Travailler dans la sécurité informatique, même comme débutant motivé, m’a amené à analyser d’un œil neuf l’organisation informatique de la maison. Fidèle à mon souhait de partage, je vais décrire ici l’équipement que j’utilise et comment j’en suis arrivé là. Soyez indulgent et constructif : aidez-moi.
Ce billet est consacré aux réseaux et serveurs de la maison. J’aborderai plus en détail les logiciels sans doute dans un ou plusieurs autres billets.
Tout d’abord, je voudrais rappeler qu’en matière de sécurité, rien n’est terminé. Tout évolue très vite, avec des experts de haut niveau qui suivent cela de près et qui sont eux-même dépassés d’une certaine manière. La règle d’or est donc la modestie. Il ne s’agit donc pas de décrire une solution parfaite et sûre, mais l’évolution d’une informatique domestique particulière (la mienne), avec la vision d’un informaticien plein d’incertitudes.
A tout seigneur tout honneur, regardons un peu du côté du réseau. Et je devrais dire DES réseaux. En effet, suite à une panne ayant duré 30 jours chez mon prestataire fournisseur d’accès à internet (pendant laquelle j’ai mis en place en catastrophe un accès 4G partagé, accès grillé en 2 jours par mon fils adapte du streaming ^^), je dispose de deux box internet, d’un accès 4G de secours et d’une fibre « chez un ami » :
– une Freebox fibre mini 4k
– un boîtier ADSL chez OVH
– un vieux routeur DLink sur lequel on peut brancher une clé USB 4G
– une Freebox fibre Delta S « chez un ami ».
Le cœur de réseau est un switch Netgear 16 ports GS316. Celui-ci n’est pas administrable, et ne permet pas de segmenter le réseau en VLAN, mais il n’est pas cher, il est silencieux et très stable. J’ai inscrit dans ma « TODO list » son remplacement pour pouvoir isoler un peu mieux les usages et séparer le cabinet individuel de mon épouse, mon cabinet d’expertise et les données partagées familiales. Pour l’instant, tout est branché sur le même réseau filaire…
– Avantages : simplicité, partage collectif du photocopieur/imprimante/scanner, partage du serveur de sauvegarde, partage des accès internet.
– Inconvénients : la sécurité est minimale, et un device peut mettre le dawa avec un cryptovirus, tout le monde voit tout le monde… A améliorer donc.
Pendant le confinement, je me suis amusé à mettre en place un basculement automatique vers l’ADSL en cas de coupure sur la fibre, avec une VM pfSense et un choix audacieux sur les masques de réseau, mais je suis revenu dessus et pour l’instant, j’interviens à la main, y compris à distance.
Ne pas avoir mis en place de VLAN, cela n’empêche pas de vouloir segmenter un peu son réseau. Surtout quand on ne fait pas DU TOUT confiance dans ses fournisseurs d’accès internet. J’ai donc isolé les box sur des réseaux qui leur sont dédiés (chaque box vient avec son switch intégré, donc c’est facile), séparé du mien par des petits routeurs Ubiquiti ER-X (à environ 55 euros pièce). Chaque routeur est vu par la box comme étant la DMZ vers laquelle elle envoie tout son trafic, et la gestion des flux est faite depuis le routeur (qui lui m’appartient).
LE réseau le plus sensible est celui du cabinet d’avocat de mon épouse, installée en individuelle dans des locaux adjacents à la partie privative de la maison. J’ai donc séparé son ordinateur avec un troisième routeur ER-X sur lequel elle a la main pour choisir sa passerelle par défaut en cas de coupure internet. Son photocopieur/imprimante/scanner est relié à son PC en USB et au réseau domestique par sa prise Ethernet pour partage avec la maisonnée.
