31/03/2020, 11:22:47
(31/03/2020, 10:36:42)R4v3n a écrit : Il ne faut pas que tu mélanges un VPN pour "anonymiser" ton trafic (ne t'inquiètes pas que ton fournisseur payant de VPN il garde les logs de connexion et le jour où la justice lui demande il va courber l'échine en 2,5 secondes, d'où ma remarque sur le fait d'avoir ton propre VPN) et un VPN pour te connecter à ton LAN de façon sécurisée.Les échanges sur ce sujet m'ont déjà permis de comprendre la différence "anonymiser le trafic et connecter de façon sécurisé (c'est un bon début !)
Le cas "J'utilise un VPN pour anonymiser mon surf" je ne l'aborde pas.
Concernant les logs de connexion, la politique "no-log stricte" annoncée par NordVPN c'est bidon ?
(31/03/2020, 10:36:42)R4v3n a écrit : Ici je te parle de pouvoir te connecter à ton LAN (ou du moins à certaines adresses de ton LAN) depuis ton téléphone ou un laptop par exemple.Sur le syno (connecté sur un switch lui même connecté au routeur) sera installé le serveur VPN et je suppose qu'il faudra installer un client VPN sur chaque smartphone ?
Le serveur OpenVPN sur le syno va accueillir ta connexion cliente (donc depuis ton tél) et te permettre d'accèder à ton LAN. De base uniquement le flux dédié au LAN passera par le VPN, mais tu peux aussi forcer TOUT ton traffic internet (toujours le traffic de ton tél) via ton VPN quand tu y es connecté, c'est un simple paramètre.
(31/03/2020, 10:36:42)R4v3n a écrit : Ton LAN sera toujours ton LAN. Mais en mettant en place des LANs dédiés (physiques ou VLANs) à des fonctionnalités, tu peux gérer finement le firewalling entre chaque LANs. Voici des exemples rapides :C'est exactement ce que je voudrais faire !
- Mettre ton/tes wifi(s) sur des VLANs séparés, parce que le wifi est la pire chose en matière de sécurité, et il est nécessaire de gérer ses flux correctement
- Mettre ton portier IP sur un VLAN à part (je considère qu'il est PoE), de façon à ce que si on te le force et qu'on utilise le RJ qui se trouve derrière, l'attaquant ne puisse accéder à rien, seul le sens Lifedomus > Portier IP doit être autorisé.
- Mettre tes caméras sur un VLAN à part pour que ce soit complètement inaccessible en dehors de quelques IPs autorisées
Pour le wifi, j'ai recemment changé de système.
Auparavant j'utilisais le wifi de la Freebox avec un CISCO en point d'accès (pour couvrir toute la maison). Cette solution permettait de filtrer l’accès au wifi avec les adresses MAC. Le débit au niveau du CISCO n'était pas stop et j'ai changé pour mettre en place un réseau Mesch avec les ORBI Netgear ; l'inconvénient c'est de ne plus pouvoir faire de filtrage MAC donc un réseau wifi exposé à sécuriser.
(31/03/2020, 10:36:42)R4v3n a écrit : Il faut comprendre qu'un vrai routeur, qui sait gérer des VLANs, te permettra de gérer tes règles de firewalling entre chaque VLAN. Alors que dans un même LAN, tout le monde peut discuter librement (sauf si tu mets un firewall soft sur un PC par exemple).Tout est déjà dans un rack (3 switchs, freebox, NAS, Syno, onduleur, ...)
L'idée c'est de te prendre une petite configuration dans un rack 1/2/3U, mettre ça dans ta baie avec ta freebox et autre matériels informatique et réseaux, et l'utiliser comme routeur.
2 WANs de façon à avoir toujours de la redondance pour ton VPN (et même ton réseau interne, dans l'autre sens), par exemple une connexion Fibre et une connexion 4G.
1 LAN, pour te brancher à ton switch, manageable si tu comptes avoir des VLANs, puis ensuite tu gères chaque port de ton switch en fonction de ton brassage (en taggant ou non chaque port).
Peut tu préciser "prendre une petite configuration dans un rack" ?
Mes switchs ne sont pas manageables.
(31/03/2020, 10:36:42)R4v3n a écrit : Le futur proprio n'aura pas ton infra, il se débrouillera avec sa propre box, ça ne change rien pour lui.La maison étant entièrement domotisée, une très grande partie va rester en place (Sonos, Lifedomus,...) y compris le Syno qui procède aux enregistrements des cameras (sauf à ce que je passe ça sur le Cloud qui serait un plus lors d'un cambriolage !)