Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Sécurité réseau
#1
Bonjour,

C'est un peu à la marge du forum mais j'ai posté dans d'autres forum et n'ai eu aucune réponse. Je me dis qu'en cette période de confinement, certains participants disposeront peut -être d'un peu de temps pour me répondre !

Actuellement je suis abonné à HMA VPN que j'utilise pour l’instant poste par poste pour naviguer sur internet.

Je souhaiterais sécuriser l’accès à mon réseau ; je dispose d'une Freebox Revolution et je pensais la configurerlen Open VPN avec cette procédure.

1) Je suppose que l’accès à mon réseau et particulièrement à ma box domotique, caméras, BAS sera bien sécurisé ?

2) Quels seront les paramétrages à effectuer pour accéder à distance à ma box domotique avec un smartphone ? (actuellement dans l'application smartphone j'indique l'IP fixe de la Freebox et les ports que j'ai ouvert dans le setup de la Freebox).
Répondre
#2
Bonjour Ives,

tu souhaites utiliser ton abonnement HMA VPN, ou bien tu souhaites t'ne passer ? A priori le net fourmille de tutos permettant d'activer le serveur VPN PPTP de la Freebox.
C'est plutôt bien pris en compte par les smatphones(IOS et Android).
Tu dis qu'aujourd'hui tu as ouvert des ports, c'est pour accéder à un serveur VPN derrière ta Freebox, ou pour accéder directement à ta supervision ?
Répondre
#3
Bonjour Du21

Mon abonnement VPN est à renouveler dans quelques jours et je me penche sur la question de la sécurité afin de savoir si je peux sécuriser avec HMA VPN ou changer de VPN.
Pour l'instant le VPN n'est pas installé sur ma freebox mais uniquement sur les ordinateurs pour naviguer sur le net.

Si j'installe le VPN dans la Freebox avec la procédure indiquée dans mon 1er message j'image que toutes connexions entrantes et sortantes passeront par le VPN et se posera le problème de l'accès distant (avec les smartphones) à la supervision ?
Répondre
#4
Le repas m'a donné le temps de réfléchir  Big Grin
visiblement le tuto que tu indiques est pour utiliser la partie client du VPN, à mon sens cela pourrait permettre de ne l'installer que sur sur le Freebox, et faire transiter le flux de tous les appareils de ton réseau local; de là à dire que les appareils extérieurs pourront accéder aux appareils situés à l'intérieur grâce à HMA, je ne le pense pas, en tout cas rein sur leur site ne le liasse supposer.
Il y a à mon sens deux grandes familles de VPN, ceux du type HMA, NORD, EXPRESS, etc qui permettent d'utiliser son compte Netflix à l'étranger, où d'utiliser un, service étranger sans habiter dans le pays, et de cacher son flux de donnée à certains intervenants. D'autre part, il y a les VPN dit d'entreprise qui permettent de manière (normalement) sécurisée d'établir un connexion cryptée entre un devis et un réseau privé.
En soi si tu as investi dans HMA c'est que tu devais avoir un besoin hors accès à distance de ta Domotique; si ton besoin initial perdure, il faut garder HMA, mais y ajouter un serveur VPN chez toi (la Freebox peut le faire, mais d'autres devices aussi) pour connecter tes smartphones à ton réseau local.
Répondre
#5
(30/03/2020, 12:17:39)Du21 a écrit : visiblement le tuto que tu indiques est pour utiliser la partie client du VPN, à mon sens cela pourrait permettre de ne l'installer que sur sur le Freebox, et faire transiter le flux de tous les appareils de ton réseau local; de là à dire que les appareils extérieurs pourront accéder aux appareils situés à l'intérieur grâce à HMA, je ne le pense pas, en tout cas rein sur leur site ne le liasse supposer.
En installant le client VPN sur la freebox j'imaginais deux avantages :
  • 1) Depuis l'extérieur impossible d'accéder à mon réseau LAN. C'est exact ?
  • 2) Tous les ordinateurs connectés au LAN de la Freebox "profitent" du VPN sans avoir à l’installer sur chacun des ordinateurs. 
et un inconvénient (de taille) : je ne peux plus accéder à ma box domotique car l'adresse publique du VPN change. C'est exact ? 

(30/03/2020, 12:17:39)Du21 a écrit : il faut garder HMA, mais y ajouter un serveur VPN chez toi (la Freebox peut le faire, mais d'autres devices aussi) pour connecter tes smartphones à ton réseau local.
C'est ici que tu m'as perdu ! Deux VPN  Huh et quel est le principe pour se connecter de l'extérieur ; un compte NO IP ou quelque chose de ce genre ?

[Edit]
J'ai commencé à lire le tuto cité dans mon premier message et visiblement il ne répond pas à mon souhait
Elle peut être utilisée en tant qu’une seedbox (250go HDD); elle inclut de Torrent, le protocole  FTP  et le logiciel Newsgroup. 
Cela veut dire que la Freebox crypte le trafic à travers des Torrent, FTP et du logiciel Newsgroup, mais elle ne crypte pas le trafic de navigateurs web et d’autres applications utilisant ces ports.

Ce tutoriel a été fait pour la Freebox OS 2.1.
Les méthodes de connexion disponibles actuellement sont les connexions en PPTP et en OpenVPN et vous trouverez les instructions pour configurer la connexion en PPTP et en Open VPN ci-dessous.

Pour l'anonymat sur le net je vais continuer avec le VPN installé sur les ordinateurs. Reste à sécuriser l'accès distant à mon réseau tout en autorisant l’accès à ma box domotique et mon alarme via les martphones
Répondre
#6
Je dois faire fausse route. Javais bien compris le principe de l'anonymat pour la navigation en utilisant un VPN mais je dois faire fausse route pour ce qui concerne la sécurisation d'une connexion internet car un VPN créé un tunnel entre 2 tiers et tout ce qui transite dedans est anonymisé mais la connexion internet sur laquelle est placée ce tunnel n'est pas protégée pour autant...

