Je suis curieux par nature, et par construction, aussi j’aime apprendre et comprendre des domaines qui ne sont pas de ma compétence métier première. C’est le cas de la gestion technique d’un réseau informatique. Au fil des années, la maîtrise d’un réseau informatique est devenue de plus en plus complexe, au point que les admin réseaux sont maintenant des experts indispensables à la mise au point, au fonctionnement, à l’entretien et à la sécurité d’un réseau informatique. Et je ne suis pas admin réseaux…
Je ne pouvais donc pas continuer à empiler des technologies dans mon réseau informatique personnel, et j’ai donc décidé de faire un grand nettoyage concernant son fonctionnement. C’est ce que je vais décrire sommairement ici, si cela peut aider un internaute à avoir une idée de ce dans quoi il s’embarque quand on touche aux réseaux.
Je ne suis pas certifié CISCO, ni HP, ni par aucun constructeur, mais j’ai apprécié le fonctionnement professionnel d’un bon nombre de leurs équipements, malgré le niveau de bruit des ventilateurs et la chauffe des composants. Je me suis tourné vers un constructeur d’équipement semi pro, avec une interface clicodrome qui me simplifie la vie. J’ai supprimé tous mes équipements réseaux hétérogènes (enfin presque).
Mes équipements réseaux sont tous de la marque Ubiquiti (ce billet n’est pas sponsorisé) : j’ai un cœur de réseau UDM Pro et quatre bornes Wifi UAP AC Pro. Le réseau filaire est de catégorie 5E en attendant de le remplacer par de la fibre optique, et pour m’éviter d’ajouter des câbles qui manquent parfois dans un coin de la maison, j’ajoute des petits switchs ER-X qui font le job silencieusement à un prix mini.
Les équipements filaires propagent 7 VLAN : Hébergement, Management, Bureau professionnel, Maison, IoT, Guest et FreePlayer. Les 4 derniers réseaux sont également propagés sur des réseaux Wifi associés.
La box de l’opérateur Free est en amont de l’UDM Pro que j’ai placé dans la DMZ de la box.
L’hébergement de ce blog est porté par une machine virtuelle Debian avec WordPress au sein d’un NAS Synology équipé de Virtual Machine Manager, et situé dans le réseau intitulé « Hébergement ». Ce réseau contient également une VM Debian avec mon serveur de flux RSS FreshRSS autohébergé.
Tous les réseaux sont étanches, avec des règles de firewall inspirées de cet excellent billet de Mikaël Guillerm. Pour l’anecdote, le réseau intitulé FreePlayer me permet de faire fonctionner correctement la télévision branchée dessus, en passant par un réseau Wifi dédié. En analysant les trames du FreePlayer, et en lisant un certain nombres d’articles sur le sujet, j’ai choisi un VLAN 100 avec un réseau IPv4 en 192.168.27.0/24 et un réseau IPv6 en mode SLAAC.
Plusieurs services sont accessibles depuis l’extérieur : ce blog, un serveur VPN Wireguard et un serveur VPN de secours OpenVPN. Ces trois services m’ont donné beaucoup de soucis car très attaqués. J’ai donc là aussi choisi la facilité : j’ai ouvert un compte gratuit chez Cloudflare et seules les adresses IP Cloudflare sont autorisées pour l’accès à ce blog. Pour le serveur VPN Wireguard, il est proposé nativement par l’UDM Pro et semble bien protégé. Pour le serveur OpenVPN du NAS Synology, je n’ai autorisé que les adresses IP françaises. Le monitoring de ces services est fait par UptimeRobot sur lequel j’ai ouvert un compte gratuit. J’ai un peu pesté contre Synology dont le parefeu ne permet pas d’autoriser la liste des adresses IP des sondes UptimeRobot sans bidouille.
Le réseau professionnel me sert pour le télétravail, pour ma machine de minage / cassage de mots de passe, et pour tous les tests que je peux faire sur mon Proxmox et sur mon poste d’attaque Kali.