Le troisième réseau de la maison est le réseau Wifi. J’ai longtemps utilisé de nombreuses bornes Wifi « premiers prix », mais suite aux différentes failles trouvées en 2019 et 2020 (KRACK, Krook, etc.) et à l’ancienneté de mes différents AP qui ne disposent pas de suivi de leur constructeur (donc pas de patchs), j’ai investi dans un groupe de 4 bornes UniFi UAP-AC-Pro qui me permettent de couvrir toute la maison, bureaux, terrasses et jardin de mon domaine (j’habite en province comme on dit à Paris). Ces bornes nécessitent un contrôleur, mais celui-ci peut être une VM et c’est le choix que j’ai fait. J’y reviendrai ci-dessous dans la partie consacrée aux serveurs. Ces bornes Wifi permettent le roaming lors des déplacements dans la maison, et diffusent deux réseaux : un réseau Wifi privatif qui accède aux NAS et un réseau Wifi « Guests » pour les visiteurs (les amis, les amis des enfants, la famille, etc.). Ce dernier ne donne accès qu’à Internet, et un QR-Code est affiché un peu partout dans la maison avec le mot de passe en clair (HADOPI même pas peur).
A propos de domaine, j’ai pour l’instant fait le choix de me passer d’un contrôleur de domaine ou d’un annuaire centralisé : les enfants sont équipés d’ordinateurs portables et de tablettes avec des comptes locaux, comme tous les ordinateurs fixes de la maison, le tout sous Windows, GNU/Linux, Android et iOS. Je réfléchis à un contrôle de l’identité plus strict, dans le cadre d’une approche « Zero trust », mais je tâtonne encore un peu… Sur ma TODO list donc.
Lorsque c’est possible, les disques durs sont chiffrées avec Bitlocker ou le chiffrement intégré. Les données les plus sensibles sont dans des containers VeraCrypt.
Côté serveurs, il y a trois systèmes hardwares différents :
– un NAS Synology (un DS918+ avec 4 disques durs de 4To) ;
– un HP micro server Gen8 (dont j’ai parlé ici il y a longtemps), initialement sous OpenMediaVault et dont j’ai découvert pendant le confinement qu’il fonctionnait parfaitement sous VMware ESXi 6.5 et qui est dédié aux sauvegardes locales (4 disques de 6To) ;
– un Raspberry PI avec un disque dur USB de 4To, sous YunoHost, dédié à l’autohébergement et à l’externalisation des sauvegardes. Cet équipement est hébergé « chez un ami » qui a la fibre.
Le NAS Synology gère le service DHCP du réseau, ainsi que le service de partage de fichiers. Il permet également d’héberger des VM :
– une VM Debian 10 qui porte le service de contrôleur Wifi, et le service d’accès distant OpenVPN (j’ai arrêté de paramétrer les box des FAI pour faire du NAT de tous les ports dont j’ai besoin, sauf pour le port OpenVPN) ;
– une VM Pi-Hole qui porte le service DNS et les listes de filtrage publicitaire et malware.
La box Delta S permet d’héberger sous forme de VM un nœud Tor sous Debian, directement exposé sur internet.
J’ai ajouté récemment une carte RAID LSI 9240-8i dans le micro serveur HP Gen8 sous ESXi pour gérer de manière matérielle la panne éventuelle de disques durs. Je l’ai passé à cette occasion sous VMware ESXi pour m’amuser avec des VM non vitales qui soulagent le NAS familial. Il héberge entre autres une VM OpenMediaVaut pour les sauvegardes de tous les ordinateurs de la maison (et du NAS Synology), une VM Windows pour tester des trucs propres à Windows, et une VM SELKS pour surveiller un peu tout cela.
Les sauvegardes des postes fixes sont faites vers le serveur de sauvegardes HP Gen8. Les sauvegardes des données importantes (containers VeraCrypt) sont faites vers le NAS familial, qui lui-même est sauvegardé vers le serveur de sauvegardes HP Gen8. Il est également sauvegardé vers le NextCloud autohébergé sur le serveur YunoHost à l’extérieur de la maison. C’est également ce serveur NextCloud qui reçoit les sauvegardes des ordinateurs portables des enfants qui ont quitté le nid familial.
Depuis leur départ, je teste une synchronisation des photos et films familiaux du NAS vers un kDrive du cloud Infomaniak, pour un partage avec eux et préparer une transmission numérique de nos souvenirs (je ne suis pas éternel).
Pour le blog, après avoir testé l’autohébergement d’un WordPress sur YunoHost, j’ai préféré la location d’un VPS chez OVH, avec son offre Kimsufi. Je fais régulièrement un backup (et des tests) sur le WordPress de mon YunoHost.