J'ai pourtant lu que certains connectaient un routeur VPN derrière leur box FAI (configurée en bridge) mais ceci améliore t-il la sécurité du réseau, l'IP publique de la box FAI étant inchangée ?
Répondre
#7
attention mélange Smile 

tu ajoutes une notion supplémentaire : je vais essayer de vulgariser.
3 besoins, 3 outils :

premier besoin : je veux conserver au maximum mon anonymat et pourquoi pas utiliser des services qui ne sont accessibles que dans d'autres pays
J'utilise un service de VPN : HMA VPN, Nord VPN, Epxress VPN, il y en a plein. Ces services vont crypter ton flux entre l'appareil sur lequel tu as installé le client et un point de sortie que tu peux souvent choisir. Au passage l'anonymat n'est qu'un impression, car ton origine reste la même et ta destination aussi, seule la route change, mais je ne suis pas là pour entrer dans ce débat.

Second besoin :
je veux depuis un appareil mobile me connecter à mon réseau personnel de manière cryptée pour que ce que j'échange ne soit pas visible.
J'utilise une solution de type serveur VPN; Un appareil sur mon réseau fait serveur VPN : ma box, mon NAS, un ordinateur, etc et je me connecte depuis mes smartphones, tablettes, ordinateurs portables avec un client VPN qui établira une connexion cryptée.

Troisième besoin : 
je suis conscient qu'il existe des flux entrants sur mon réseau privé et je souhaite limiter ces flux à ce que j'estime légitime
J'utilise un firewall, à minima logiciel, pour être efficace matériel. Les box en ont toutes un mais dont les capacités ont très faibles.
Ici encore je n’entrerai pas dans un débat qui peut être très long et très technique, mais il est communément admis qu'un firewall doit s'intercaler entre la box et le reste du réseau pour le protéger efficacement, il apportera de préférence les fonctions de serveur VPN.

La première solution est très simple à mettre en place, elle par essence conçue pour être implémentée par le client final
La seconde l'est moins, mais quantité de tutoriels dépendants du matériel choisi permettent de la mettre en place sans trop de problème
la troisième peut paraître simple, mais est loin de l'être, tout dépends du niveau de sécurité visée. En se basant sur un acteur majeur : CISCO, les solutions vont de quelques dizaines d'euros en occasion à plusieurs centaines de milliers pour des solutions professionnelles, et pourtant le besoin initial est quasiment même : accéder à Internet, s'en protéger et fournir un accès distant sécurisé. Ce qui varie par contre, outre le nombre de connexion, est le niveau de sécurité recherché.

Pour revenir à des choses plus basiques, je dirais que si on commence à ouvrir des ports sur sa box, il faut alors mettre un Firewall, qui poserais une porte d'entrée sans serrure ? mais pour nos besoins de particuliers un produit à quelques centaine d'euros neuf voir moins peut largement suffire, reste à le configurer correctement.
Répondre
#8
(30/03/2020, 10:12:25)Ives a écrit : Bonjour,

C'est un peu à la marge du forum mais j'ai posté dans d'autres forum et n'ai eu aucune réponse. Je me dis qu'en cette période de confinement, certains participants disposeront peut -être d'un peu de temps pour me répondre !

Actuellement je suis abonné à HMA VPN que j'utilise pour l’instant poste par poste pour naviguer sur internet.

Je souhaiterais sécuriser l’accès à mon réseau ; je dispose d'une Freebox Revolution et je pensais la configurerlen Open VPN avec cette procédure.

1) Je suppose que l’accès à mon réseau et particulièrement à ma box domotique, caméras, BAS sera bien sécurisé ?

2) Quels seront les paramétrages à effectuer pour accéder à distance à ma box domotique avec un smartphone ? (actuellement dans l'application smartphone j'indique l'IP fixe de la Freebox et les ports que j'ai ouvert dans le setup de la Freebox).

1) Non, tu ne pourras jamais faire confiance à un tiers. Le seul moyen de te créer un VPN "sécurisé" (rien n'est infaillible) c'est de monter ton propre VPN sur un serveur dédié ou, à la limite, sur un VPS. Il peut te servir effectivement de rebond pour atteindre ton LAN. Dans le cas d'un VPN HMA, tu ne pourras par contre pas accéder à ton réseau depuis l'extérieur.

2) Monte un serveur VPN sur ta freebox ou mieux, sur une VM/un rasp, avec un OpenVPN que tu maîtrises (en terme de config), ou un Wireguard. Et utilises ton téléphone en tant que client de ce VPN. C'est le vrai intérêt d'un VPN, ne pas ouvrir ta domotique à l'extérieur mais pouvoir y accéder quand même depuis l'extérieur.

Bonus : Même en 2020, on ne peut toujours pas CRYPTER, on peut chiffrer, déchiffrer et décrypter. Mais j'insiste, jamais on ne pourra CRYPTER quoi que ce soit.
Répondre
#9
@ Du21 : merci pour cette présentation pédagogique de la problématique ! La solution en place actuellement (VPN installé sur les ordinateurs) ne répond qu'au premier besoin (même si les points de départ et d'arrivée sont connus).

La solution 2) proposée par R4V3n (rasp avec OpenVPN) pourrait répondre au deuxième et troisième besoin ?
Il s'insère à quel endroit le Rap VPN dans l'architecture simplifiée de mon réseau ?

[Image: uc?view&id=1O2imP608nXNvRLKDa9kscqvCfAUmYRV4]
Répondre
#10
Bonjour

Je possède la Freebox mini 4k
J'ai fait le choix d'installer dans un 1er temps un autre routeur (Asus ac68U) derrière la Freebox et maintenant je possède un firewall Untangle qui fait aussi office de routeur.

En installant un serveur VPN sur une box tu peux avoir accès de l'extérieur vers tes différents appareils.

Si tu veux installer un second routeur, pas besoin de mettre la Freebox Révolution (dans ton cas) en mode bridge. Tu crées un DMZ dans laquelle tu rediriges tous les ports vers le second routeur. cela te fait un second réseau.
Pour le player 4k le passage entre le routeur freebox et le second est transparent. Pour le Player de la Révolution il faut créer un vlan 100 pour que le service TV et tous les autres services passent de l'un à l'autre.

J'ai fait le choix de garder tous les clients VPN sur les différents appareils. Je veux pouvoir déconnecteur un client sans avoir à déconnecter l'ensemble des appareils dans le cas d'une centralisation VPN sur le routeur. Par Ex le site FDJ arrive même à bloquer pas mal de VPN situé pourtant en France.

