve que le routeur 1 ne puisses pas pinger une adresse du routeur 2, ces routeurs peuvent en intégrer (des VLAN). Ensuite sur le sous-réseau PRO, tu places le pfsense, du coup aucun changement pour le réseau PERSO, et tu peux utiliser le wifi de la BOX pour l'internet perso.

Tu peux aussi envisager le pfsense au cul de la BOX, et de faire des VLAN depuis pfsense pour un VLAN PRO et un VLAN perso, mais je ne sais pas si il vaut mieux avoir des VLAN depuis des switchs ou si ceux de pfsense suffiront. le NAS PRO devra être placé en DMZ. Depuis pfsense, tu peux gérer un point d'accès qui sera isolé du reste et n'aura donc pas accès au contenu du ou des VLAN. Je ne sais pas si tu peux placer celui-ci dans un VLAN.

Passer par des VLAN peut te poser des problèmes avec les téléphones IP, solutionnable en les raccordant directement sur la box en filaire. Idem pour le décodeur TV, voir si ça ne pose pas de problèmes.

Ensuite pour les imprimantes, c'est pareil. Elles devront probablement être accessibles depuis les 2 VLAN, à moins que tu utilises des imprimantes différentes pour le pro et le perso. En faisant du paramétrage, tu devrais pouvoir les rendre accessibles depuis plusieurs VLAN.
Du coup il faut faire attention à ne pas transformer la sécurité mise en place par le cloisonnement en passoire par un mauvais paramétrage.

[becket]

Salut Christophe,

J'ai un peu de mal à comprendre ta proposition avec deux routeurs qui peuvent pas se pinger mais avec des VLANS... J'ai relu ta proposition plusieurs fois mais un petit graphique explicatif serait sympa. Petite remarque néanmoins sur le portée des vlans. les vlans ont une portée locale, c'est à dire qu'ils ne traversent pas les routeurs. Par exemple, si si tu as deux bâtiments que tu relies par deux routeurs et que chaque bâtiments possèdent tous les deux le VLAN x (y, z peu importe ). Cela reste des VLAN différents.

Sur la proposition de découpage en elle même avec deux "routeurs", je lui préfère une solution plus élaborée parce que la demande est assez précise avec des droits d'accès tout azimuts


Le besoin :
Idéalement,

j'aimerai accéder depuis l'extérieur à mon équipement pro sans exposer le perso et vice versa.
J'aimerai accéder en local à n'importe quelle ressource
J'aimerai que n'importe quelle ressource puisse accéder :
à la domotique
à l'imprimante
à l'imprimante 3D


Mais ta proposition serait bien plus intéressante / pratique si les droits d'accès se limitaient à avoir accès à plusieurs périphériques depuis les deux réseaux ( PRO / PERSO ) et pas de communication entre ces deux derniers.


Par rapport à pfsense directement derrière la BOX. Si tu fais des VLANS en terme de 802.1Q, alors évidemment tu vas devoir mettre du matériel qui permet de segmenter le trafic sur base de ces étiquettes. On peut évidemment tordre un peu cette contrainte dans des conditions particulières mais je ne vais pas rentrer dans les détails pour éviter de brouiller tout le monde.

Par rapport à ton "point d'accès", je ne saisi pas bien si tu parles d'un point d'accès wifi ou du mode wifi que certaines cartes peuvent utiliser une fois supporté par freebsd / pfsense ou d'autre chose.


Dans un cas comme dans l'autre, tu peux créer un réseau isolé. L'utilisation d'APs dédiés reste plus simple mais utiliser une antenne dans PfSense reste possible ( même si elle distribue plusieurs SSID )

[chrtophe]

Voici les shémas envisagés de mon point de vue.

Dans le premier, pas de sécurisation de la partie perso, je ne sécurise que la partie pro via le pfsense, je ne fais de pas VLAN.
Dans le second, la box ne me sers que de point d'entrée Internet, tout se passe derrière le pfsense qui gère la sécurité et les VLAN. J'envisage la possibilité de mettre les imprimantes dans un VLAN à part sous réserve que le vlan perso et le vlan pro puisse y accéder, ça doit pouvoir se faire je pense (suis pas expert en VLAN).

Un truc m'intrigue sur le lien Amazon ",Pfsense,Firewall,Cent Os Etc "

, normalement pfsense tourne sur BSD, du coup c'est peut-être compatible mais pas installé dessus, donc peut-être prévoir de devoir faire l’installation.

Sinon, tu as aussi Zyxel, Sophos qui font des boitiers tout fait de ce type. J'ai pas assez d'expérience dessus pour te conseiller des modèles précis, l’intérêt étant que tu pourras peut-être avoir un support technique, pouvant être utilise pour les débutants, mais tu perds l'aspect libre et gratuit de pfsense.

Autre point à prendre en compte :
sur ton shéma ooO_qO_Op_Ooo, ta box serais en 4G. Ca va pas être génial en temps d'accès au NAS depuis l’extérieur. Ton NAS a peut-être des fonctionnalités cloud (synchro des données du NAS vers un cloud du constructeur ou de type google, dropbox), c'est une éventualité à peut-être prendre en compte avec les avantages et inconvénients du cloud

[becket]

Par rapport à la proposition 1

Elle ne permet pas de réaliser complètement le cahier des charges

J'aimerai accéder en local à n'importe quelle ressource

Et impose un double set de port forwarding pour

j'aimerai accéder depuis l'extérieur à mon équipement pro sans exposer le perso et vice versa.

Par rapport à la proposition 2

C'est à peu près ce que je propose, si ce n'est que je bridge le modem si possible pour mettre absolument tout derrière pfsense

[chrtophe]

Par rapport à la proposition 1 Elle ne permet pas de réaliser complètement le cahier des charges

Dans les 2 cas, je considère que le réseau pro ne va pas accéder aux ressources du réseau perso et vice versa, le NAS perso est invisible du réseau pro, je postule (peut-être à tort) qu'il n'est pas accessible de l’extérieur. Pour le NAS pro, de l’extérieur, il est accessible en passant par le pfsense, en interne que du réseau pro, pas d'accès depuis le réseau perso, sinon aucun intérêt à cloisonner les choses.

La solution 2 ou la tienne becket est une solution d'entreprise, la solution 1 est plus simple mis à part le double port forwarding effectivement, d’où ma proposition de synchro du NAS sur le cloud avec en double objectif un accès extérieur aux données sans ouvrir l'accès au NAS, et un backup sur le cloud, avec les avantages et inconvénients du cloud. Cette solution tient compte du fait qu'il s'agit que quelqu'un travaillant depuis son domicile, donc avec des ressources limitées.

Après monter l solution 2 chez lui de lui-même, c'est un beau petit projet point de vue casquette perso, et pour la casquette pro, si il n'arrive pas il peut toujours faire faire.