Comme je suis souvent en déplacement professionnel et que je rechigne à installer des données personnelles sur mon ordinateur professionnel, j’ai étudié l’accès à un ordinateur personnel dans le cloud, façon Stadia, Shadow, GeForce Now, xCloud ou PlayStation Now pour les gamers. Après avoir testé différentes solutions (machine dans Azure, GCP et autres hébergeurs), j’ai choisi une solution toute simple : je me connecte avec OpenVPN à mon réseau personnel et je démarre à distance mon PC perso sur lequel j’ai installé le logiciel NoMachine.
J’ai un PC bas de gamme à base de i5 mais avec deux écrans 24″, gonflé à 16Go de mémoire et animé par une Linux Mint Cinnamon. C’est mon dernier enfant qui a récupéré ma carte graphique GTX 1060 qui fait tourner tous les jeux qu’il pratique. Du coup, je teste mes programmes utilisant CUDA sur un vieux portable disposant d’une petite carte Nvidia. Un jour, à la retraite, je m’offrirai un cluster GPU pour chauffer mes vieux os et faire tourner mes programmes de deep learning 🙂
Dans de prochains billets, j’aborderai plus en détail les logiciels, les sauvegardes et les différents outils survolés ici.
Et vous, quelles solutions pour vos réseaux/serveurs avez-vous choisies ?
Avez-vous envisagé Proxmox à la place de ESX?
Oui, mais HP fournit une image VMware ESXi sur mesure pour ce vieux serveur, et je connais mieux VMware, donc je n’ai pas trop hésité. Mon regret a posteriori concerne plutôt la surveillance de l’état des disques du RAID, difficile sous VMware. Pensez-vous que c’est plus simple (natif ?) sur Proxmox ?
J’envisage aussi de revenir tout simplement à OpenMediaVault en direct sur ce serveur. Il faudrait que je mesure et compare les performances d’IO sur le RAID…
OMV bare metal vous donnera probablement une meilleur visibilité que ESX ou Proxmox sur le RAID.
Par contre, vous perdez la flexibilité et la bidouillabilité de la virtualisation.
Je vous suggère d’essayer Proxmox si vous avez un peu de temps.
C’est simple à installer et à utiliser et ca « justemarche ».
Je vais regarder ce week-end (j’ai testé Proxmox il y a 2 ans au boulot et j’avais été bluffé). Merci.
On a une infra un peu similaire à la maison avec quelques différences et comme vous dites, c’est en perpétuel travaux d’améliorations 😉 Voici quelques retours pour partager nos expériences (si on peut éviter de faire les mêmes erreurs deux fois…).
* On a installé un contrôleur de domaine AD DC 2019 sur un des serveurs depuis quelques mois mais on est dubitatif sur son utilité… Bien sûr, on a le mot de passe commun sur tous les postes et des montages automatiques de partages de fichiers (mes documents, et des lecteurs réseaux avec droits spécifiques : trucs familiaux d’un côté, pros de l’autre). MAIS … Comme les enfants sont petits on a du faire une politique de mot de passe spécifique pour eux, et pour pas que nos comptes soient admin du domaine, on en est rendu à devoir entrer les identifiants de l’administrateur dès qu’on veut installer ou configurer les postes. On a pas encore trouvé de méthode simple pour partager un répertoire de l’AD sur une VM linux (monté par une VM de sauvegarde, un serveur web pour afficher des photos, …) et vers la mibox (android tv), on a du remplacer VLC par kodi parce qu’il gérait pas kerberos. Et steam n’est pas vraiment compatible avec du multiutilisateur sur un même poste.
Bref, si vous n’en voyez pas l’utilité, ça n’en vaudra sûrement pas la peine. Et vos enfants sont bien plus autonomes avec leurs PC « perso » que les nôtres avec ceux « du domaine ».