J'ai aussi fait le choix d'un second routeur pour palier au problèmes de la Free. Si la ligne adsl tombe (je pense qu'il en de même en fibre - il faudra que je vérifie chez mes parents) nous sommes obligés de redémarrer à plusieurs reprises la box pour tenter de retrouver la ligne. Problème : tant que la box n'est pas redémarrée à 100% le LAN est indisponible. Donc plus accès au réseau interne pour tous les appareils cablés.
Dans ton cas tes switchs sont t'ils manageables ?

Bonne journée
Répondre
#11
Bonjour
(31/03/2020, 08:54:50)urufara a écrit : Je possède la Freebox mini 4k
J'ai fait le choix d'installer dans un 1er temps un autre routeur (Asus ac68U) derrière la Freebox et maintenant je possède un firewall Untangle qui fait aussi office de routeur.
Tu utilisais le wifi du routeur ASUS ?
Untangle est un pare-feu ; c'est du soft ; il n'y a pas de partie Hard (prises RJ 45) comment peut-il faire du routage ?

(31/03/2020, 08:54:50)urufara a écrit : En installant un serveur VPN sur une box tu peux avoir accès de l'extérieur vers tes différents appareils.
L'installation du VPN sur la Freebox n'est pas forcement la solution car  la Freebox sécurise le trafic à travers des Torrent, FTP et du logiciel Newsgroup, mais elle ne sécurise pas le trafic de navigateurs web et d’autres applications utilisant ces ports

(31/03/2020, 08:54:50)urufara a écrit : Si tu veux installer un second routeur, pas besoin de mettre la Freebox Révolution (dans ton cas) en mode bridge. Tu crées un DMZ dans laquelle tu rediriges tous les ports vers le second routeur. cela te fait un second réseau.
Pour le player 4k le passage entre le routeur freebox et le second est transparent. Pour le Player de la Révolution il faut créer un vlan 100 pour que le service TV et tous les autres services passent de l'un à l'autre.
Ok. Encore de la lecture en perspective pour créer un vlan 100

(31/03/2020, 08:54:50)urufara a écrit : J'ai fait le choix de garder tous les clients VPN sur les différents appareils. Je veux pouvoir déconnecteur un client sans avoir à déconnecter l'ensemble des appareils dans le cas d'une centralisation VPN sur le routeur. Par Ex le site FDJ arrive même à bloquer pas mal de VPN situé pourtant en France.
J'ai compris ce point dans mes lectures récentes, un client VPN installé sur le routeur ne présente pas que des vantages

(31/03/2020, 08:54:50)urufara a écrit : J'ai aussi fait le choix d'un second routeur pour palier au problèmes de la Free. Si la ligne adsl tombe (je pense qu'il en de même en fibre - il faudra que je vérifie chez mes parents) nous sommes obligés de redémarrer à plusieurs reprises la box pour tenter de retrouver la ligne. Problème : tant que la box n'est pas redémarrée à 100% le LAN est indisponible. Donc plus accès au réseau interne pour tous les appareils cablés.
Dans ton cas tes switchs sont t'ils manageables ?
J'ai la fibre depuis 1 an et demi que j'ai perdu une seule fois la connexion. Mes switch ne sont pas manageables.
Répondre
#12
(31/03/2020, 00:25:47)Ives a écrit : @ Du21 : merci pour cette présentation pédagogique de la problématique ! La solution en place actuellement (VPN installé sur les ordinateurs) ne répond qu'au premier besoin (même si les points de départ et d'arrivée sont connus).

La solution 2) proposée par R4V3n (rasp avec OpenVPN) pourrait répondre au deuxième et troisième besoin ?
Il s'insère à quel endroit le Rap VPN dans l'architecture simplifiée de mon réseau ?

[Image: uc?view&id=1O2imP608nXNvRLKDa9kscqvCfAUmYRV4]

Ok déjà tu as tout sur un même réseau, c'est sale, mais c'est simple.

Tu as un NAS syno, tu peux tout simplement utiliser le serveur OpenVPN directement sur le Syno, pas besoin d'ajouter un rasp (par contre la conf est bien plus légère que si tu installes un OpenVPN toi même).

Utiliser une box opérateur comme routeur est la pire des choses quand on veut avoir la main sur son "infra". 
Pour commencer aucune box opérateur ne propose de firewall (à l'inverse de ce que Du21 indique). Ils proposent tous un simple NAT, qui n'a rien à voir avec du firewalling.

J'ai lu Untangle dans le thread, c'est sympa, mais si tu veux vraiment poser un routeur qui va avoir des fonctionnalités de firewall, de détection d'intrusion, de gestion des utilisateurs, de serveur(s) VPN et encore pas mal d'autres choses, tu te prends une config en mini-itx (ou en rack si tu as une baie) avec 2 ou 3 ports RJ45 (2 WANs et 1 LAN avec des VLANs), tu mets tes box en bridge ou DMZ si tu ne peux pas passer en bridge, et tu gères tout sur un Pfsense ou OPNSense.

Il n'y a rien de mieux que ça, et tu te passes des hard proprio, et le jour où tu changes d'opérateur, pas besoin de reconfigurer tout ton LAN.
Pour ton souci de VLAN100, prends toi un petit switch 5 ou 8 ports manageable de façon à pouvoir passer un port en untagged sur ton VLAN, et c'est fini.
Répondre
#13
(31/03/2020, 09:43:20)R4v3n a écrit : Ok déjà tu as tout sur un même réseau, c'est sale, mais c'est simple.
Tu as un NAS syno, tu peux tout simplement utiliser le serveur OpenVPN directement sur le Syno, pas besoin d'ajouter un rasp (par contre la conf est bien plus légère que si tu installes un OpenVPN toi même).
J'ai vu cette possibilité d'installer OpenVPN sur le synology, il existe des tutos qui donnent la procédure mais ce qui m’intéresse dans un premier temps c'est la "philosophie" globale. Quel flux passe par le VPN et comment ?

