Sécurité réseau

[Ives]

Ok déjà tu as tout sur un même réseau, c'est sale, mais c'est simple.
Tu as un NAS syno, tu peux tout simplement utiliser le serveur OpenVPN directement sur le Syno, pas besoin d'ajouter un rasp (par contre la conf est bien plus légère que si tu installes un OpenVPN toi même).

J'ai vu cette possibilité d'installer OpenVPN sur le synology, il existe des tutos qui donnent la procédure mais ce qui m’intéresse dans un premier temps c'est la "philosophie" globale. Quel flux passe par le VPN et comment ?

Utiliser une box opérateur comme routeur est la pire des choses quand on veut avoir la main sur son "infra". 
Pour commencer aucune box opérateur ne propose de firewall (à l'inverse de ce que Du21 indique). Ils proposent tous un simple NAT, qui n'a rien à voir avec du firewalling.
J'ai lu Untangle dans le thread, c'est sympa, mais si tu veux vraiment poser un routeur qui va avoir des fonctionnalités de firewall, de détection d'intrusion, de gestion des utilisateurs, de serveur(s) VPN et encore pas mal d'autres choses, tu te prends une config en mini-itx (ou en rack si tu as une baie) avec 2 ou 3 ports RJ45 (2 WANs et 1 LAN avec des VLANs), tu mets tes box en bridge ou DMZ si tu ne peux pas passer en bridge, et tu gères tout sur un Pfsense ou OPNSense.

Comme je suis loin d'être un spécialiste en réseau (c'est facile à voir   ) j'ai remis à plus tard le traitement de la sécurité (même si ce n'est pas pas une bonne idée) et évidemment il ne doit pas se faire aux détriments des fonctionnalités en place et dans mon installation il y a beaucoup d'éléments qui doivent communiquer entre eux :
- Sonos avec Lifedomus
- Portiers video IP avec Lifedomus, Sonos
- 4 lecteurs multimedia avec le NAS Ve-Hotech et la Freebox player
- enceintes connectées Alexa pour la commande vocale avec Lifedomus
- etc.
J'ai une baie mais pourrais tu détailler "prends une config en mini-itx (ou en rack si tu as une baie) avec 2 ou 3 ports RJ45 (2 WANs et 1 LAN avec des VLANs), tu mets tes box en bridge ou DMZ si tu ne peux pas passer en bridge, et tu gères tout sur un Pfsense ou OPNSense."
C'est quoi l'idée de 1 WAN et 1 LAN avec des VLANs
La Freebox peut être configurée en bridge

Il n'y a rien de mieux que ça, et tu te passes des hard proprio, et le jour où tu changes d'opérateur, pas besoin de reconfigurer tout ton LAN.
Pour ton souci de VLAN100, prends toi un petit switch 5 ou 8 ports manageable de façon à pouvoir passer un port en untagged sur ton VLAN, et c'est fini.

Oui le changement d'opérateur avec des configurations complexes est laborieux  ; je l'ai vécu recemment avec un passage  de Free adsl à orange fibre pendant un an puis retour de Orange Fibre à Free Fibre. 
De plus, comme je vais vendre la maison dans quelques années il serait bien que le futur propriétaire puisse installer la box du FAI de son choix et que tout fonctionne !