* Pour la sécurité réseau (cloisonnement, bascule sur connexion de secours et filtrage DNS), on a mis un PfSense (et un deuxième en haute dispo récemment en cas de problème sur le premier), en VM. Il nous permet aussi un accès VPN lorsqu’on est en vadrouille (pratique pour récupérer un cours oublié ou téléphoner en voip). Tout marche très bien (à chaque test, les bascules se font bien et on n’a plus de pubs dans les applis) mais ça pose parfois des problèmes cocasses : hier on a eu une coupure d’électricité non prévenue (remplacement du compteur linky) et comme on avait oublié de mettre les PfSense en démarrage automatique, il a fallu se connecter sur proxmox (qui a remplacé notre esxi) mais … sans pfsense, pas de DHCP, sans DHCP, pas d’IP pour se connecter à l’AD et sans connexion à l’AD, impossible de configurer le réseau sur le PC et donc de se connecter à proxmox pour démarrer les pfsense… (bon, j’ai juste eu a démarrer un GNU/Linux, la question d’un nouveau serveur pour faire pare feu physique a gagné quelques points).
Personnellement, je ne peux que conseiller d’installer un pare feu. En plus des bascules et du filtrage DNS, pour cloisonner, c’est quand même mieux : j’ai eu une expertise privée à faire sur un site web et pour éviter de toucher à la prod, j’ai mis une VM clone chez moi et mon client a pu y copier les fichiers, ce réseau n’ayant accès à rien du tout, j’étais bien plus tranquille.
* Pour l’hébergement, on utilise un dédié pour les sites principaux et une VM spécifique (derrière une VM avec un reverse proxy) pour les sites plus petits/nouveaux/tentatives/… Sans pare-feu, on n’aurait pas de DMZ et je ne me vois pas héberger un service web dans un LAN 😉
Merci pour les informations. Concernant le parefeu, il est intégré aux routeurs ER-X, et une fois qu’on a compris son fonctionnement, il est très puissant.
Pour intégrer un serveur Linux à l’AD, le plus simple reste la commande « realm ».
Pour l’accès au partage, Windows Server est capable de partager à la fois en SMB et en NFS le même répertoire, peut-être une piste à creuser 🙂
Bonjour,
Chez moi la mini 4k est en mode bridge avec un Unifi UDM Pro qui gère tout (controller intégré) du réseau LAN au Wifi ainsi que les caméras de sécurité.
Je ne sais pas quelle est la taille de votre « Domaine » mais moi une seule UAP-AC-Pro suffit pour couvrir toute la maison et une bonne partie du jardin.
Un NAS fait maison sous Ubuntu server pour faire tourner Plex et les drives privés avec resilio sync. Enfin un serveur privé chez online pour les backup du NAS via Rsync et centraliser les drives avec resiliio sync toujours.
@+
Je prends note des outils pour les tester. Merci !
Bonjour,
Bizarre que vous n’utilisez pas les VLAN sur le routeur Ubiquiti.
Perso, je l’ai @home (le fameux EdgeRouter X) ; j’y ai mis dessus OpenWRT, les VLAN sont natifs. L’installation d’OpenWRT est vraiment très simple, et permet de gérer plus finement que le firmware natif.
Et, zou.
Les VLAN sont supportés par les routeurs ER-X, nativement.
Pour les utiliser correctement, je veux d’abord remplacer le switch au cœur du réseau par un switch administrable qui supporte les VLAN (ce qui n’est pas le cas actuellement).
Je ne connais pas SELKS et ce qu’il est possible de faire avec, mais pourquoi ne pas s’appuyer sur l’iLO du Micro Server HPE et de SNMP (toujours via iLO) pour remonter l’état des disques et du RAID ? Ou juste via iLO et l’envoi d’alerte par email par exemple.
Tiens, c’est une piste à creuser, merci. Mais je crains de ne pas avoir la licence iLO suffisante (en option payante chez HP)
Astuce pour les licences ILO: On trouve assez facilement des clés d’activation sur google…
Voir ma réponse plus bas…
« une VM Debian 10 qui porte le service de contrôleur Wifi, »
Peux tu nous faire SVP une brève description de la solution mise en place, je suis à la recherche d’idées à ce sujet.
J’utilise les scripts maintenu par un admin (après avoir analysé ses scripts) : https://community.ui.com/questions/UniFi-Installation-Scripts-or-UniFi-Easy-Update-Script-or-UniFi-Lets-Encrypt-or-Ubuntu-16-04-18-04-/ccbc7530-dd61-40a7-82ec-22b17f027776
Il existe aussi des Dockers tout fait pour ce contrôleur.