(31/03/2020, 09:43:20)R4v3n a écrit : Utiliser une box opérateur comme routeur est la pire des choses quand on veut avoir la main sur son "infra". 
Pour commencer aucune box opérateur ne propose de firewall (à l'inverse de ce que Du21 indique). Ils proposent tous un simple NAT, qui n'a rien à voir avec du firewalling.
J'ai lu Untangle dans le thread, c'est sympa, mais si tu veux vraiment poser un routeur qui va avoir des fonctionnalités de firewall, de détection d'intrusion, de gestion des utilisateurs, de serveur(s) VPN et encore pas mal d'autres choses, tu te prends une config en mini-itx (ou en rack si tu as une baie) avec 2 ou 3 ports RJ45 (2 WANs et 1 LAN avec des VLANs), tu mets tes box en bridge ou DMZ si tu ne peux pas passer en bridge, et tu gères tout sur un Pfsense ou OPNSense.
Comme je suis loin d'être un spécialiste en réseau (c'est facile à voir  Smile ) j'ai remis à plus tard le traitement de la sécurité (même si ce n'est pas pas une bonne idée) et évidemment il ne doit pas se faire aux détriments des fonctionnalités en place et dans mon installation il y a beaucoup d'éléments qui doivent communiquer entre eux :
- Sonos avec Lifedomus
- Portiers video IP avec Lifedomus, Sonos
- 4 lecteurs multimedia avec le NAS Ve-Hotech et la Freebox player
- enceintes connectées Alexa pour la commande vocale avec Lifedomus
- etc.
J'ai une baie mais pourrais tu détailler "prends une config en mini-itx (ou en rack si tu as une baie) avec 2 ou 3 ports RJ45 (2 WANs et 1 LAN avec des VLANs), tu mets tes box en bridge ou DMZ si tu ne peux pas passer en bridge, et tu gères tout sur un Pfsense ou OPNSense."
C'est quoi l'idée de 1 WAN et 1 LAN avec des VLANs
La Freebox peut être configurée en bridge

(31/03/2020, 09:43:20)R4v3n a écrit : Il n'y a rien de mieux que ça, et tu te passes des hard proprio, et le jour où tu changes d'opérateur, pas besoin de reconfigurer tout ton LAN.
Pour ton souci de VLAN100, prends toi un petit switch 5 ou 8 ports manageable de façon à pouvoir passer un port en untagged sur ton VLAN, et c'est fini.
Oui le changement d'opérateur avec des configurations complexes est laborieux  ; je l'ai vécu recemment avec un passage  de Free adsl à orange fibre pendant un an puis retour de Orange Fibre à Free Fibre. 
De plus, comme je vais vendre la maison dans quelques années il serait bien que le futur propriétaire puisse installer la box du FAI de son choix et que tout fonctionne !
Répondre
#14
Untangle c'est du hard. j'ai 8 ports RJ45. Tu peux l'installer sur beaucoup de boitier ITX ayant au moins deux ports rj45.
j'aurais pu y installer Pfsense ou Opnsense. j'ai une préférence pour ce dernier plus Userfriendly.

la solution du serveur vpn sur la box FAI n'est pas le meilleur choix.

J'ai tout sur le Untangle. J'y ai le wifi, deux switchs ainsi qu'une clé 4G et le player 4k.
Je n'ai que le téléphone de branché sur la Free.
Si tu ne veux pas t'embêter avec la TV, tu peux  laisser le player connecté en direct sur la révolution. Par contre tu seras bloqué pour accéder à tes  dossiers qui eux seront derrière ton autre routeur. Enfin si tu te sers du player pour lire des films par ex.

Ce n'est pas tant la perte de connections qui me gêne mais le temps de rétablissement. J'ai déjà eu une perte durant 3 semaines. Et ne plus pouvoir accéder à ses dossiers sur les nas c'est râlant. J'ai jamais compris pourquoi Free ne corrigeait pas cela. J'ai pris les devant.

Si tu ne veux pas de firewall prend un routeur Asus avec un firmware alternatif en tant que second routeur.
Répondre
#15
(31/03/2020, 10:25:17)urufara a écrit : Untangle c'est du hard. j'ai 8 ports RJ45. Tu peux l'installer sur beaucoup de boitier ITX ayant au moins deux ports rj45.
j'aurais pu y installer Pfsense ou Opnsense. j'ai une préférence pour ce dernier plus Userfriendly.

la solution du serveur vpn sur la box FAI n'est pas le meilleur choix.

J'ai tout sur le Untangle. J'y ai le wifi, deux switchs ainsi qu'une clé 4G et le player 4k.
Je n'ai que le téléphone de branché sur la Free.
Si tu ne veux pas t'embêter avec la TV, tu peux  laisser le player connecté en direct sur la révolution. Par contre tu seras bloqué pour accéder à tes  dossiers qui eux seront derrière ton autre routeur. Enfin si tu te sers du player pour lire des films par ex.

Ce n'est pas tant la perte de connections qui me gêne mais le temps de rétablissement. J'ai déjà eu une perte durant 3 semaines. Et ne plus pouvoir accéder à ses dossiers sur les nas c'est râlant. J'ai jamais compris pourquoi Free ne corrigeait pas cela. J'ai pris les devant.

Si tu ne veux pas de firewall prend un routeur Asus avec un firmware alternatif en tant que second routeur.

Untangle n'a rien de hard (tout comme pf/opnsense). Untangle est une distri linux basée sur Debian, qui met à dispo des appliances x86. Quand on parle de firewall hard, on parle d'ASICs, absolument pas d'une plateforme x86 fournie avec un bout de soft dessus.
Répondre
#16
(31/03/2020, 10:08:16)Ives a écrit :
(31/03/2020, 09:43:20)R4v3n a écrit : Ok déjà tu as tout sur un même réseau, c'est sale, mais c'est simple.
Tu as un NAS syno, tu peux tout simplement utiliser le serveur OpenVPN directement sur le Syno, pas besoin d'ajouter un rasp (par contre la conf est bien plus légère que si tu installes un OpenVPN toi même).
J'ai vu cette possibilité d'installer OpenVPN sur le synology, il existe des tutos qui donnent la procédure mais ce qui m’intéresse dans un premier temps c'est la "philosophie" globale. Quel flux passe par le VPN et comment ?