J’ai encore mon NAS DIY basé sur un petit cube MicroServer Gen 8 HP sous OpenMediaVault pour mes sauvegardes dont je parlais ici en 2016. mais dans la simplification des technologies que je mène, j’ai acheté un espace « à vie » de 2To chez pcloud qui double mes sauvegardes distantes que je fais sur mon vieux Synology que j’ai placé dans ma coquette studette parisienne. L’application pcloud a simplifié également les transferts de photos entre nos différents téléphones.
J’ai encore beaucoup de choses à apprendre, en particulier sur IPv6 qui n’est autorisé chez moi pour l’instant que sur un seul réseau filaire. Bien sûr, le parefeu IPv6 de la Freebox est activé, ainsi que celui de l’UDM Pro. Je lis aussi avec attention les articles de Stéphane Bortzmeyer sur DNSSEC, mais j’avoue que je suis encore très tâtonnant sur le sujet. Les équipements et les ordinateurs de la maison utilisent les DNS sécurisés de Quad9, sauf ma machine perso qui héberge son propre serveur DNS non censuré.
Le plus dur reste à faire : ranger mon bureau, et jeter les câbles BNC et leurs bouchons de terminaison…
Bonjour et merci pour ce billet (et les autres).
Je note que le passage à Cloudflare pour l’accès au blog pose des problèmes aux agrégateurs auto-hébergés (comme mon FreshRSS hébergé chez OVH), sans recours à ma connaissance (et d’après les contributeurs à FreshRSS)… Il n’est plus possible de récupérer le flux, tout simplement !
Heureusement, grâce à l’annonce sur le Fediverse, je peux encore suivre les nouveaux billets, donc l’essentiel est assuré.
Bon été !
Bonjour,
Je viens d’ajouter une exception sur le WAF de Cloudflare pour les flux RSS. Vous me direz si cela a fonctionné.
Même cas que le commentaire précédent pour les flux RSS ; et je confirme que l’exception sur le WAF Cloudflare a fonctionné, mon agrégateur vient de récupérer une liste d’articles non lus d’un coup :-).
Je ne connaissais pas pcloud, qui semble être lié au service du même nom, mais je suis tombé il y a quelques temps sur syncthing, qui permet de synchroniser simplement pas mal d’appareil, téléphone, serveur, poste de travail… Il se débrouille bien même derrière du NAT grâce à quelques serveurs publiques et il a l’air de supporter un paquet de systèmes. Il permet de synchroniser dans un seul sens pour les sauvegardes ou dans les deux pour avoir des répertoires de travail commun à plusieurs appareils.
Attention, je comprends que notre hôte utilise pcloud pour de la sauvegarde et pas de la synchro (usage et objectif différents)
Des mois que uStart ne m’affiche plus votre flux rss!
Et là, il s’affiche de nouveau!
Billet très intéressant, et je confirme que l’exception sur le WAF de Cloudflare fonctionne!
Question : qu’est-ce qui vous a conduit à faire le choix de mettre le routeur dans la DMZ de la box, plutôt que branché « classiquement » derrière (vraie question)
?
De mon côté, pour l’instant, j’ai fait le choix d’un branchement classique, avec tout le réseau derrière le routeur. Cela oblige bien sûr à du double NAT (sur la box, puis sur le routeur) pour permettre d’accéder aux services derrière le routeur (un cloud perso, etc.) mais j’avais le sentiment que cela limitait la surface d’attaque.
J’en profite : je lorgne sur ubiquiti depuis un moment : est-ce que tout est-ce qui monitoring réseau est bien complet ? notamment dans la conservation d’historique et le niveau de détail.
Sur des équipements plus grand public, en dehors d’Asus, qui a un système très complet (mais nécessite d’accepter les conditions de TrendMicro, éditeur des modules), on a souvent une vision par machine, par type d’appli mais on peut rarement creuser plus (ex : pas de détail par heure pour un jour donnée, etc.)
Avec un peu de retard, je confirme que la modification chez Cloudflare a bien corrigé le RSS chez moi également.
Merci !