Bonjour Zythom,
A mon tour 😉
– Freebox 4K en mode router qui balance tout le trafic vers un routeur xiaomi flashé avec openwrt qui diffuse le réseau en wifi;
– derrière ce routeur maison
– un câble vers un AP Wifi Netgear (qu’il faudra que je remplace un jour) pour « arroser » une partie éloignée du domaine familial ;-);
– les PCs/tablettes/phones familiaux (Android, Linux, Windows, imprimantes) qui accèdent au nextcloud hébergé sur un serveur kimsufi;
– un vieux PC avec plusieurs disques durs qui hoste OpenMediavault qui me sert de NAS pour différents backup (borg) et sur lequel je fais tourner du docker (Emby, PiHole, Peertube interne);
– 1 raspberry pour proxy/vpn sortant
– 1 raspberry pour faire tourner la domotique (homeassistant)
– 1 switch « basique »
– des prises/caméras wifi
– 1 kimsufi (OVH) avec dessus en docker principalement:
– nextcloud
– serveur minetest
– plein d’appli SaaS
2 points que j’ai noté par rapport à ta config:
– Il faudrait que je mette en place un réseau Wifi Guest (comment générer un QR code avec le mdp ?) pour les copin.e.s des enfants;
– Il faudrait que je jette un oeil aux VLANs
Bon, dans ta config comme dans la mienne ou celles des autres, le « WAF » s’approche dramatiquement de zéro aussi, comme je ne suis pas éternel non plus, la question d’héritage de tout ce bor…. est une question qui me titille de plus en plus.
Comment tu fais pour le préparer et comment font des lecteurs ?
D’avance, merci !
Pour le QR-Code, j’ai suivi le lien d’un billet de Korben : https://korben.info/un-qr-code-pour-votre-reseau-wifi.html
Pour la question de la transmission, j’ai mis tous mes mots de passe sur un KeePass, et le mot de passe principal est écrit sur mon testament, avec comme recommandation : « si vous voulez que ça continue de fonctionner, il faut contacter un informaticien ».
Véridique.
Un point que je ne comprends pas (question peut-être bête) : pourquoi chercher à remplacer le switch central s’il y a déjà des routeurs derrière pour isoler les réseaux ?
De mon côté, c’est quelque chose de plus simple (mais je suis moins expert réseau que vous et avec un appartement plus petit) :
– Une box SFR sur du câble (fausse fibre)
– Derrière, un routeur Wifi Synology
– Un NAS directement branché dessus (pour cause de longueur de câble)
– Un switch derrière lesquels se trouvent : un PC, un serveur Debian, un NAS de sauvegarde
– Un fixe, un portable et les mobile sur le wifi
Donc le routeur isole le sous-réseau wifi/switch de la box, avec du NAT sur certains ports (box vers routeur, routeurs vers machines).
J’utilise les services de cloud/synchro de syno. J’avais pensé installer un yunohost avec nextcloud, mais les membre de ma famille sont hyper réticents, ne serait-ce que mettre en place une sauvegarde de leur poste (grrr)…
Il me manque aujourd’hui une sauvegarde distante, le point le plus crucial.
C’est au contraire une très bonne question. C’est la réponse qui est un peu bête : « c’est parce que j’avais déjà acheté un switch 16 ports non administrable ». Du coup, pour isoler rapidement et simplement, j’ai acheté (progressivement) ces petits routeurs ER-X.
Comme le système fonctionne bien, je ne le change pas encore, surtout qu’il est arrivé (une fois) que le switch « plante », ce qui n’a pas empêché le cabinet d’avocat de continuer à fonctionner, en toute sécurité, car géré par son petit routeur.
Du coup, j’hésite : un switch administrable qui fait tout (VLAN, parefeu, routage, contrôleur Wifi, security gateway), ou plusieurs routeurs qui discutent entre eux… A voir.
(Je n’ai pas trouvé comment répondre à votre réponse, alors je rouvre un commentaire désolé.)