(31/03/2020, 09:43:20)R4v3n a écrit : Utiliser une box opérateur comme routeur est la pire des choses quand on veut avoir la main sur son "infra". 
Pour commencer aucune box opérateur ne propose de firewall (à l'inverse de ce que Du21 indique). Ils proposent tous un simple NAT, qui n'a rien à voir avec du firewalling.
J'ai lu Untangle dans le thread, c'est sympa, mais si tu veux vraiment poser un routeur qui va avoir des fonctionnalités de firewall, de détection d'intrusion, de gestion des utilisateurs, de serveur(s) VPN et encore pas mal d'autres choses, tu te prends une config en mini-itx (ou en rack si tu as une baie) avec 2 ou 3 ports RJ45 (2 WANs et 1 LAN avec des VLANs), tu mets tes box en bridge ou DMZ si tu ne peux pas passer en bridge, et tu gères tout sur un Pfsense ou OPNSense.
Comme je suis loin d'être un spécialiste en réseau (c'est facile à voir  Smile ) j'ai remis à plus tard le traitement de la sécurité (même si ce n'est pas pas une bonne idée) et évidemment il ne doit pas se faire aux détriments des fonctionnalités en place et dans mon installation il y a beaucoup d'éléments qui doivent communiquer entre eux :
- Sonos avec Lifedomus
- Portiers video IP avec Lifedomus, Sonos
- 4 lecteurs multimedia avec le NAS Ve-Hotech et la Freebox player
- enceintes connectées Alexa pour la commande vocale avec Lifedomus
- etc.
J'ai une baie mais pourrais tu détailler "prends une config en mini-itx (ou en rack si tu as une baie) avec 2 ou 3 ports RJ45 (2 WANs et 1 LAN avec des VLANs), tu mets tes box en bridge ou DMZ si tu ne peux pas passer en bridge, et tu gères tout sur un Pfsense ou OPNSense."
C'est quoi l'idée de 1 WAN et 1 LAN avec des VLANs
La Freebox peut être configurée en bridge

(31/03/2020, 09:43:20)R4v3n a écrit : Il n'y a rien de mieux que ça, et tu te passes des hard proprio, et le jour où tu changes d'opérateur, pas besoin de reconfigurer tout ton LAN.
Pour ton souci de VLAN100, prends toi un petit switch 5 ou 8 ports manageable de façon à pouvoir passer un port en untagged sur ton VLAN, et c'est fini.
Oui le changement d'opérateur avec des configurations complexes est laborieux  ; je l'ai vécu recemment avec un passage  de Free adsl à orange fibre pendant un an puis retour de Orange Fibre à Free Fibre. 
De plus, comme je vais vendre la maison dans quelques années il serait bien que le futur propriétaire puisse installer la box du FAI de son choix et que tout fonctionne !

1)
Il ne faut pas que tu mélanges un VPN pour "anonymiser" ton trafic (ne t'inquiètes pas que ton fournisseur payant de VPN il garde les logs de connexion et le jour où la justice lui demande il va courber l'échine en 2,5 secondes, d'où ma remarque sur le fait d'avoir ton propre VPN) et un VPN pour te connecter à ton LAN de façon sécurisée.

Le cas "J'utilise un VPN pour anonymiser mon surf" je ne l'aborde pas.

Ici je te parle de pouvoir te connecter à ton LAN (ou du moins à certaines adresses de ton LAN) depuis ton téléphone ou un laptop par exemple.
Le serveur OpenVPN sur le syno va accueillir ta connexion cliente (donc depuis ton tél) et te permettre d'accèder à ton LAN. De base uniquement le flux dédié au LAN passera par le VPN, mais tu peux aussi forcer TOUT ton traffic internet (toujours le traffic de ton tél) via ton VPN quand tu y es connecté, c'est un simple paramètre.


2)
Ton LAN sera toujours ton LAN. Mais en mettant en place des LANs dédiés (physiques ou VLANs) à des fonctionnalités, tu peux gérer finement le firewalling entre chaque LANs. Voici des exemples rapides :
- Mettre ton/tes wifi(s) sur des VLANs séparés, parce que le wifi est la pire chose en matière de sécurité, et il est nécessaire de gérer ses flux correctement
- Mettre ton portier IP sur un VLAN à part (je considère qu'il est PoE), de façon à ce que si on te le force et qu'on utilise le RJ qui se trouve derrière, l'attaquant ne puisse accéder à rien, seul le sens Lifedomus > Portier IP doit être autorisé.
- Mettre tes caméras sur un VLAN à part pour que ce soit complètement inaccessible en dehors de quelques IPs autorisées

Il faut comprendre qu'un vrai routeur, qui sait gérer des VLANs, te permettra de gérer tes règles de firewalling entre chaque VLAN. Alors que dans un même LAN, tout le monde peut discuter librement (sauf si tu mets un firewall soft sur un PC par exemple).


L'idée c'est de te prendre une petite configuration dans un rack 1/2/3U, mettre ça dans ta baie avec ta freebox et autre matériels informatique et réseaux, et l'utiliser comme routeur.
2 WANs de façon à avoir toujours de la redondance pour ton VPN (et même ton réseau interne, dans l'autre sens), par exemple une connexion Fibre et une connexion 4G.
1 LAN, pour te brancher à ton switch, manageable si tu comptes avoir des VLANs, puis ensuite tu gères chaque port de ton switch en fonction de ton brassage (en taggant ou non chaque port).


3)
Dans ton cas la configuration n'a rien de complexe, elle est même trop basique à mon goût Big Grin   Mais je comprends tout à fait.
L'idée c'est d'avoir ton propre routeur, tu gères ton DHCP, toutes tes ranges IPs et tes VLANs avec ton matos, et tu n'es pas dépendant du hardware de ton opérateur. 
Demain tu veux changer d'opérateur fibre, tout ce que tu as à faire c'est passer la nouvelle box en bridge dans l'idée, ou, si elle ne le permet pas, te mettre une IP en DMZ et la configurer sur ton routeur. Pareil sur la connexion 4G.

Le futur proprio n'aura pas ton infra, il se débrouillera avec sa propre box, ça ne change rien pour lui.
Répondre
#17
(31/03/2020, 10:34:50)R4v3n a écrit :
(31/03/2020, 10:25:17)urufara a écrit : Untangle c'est du hard. j'ai 8 ports RJ45. Tu peux l'installer sur beaucoup de boitier ITX ayant au moins deux ports rj45.
j'aurais pu y installer Pfsense ou Opnsense. j'ai une préférence pour ce dernier plus Userfriendly.

la solution du serveur vpn sur la box FAI n'est pas le meilleur choix.

J'ai tout sur le Untangle. J'y ai le wifi, deux switchs ainsi qu'une clé 4G et le player 4k.
Je n'ai que le téléphone de branché sur la Free.
Si tu ne veux pas t'embêter avec la TV, tu peux  laisser le player connecté en direct sur la révolution. Par contre tu seras bloqué pour accéder à tes  dossiers qui eux seront derrière ton autre routeur. Enfin si tu te sers du player pour lire des films par ex.

Ce n'est pas tant la perte de connections qui me gêne mais le temps de rétablissement. J'ai déjà eu une perte durant 3 semaines. Et ne plus pouvoir accéder à ses dossiers sur les nas c'est râlant. J'ai jamais compris pourquoi Free ne corrigeait pas cela. J'ai pris les devant.

Si tu ne veux pas de firewall prend un routeur Asus avec un firmware alternatif en tant que second routeur.

Untangle n'a rien de hard (tout comme pf/opnsense). Untangle est une distri linux basée sur Debian, qui met à dispo des appliances x86. Quand on parle de firewall hard, on parle d'ASICs, absolument pas d'une plateforme x86 fournie avec un bout de soft dessus.
ce que je voulais dire c'est une distribution complète basé sur Debian tout comme OPNsense l'est sur BSD.
Répondre
#18
(31/03/2020, 10:25:17)urufara a écrit : Untangle c'est du hard. j'ai 8 ports RJ45. Tu peux l'installer sur beaucoup de boitier ITX ayant au moins deux ports rj45.
j'aurais pu y installer Pfsense ou Opnsense. j'ai une préférence pour ce dernier plus Userfriendly.
Ce boitier ITX ayant au moins deux ports rj45, c'est bien un mini PC, quel OS et quel est son rôle exactement ?

(31/03/2020, 10:25:17)urufara a écrit : la solution du serveur vpn sur la box FAI n'est pas le meilleur choix.
J'ai compris et abandonné cette idée

(31/03/2020, 10:25:17)urufara a écrit : J'ai tout sur le Untangle. J'y ai le wifi, deux switchs ainsi qu'une clé 4G et le player 4k.
Je n'ai que le téléphone de branché sur la Free.
J'ai 41 prises  RJ45, 35 sont brassées sur le LAN dont 11 en POE et 6 sont utilisées pour la TV/SAT

(31/03/2020, 10:25:17)urufara a écrit : Si tu ne veux pas de firewall prend un routeur Asus avec un firmware alternatif en tant que second routeur.
Je n'ai pas les tenants et aboutissants, je suppose qu'un firewall est un plus pour la sécurité mais sans plus !
Répondre
#19
(31/03/2020, 10:50:16)Ives a écrit :
(31/03/2020, 10:25:17)urufara a écrit : Untangle c'est du hard. j'ai 8 ports RJ45. Tu peux l'installer sur beaucoup de boitier ITX ayant au moins deux ports rj45.
j'aurais pu y installer Pfsense ou Opnsense. j'ai une préférence pour ce dernier plus Userfriendly.
Ce boitier ITX ayant au moins deux ports rj45, c'est bien un mini PC, quel OS et quel est son rôle exactement ?
ce sont des distribution gratuites pour la plupart qui font routeur, VPN et firewall et plus...
La liste n'est pas exhaustive : OPNsense PFsense
Sophos UTM Home Untangle[/url]
(31/03/2020, 10:25:17)urufara a écrit : la solution du serveur vpn sur la box FAI n'est pas le meilleur choix.
J'ai compris et abandonné cette idée

(31/03/2020, 10:25:17)urufara a écrit : J'ai tout sur le Untangle. J'y ai le wifi, deux switchs ainsi qu'une clé 4G et le player 4k.
Je n'ai que le téléphone de branché sur la Free.
J'ai 41 prises  RJ45, 35 sont brassées sur le LAN dont 11 en POE et 6 sont utilisées pour la TV/SAT

(31/03/2020, 10:25:17)urufara a écrit : Si tu ne veux pas de firewall prend un routeur Asus avec un firmware alternatif en tant que second routeur.
Je n'ai pas les tenants et aboutissants, je suppose qu'un firewall est un plus pour la sécurité mais sans plus !
Un firewall est un plus mais pas invulnérable. La principale faille en réalité c'est nous même.
si tu veux une idée de principe surcomment configurer un second routeur tu peux aller [url=http://tex.fr/routeur-configuration/]icihttp://tex.fr/configuration-du-routeur-r...-box-adsl/
Répondre
#20
(31/03/2020, 10:36:42)R4v3n a écrit : Il ne faut pas que tu mélanges un VPN pour "anonymiser" ton trafic (ne t'inquiètes pas que ton fournisseur payant de VPN il garde les logs de connexion et le jour où la justice lui demande il va courber l'échine en 2,5 secondes, d'où ma remarque sur le fait d'avoir ton propre VPN) et un VPN pour te connecter à ton LAN de façon sécurisée.
Le cas "J'utilise un VPN pour anonymiser mon surf" je ne l'aborde pas.
Les échanges sur ce sujet m'ont déjà permis de comprendre la différence "anonymiser le trafic et connecter de façon sécurisé (c'est un bon début !) Smile
Concernant les logs de connexion, la politique "no-log stricte" annoncée par NordVPN c'est bidon ?

(31/03/2020, 10:36:42)R4v3n a écrit : Ici je te parle de pouvoir te connecter à ton LAN (ou du moins à certaines adresses de ton LAN) depuis ton téléphone ou un laptop par exemple.
Le serveur OpenVPN sur le syno va accueillir ta connexion cliente (donc depuis ton tél) et te permettre d'accèder à ton LAN. De base uniquement le flux dédié au LAN passera par le VPN, mais tu peux aussi forcer TOUT ton traffic internet (toujours le traffic de ton tél) via ton VPN quand tu y es connecté, c'est un simple paramètre.
Sur le syno (connecté sur un switch lui même connecté au routeur) sera installé le serveur VPN et je suppose qu'il faudra installer un client VPN sur chaque smartphone ?