C’est un secret de polichinelle dans le monde de l’IT mais depuis iLO 2, n’importe quelle clé de licence trouvée via n’importe quel moteur de recherche permettra d’activer iLO, peu importe sa version. Mais chut, HPE préfère que cela ne se sache pas… 😀
Je n’ai pas envie de voir débarquer un huissier de justice accompagné d’un expert judiciaire à 6h05 du matin pour une perquisition mandatée par un juge d’instruction suite à une plainte de la société HP…
Bonjour,
Jolie config : un beau boulot d’architecture et d’administration !
Je vais regarder SELKS…
De mon côté, c’est un peu plus simple… enfin si on veut.
– Je suis abonné chez Free en ADSL. La Freebox est configurée pour faire du NAT de certains ports entrants.
– Derrière cette box j’ai un firewall IPFire (avant c’était IPCop), gratuit et mis à jour très régulièrement, installé sur un ancien PC (P4-HT, 4Go, 180 Go) de bureau silencieux avec 2 interfaces réseaux (1 pubic et 1 privé). Ce FW s’occupe : du filtrage entrant et sortant, et dans mon réseau privé : service DNS secondaire et relay, service DHCP avec adresses fixées, service NTP, blocage des attaques, filtrage de contenu URL via le proxy, gestion de la qualité de service, blocage GeoIP, … Ayant 2 enfants le FW permet aussi de gérer des règles complexes liées notamment à des horaires d’accès à Internet. Il est la partie principale de la sécurité de mon réseau privé. IPFire n’est pas encore supporté sur RPI4.
– Ensuite sur le réseau privé, il y a un switch 24 ports non manageables, sur lequel sont branchés tous les équipements. Il y a aussi quelques switchs par ci par là pour éviter aussi d’avoir trop de câbles.
– Deux points d’accès Apple Airport Extreme fournissent le Wifi, connectés en filaire. Elles autorisent seulement les équipements via leurs adresses MAC. Leurs configurations se font via des appareils Apple et se synchronisent à chaque modification.
– Il y a aussi des prises CPL 2000 Mbps d’une précédente installation.
– Un « serveur » (PC Core i7-920 16 Go-1200 W) sous Windows 10 avec un disque système SSD, des disques internes SATA et un boitier USB de 10 disques SATA. Windows 10 pour son explorateur de fichiers et les logiciels… enfin chacun ses goûts ! Ce PC fait tourner VMWare Workstation 12 (pas plus car la mise à jour est impossible à cause du processeur plus de 10 ans). On peut ainsi créer des VMs pour faire des tests : Linux, Windows, …
– Un NAS Synology 716+ (8 Go et 2 disques de 4 To en Raid 1). Son rôle est l’hébergement de sites-applis Web : WordPress, TT-RSS gestion de mes flux RSS, Note Station gestion de mes notes, DS Photo sauvegarde des photos, Synology Drive partage de nos fichiers familiaux, Plex Media Server serveur de fichiers multimédias, Timemachine server sauvegarde de Mac, Cloud Sync sauvegarde les fichiers familiaux cryptés sur 2 clouds externes, Subsonic accès aux fichiers musicaux. Le NAS monte les disques en CIFS du serveur W10, où sont hébergés les fichiers multimédia.
– Un RPI 3B sous Raspbian pour héberger PI-Hole qui assure le DNS Primaire local et filtre les URL de sites publicitaires.
– Un RPI4 + disque USB pour héberger sous Raspbian : un deuxième serveur Plex secondaire qui gère les fichiers musicaux montés en CIFS et un serveur Munin pour surveiller toute l’infra.
– Un RPI4 + boitier et disque USB sous Raspbian pour faire des tests…
– Des PC fixes et des portables sous W10 avec Antivirus mais sans Firewall.
– Des smartphones et des tablettes.
– Des Chromecast sur chaque TV.
– Une Apple TV qui accède à Plex en local et d’autres services de streaming en ligne.
– Un ancien NAS Buffalo (2 disques de 500 Go en Raid 1) qui reçoit la sauvegarde « technique » du NAS Syno.
Effectivement je ne sais jamais si ma configuration est suffisante pour bloquer les attaques ou si il n’y a pas de trou dans la raquette !
Je regarde régulièrement les logs du firewall.