(31/03/2020, 10:36:42)R4v3n a écrit : Ton LAN sera toujours ton LAN. Mais en mettant en place des LANs dédiés (physiques ou VLANs) à des fonctionnalités, tu peux gérer finement le firewalling entre chaque LANs. Voici des exemples rapides :
- Mettre ton/tes wifi(s) sur des VLANs séparés, parce que le wifi est la pire chose en matière de sécurité, et il est nécessaire de gérer ses flux correctement
- Mettre ton portier IP sur un VLAN à part (je considère qu'il est PoE), de façon à ce que si on te le force et qu'on utilise le RJ qui se trouve derrière, l'attaquant ne puisse accéder à rien, seul le sens Lifedomus > Portier IP doit être autorisé.
- Mettre tes caméras sur un VLAN à part pour que ce soit complètement inaccessible en dehors de quelques IPs autorisées
C'est exactement ce que je voudrais faire !
Pour le wifi, j'ai recemment changé de système. 
Auparavant j'utilisais le wifi de la Freebox avec un CISCO en point d'accès (pour couvrir toute la maison). Cette solution permettait de filtrer l’accès au wifi avec les adresses MAC. Le débit au niveau du CISCO n'était pas stop et j'ai changé pour mettre en place un réseau Mesch avec les ORBI Netgear ;  l'inconvénient c'est de ne plus pouvoir faire de filtrage MAC donc un réseau wifi exposé à sécuriser.

(31/03/2020, 10:36:42)R4v3n a écrit : Il faut comprendre qu'un vrai routeur, qui sait gérer des VLANs, te permettra de gérer tes règles de firewalling entre chaque VLAN. Alors que dans un même LAN, tout le monde peut discuter librement (sauf si tu mets un firewall soft sur un PC par exemple).
L'idée c'est de te prendre une petite configuration dans un rack 1/2/3U, mettre ça dans ta baie avec ta freebox et autre matériels informatique et réseaux, et l'utiliser comme routeur.
2 WANs de façon à avoir toujours de la redondance pour ton VPN (et même ton réseau interne, dans l'autre sens), par exemple une connexion Fibre et une connexion 4G.
1 LAN, pour te brancher à ton switch, manageable si tu comptes avoir des VLANs, puis ensuite tu gères chaque port de ton switch en fonction de ton brassage (en taggant ou non chaque port).
Tout est déjà dans un rack (3 switchs, freebox, NAS, Syno, onduleur, ...)
Peut tu préciser "prendre une petite configuration dans un rack" ?
Mes switchs ne sont pas manageables.

(31/03/2020, 10:36:42)R4v3n a écrit : Le futur proprio n'aura pas ton infra, il se débrouillera avec sa propre box, ça ne change rien pour lui.
La maison étant entièrement domotisée, une très grande partie va rester en place (Sonos, Lifedomus,...) y compris le Syno qui procède aux enregistrements des cameras (sauf à ce que je passe ça sur le Cloud qui serait un plus lors d'un cambriolage !)
Répondre
#21
(30/03/2020, 22:13:31)R4v3n a écrit : Bonus : Même en 2020, on ne peut toujours pas CRYPTER, on peut chiffrer, déchiffrer et décrypter. Mais j'insiste, jamais on ne pourra CRYPTER quoi que ce soit.

Inutile d'hurler, c'est un forum d'entraide et au delà des termes techniques, c'est bien de connaître l'informatique, c'est pas mal aussi de connaître la langue française :
https://www.larousse.fr/dictionnaires/fr...tage/20841
On peut donc au sens littéral du terme crypter.
Répondre
#22
(31/03/2020, 11:22:47)Ives a écrit :
(31/03/2020, 10:36:42)R4v3n a écrit : Il ne faut pas que tu mélanges un VPN pour "anonymiser" ton trafic (ne t'inquiètes pas que ton fournisseur payant de VPN il garde les logs de connexion et le jour où la justice lui demande il va courber l'échine en 2,5 secondes, d'où ma remarque sur le fait d'avoir ton propre VPN) et un VPN pour te connecter à ton LAN de façon sécurisée.
Le cas "J'utilise un VPN pour anonymiser mon surf" je ne l'aborde pas.
Les échanges sur ce sujet m'ont déjà permis de comprendre la différence "anonymiser le trafic et connecter de façon sécurisé (c'est un bon début !) Smile
Concernant les logs de connexion, la politique "no-log stricte" annoncée par NordVPN c'est bidon ?

(31/03/2020, 10:36:42)R4v3n a écrit : Ici je te parle de pouvoir te connecter à ton LAN (ou du moins à certaines adresses de ton LAN) depuis ton téléphone ou un laptop par exemple.
Le serveur OpenVPN sur le syno va accueillir ta connexion cliente (donc depuis ton tél) et te permettre d'accèder à ton LAN. De base uniquement le flux dédié au LAN passera par le VPN, mais tu peux aussi forcer TOUT ton traffic internet (toujours le traffic de ton tél) via ton VPN quand tu y es connecté, c'est un simple paramètre.
Sur le syno (connecté sur un switch lui même connecté au routeur) sera installé le serveur VPN et je suppose qu'il faudra installer un client VPN sur chaque smartphone ?

(31/03/2020, 10:36:42)R4v3n a écrit : Ton LAN sera toujours ton LAN. Mais en mettant en place des LANs dédiés (physiques ou VLANs) à des fonctionnalités, tu peux gérer finement le firewalling entre chaque LANs. Voici des exemples rapides :
- Mettre ton/tes wifi(s) sur des VLANs séparés, parce que le wifi est la pire chose en matière de sécurité, et il est nécessaire de gérer ses flux correctement
- Mettre ton portier IP sur un VLAN à part (je considère qu'il est PoE), de façon à ce que si on te le force et qu'on utilise le RJ qui se trouve derrière, l'attaquant ne puisse accéder à rien, seul le sens Lifedomus > Portier IP doit être autorisé.
- Mettre tes caméras sur un VLAN à part pour que ce soit complètement inaccessible en dehors de quelques IPs autorisées
C'est exactement ce que je voudrais faire !
Pour le wifi, j'ai recemment changé de système. 
Auparavant j'utilisais le wifi de la Freebox avec un CISCO en point d'accès (pour couvrir toute la maison). Cette solution permettait de filtrer l’accès au wifi avec les adresses MAC. Le débit au niveau du CISCO n'était pas stop et j'ai changé pour mettre en place un réseau Mesch avec les ORBI Netgear ;  l'inconvénient c'est de ne plus pouvoir faire de filtrage MAC donc un réseau wifi exposé à sécuriser.

(31/03/2020, 10:36:42)R4v3n a écrit : Il faut comprendre qu'un vrai routeur, qui sait gérer des VLANs, te permettra de gérer tes règles de firewalling entre chaque VLAN. Alors que dans un même LAN, tout le monde peut discuter librement (sauf si tu mets un firewall soft sur un PC par exemple).
L'idée c'est de te prendre une petite configuration dans un rack 1/2/3U, mettre ça dans ta baie avec ta freebox et autre matériels informatique et réseaux, et l'utiliser comme routeur.
2 WANs de façon à avoir toujours de la redondance pour ton VPN (et même ton réseau interne, dans l'autre sens), par exemple une connexion Fibre et une connexion 4G.
1 LAN, pour te brancher à ton switch, manageable si tu comptes avoir des VLANs, puis ensuite tu gères chaque port de ton switch en fonction de ton brassage (en taggant ou non chaque port).
Tout est déjà dans un rack (3 switchs, freebox, NAS, Syno, onduleur, ...)
Peut tu préciser "prendre une petite configuration dans un rack" ?
Mes switchs ne sont pas manageables.

(31/03/2020, 10:36:42)R4v3n a écrit : Le futur proprio n'aura pas ton infra, il se débrouillera avec sa propre box, ça ne change rien pour lui.
La maison étant entièrement domotisée, une très grande partie va rester en place (Sonos, Lifedomus,...) y compris le Syno qui procède aux enregistrements des cameras (sauf à ce que je passe ça sur le Cloud qui serait un plus lors d'un cambriolage !)

Avec Pfsense/OPNSense (et probablement avec Untangle aussi) tu peux définir ton routeur en tant que client VPN d'un service tiers (HMA dans ton cas), ajouter une interface pour cette connexion VPN et créer des règles de routage de façon à ce que certains services et/ou certaines machines utilisent le VPN pour sortir sur internet.
La politique no-log n'est pas bidon, mais disons qu'elle a le crédit que tu lui donnes. Tu ne sauras jamais comment ça se passe réellement. C'est comme penser que ta vie privée est respectée lorsque tu utilises home/alexa/siri/cortana.

Oui il faudra installer un client VPN sur chaque device que tu veux connecter au VPN. Rien ne t'obliges à mettre un user/pass sur ton certificat/clé pour faciliter les choses.

Le filtrage d'adresses MAC pour un wifi est obsolète depuis ... toujours. Ce que tu peux mettre en place c'est plutôt une authentification par portail captif/RADIUS, et EAP.



Soit tu trouves une config d'occaz en mini-itx (intel atom par exemple) en rack 1U/2U, soit tu pars sur "moins" cher (parce que plus gros) avec une carte micro-ATX ou ATX, dans un rack 3U, d'occaz toujours.
Si tu comptes gérer des VLANs, il te faudra un switch manageable. Ca se trouve à peanuts sur leboncoin/ebay aujourd'hui.

Donc tu considères que lors de la vente, le matériel ne sera pas obsolète, et que l'acheteur voudra forcément de ton Sonos et de ta Lifedomus ? C'est quelque peu restictrif.
Répondre
#23
(31/03/2020, 12:38:40)Du21 a écrit :
(30/03/2020, 22:13:31)R4v3n a écrit : Bonus : Même en 2020, on ne peut toujours pas CRYPTER, on peut chiffrer, déchiffrer et décrypter. Mais j'insiste, jamais on ne pourra CRYPTER quoi que ce soit.

Inutile d'hurler, c'est un forum d'entraide et au delà des termes techniques, c'est bien de connaître l'informatique, c'est pas mal aussi de connaître la langue française :
https://www.larousse.fr/dictionnaires/fr...tage/20841
On peut donc au sens littéral du terme crypter.

C'est marqué en rouge, volontairement, c'est un terme abusif, qui n'a strictement aucun sens en français. On ne peut pas crypter, on en peut que chiffrer. Crypter est une utilisation française de "to crypt/to encrypt".

Si besoin d'en savoir plus : https://www.bortzmeyer.org/cryptage-n-existe-pas.html
Et plus directement : https://chiffrer.info/
Répondre
#24
Hello

J'apporte ma pierre à l'édifice.

Après discussion avec certains d'entre vous et notamment R4v3n, je suis partie sur une solution réseau Ubiquiti qui permet de répondre à pas mal de besoins (pas forcement pour tout le monde):

* Accès VPN intégré
* firewall
* accès wifi
* gestion des VLANs (pas encore testé)
* serveur SIP (pas encore testé)

J'ai mis ma box SFR en Bridge (desactivé ses acces Wifi) et je gère tout mon réseau sur Unifi. Ils ont une super gamme et leur controller s'installe facilement (pour ma part sous Docker tournant sur OMV)
Répondre
#25
(01/04/2020, 10:33:19)Kevlille a écrit : Hello

J'apporte ma pierre à l'édifice.

Après discussion avec certains d'entre vous et notamment R4v3n, je suis partie sur une solution réseau Ubiquiti qui permet de répondre à pas mal de besoins (pas forcement pour tout le monde):

* Accès VPN intégré
* firewall
* accès wifi
* gestion des VLANs (pas encore testé)
* serveur SIP (pas encore testé)

J'ai mis ma box SFR en Bridge (desactivé ses acces Wifi) et je gère tout mon réseau sur Unifi. Ils ont une super gamme et leur controller s'installe facilement (pour ma part sous Docker tournant sur OMV)
Je confirme, dans le cadre de mon travail, je gère un cinquantaine de site en full Unifi de chez Ubiquiti, par contre il y a gros bémol avec les routeurs USG, sur les liens fibre à 200 Gbps, il ne sont pas en mesure de traiter la totalité de la bande passante, c'est trop pour eux, du coup la BP en amont n'est pas la même qu'en aval, j'ai déjà constaté des pertes de 30%, mais c'est un produit à moins de 200 €, on ne peut pas tout lui demander.
un de ses gros avantages, c'est que si on maîtrise un minimum l'anglais, il y a plein de tutos sur YT
Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 9 visiteur(s)