Bon courage
Merci pour cette description. Je note beaucoup de ressemblances entre nos deux configs 😉 Je fais faire un billet plus détaillé sur le Synology, et les différents logiciels (j’ai abandonné tt-rss pour FreshRSS)
(Suite et fin de mes commentaires sur iLO)
Je peux comprendre, c’est un choix à assumer par la suite.
Dans ce cas, il faut acheter cette licence et le tour est joué ! 😉
Hello,
Ça te coute pas une blinde tous les mois autant d’abonnements et d’électricité ?
En tout cas, merci pour le partage !
++
J’ai choisi des équipements qui consomment peu (NAS Syno, micro server HP, Raspberry Pi…), mais je suis surtout l’heureux propriétaire de panneaux solaires qui alimentent la maison. Je devrais en faire bientôt un billet.
Bon alors de mon côté c’est :
. Connexion Orange Livebox Up Fibre 1Gb/s en download et 600Mb/s en upload, NAT de certains ports entrants sur la Livebox
. Derrière la box un switch Netgear GS110EMX 8 ports 1gb/s et 2 ports 10Gb/s manageable
. Ma machine perso sous Windows 10 Pro : Core i9 9900K / 32Go de mémoire / SSD FireCuda 510 1To / MSI GTX 2060 6Go
. Un serveur HP Xeon E5-2690 / 32 Go de mémoire / 2 disques SAS 15K 300Go en mirroring + 1 en Spare, sous Windows Server 2019 Datacenter. Le serveur a 1 carte réseau additionnelle Intel X520-SR2 avec 1 module SFP+ cuivre 10Gb/s pour la patte sur le LAN et 1 module Fibre 10Gb/s pour attaquer la cible l’iSCSI du NAS. Les rôles : contrôleur de domaine, AD, serveur DNS, lancement de scripts via le planificateur des tâches, serveur Teamspeak et anciennement serveur DHCP (voir dernier point en bas). Veeam Backup & Replication 1v0 Community Edition est installé pour le backup du serveur (repository sur le volume iSCSI sur le NAS). Quelques VM sous Hyper-V utilisant la carte réseau intégrée de la carte mère : Debian (serveur web de secours), Windows Server 2016 Datacenter notamment
. Un NAS Synology 6 baies DS3018xs avec 4 disques Seagate IronWolf Pro de 12To en RAID6 pour le stockage de mes données et 2 x Seagate IronWolf Pro de 10To en RAID1 pour comme cible iSCSI du serveur HP. Carte réseau additionnelle Intel X520-SR2 avec 1 module Fibre 10Gb/s branché sur le serveur HP et 1 module cuivre 10Gb/s pour la patte LAN. Les rôles : serveur de fichiers, serveur VPN (OpenVPN), serveur web pour mes quelques sites, serveur FTP, Surveillance Station utilisé avec une caméra IP pour la sécurité, Hyper Backup pour la sauvegarde des données les plus importantes sur un disque USB externe, Cloud Sync pour récupérer une copie locale de mon stockage pCloud, Plex
. Un PC Home Cinema mini-ITX sous Windows 10 Pro : Core i7 7700 / 16Go de mémoire / SSD Kingston HyperX Fury 240Go / lecteur Blu-ray UHD 4K. Quelques softs dédiés à sa fonction : PowerDVD 20, Plex, VLC, etc…
. 3 boîtiers CPL TP-Link 2Gb/s pour le raccordement des décodeurs TV notamment + un petit switch D-Link DGS-105 5 ports 1Gb/s non manageable
La principale étape suivante serait de réduire le nombre de ports ouverts au niveau de la Livebox vers des machines du LAN, en mettant par exemple l’un des 4 ports 1Gb/s natifs dans la DMZ de la Livebox pour la partie hébergement web. Idem pour le serveur HP.
Le point faible est la Livebox v5 qui est peu paramétrable/bidouillable et qui ne permet pas par exemple d’avoir un serveur DHCP autre que celui de la LiveBox (autrement problèmes avec les flux TV et arrachage de cheveux).
Je retombe sur votre blog après des années et je redécouvre le bonheur du vrai Internet intéressant.
Chez moi j’ai la box du FAI avec l’abonnement à la TV et un abonnement Office 365… Haha 😀
Mais lire ce blog et ses commentaires a refait germer une graine. Merci !