31/03/2020, 10:36:42
(31/03/2020, 10:08:16)Ives a écrit :(31/03/2020, 09:43:20)R4v3n a écrit : Ok déjà tu as tout sur un même réseau, c'est sale, mais c'est simple.J'ai vu cette possibilité d'installer OpenVPN sur le synology, il existe des tutos qui donnent la procédure mais ce qui m’intéresse dans un premier temps c'est la "philosophie" globale. Quel flux passe par le VPN et comment ?
Tu as un NAS syno, tu peux tout simplement utiliser le serveur OpenVPN directement sur le Syno, pas besoin d'ajouter un rasp (par contre la conf est bien plus légère que si tu installes un OpenVPN toi même).
(31/03/2020, 09:43:20)R4v3n a écrit : Utiliser une box opérateur comme routeur est la pire des choses quand on veut avoir la main sur son "infra".Comme je suis loin d'être un spécialiste en réseau (c'est facile à voir
Pour commencer aucune box opérateur ne propose de firewall (à l'inverse de ce que Du21 indique). Ils proposent tous un simple NAT, qui n'a rien à voir avec du firewalling.
J'ai lu Untangle dans le thread, c'est sympa, mais si tu veux vraiment poser un routeur qui va avoir des fonctionnalités de firewall, de détection d'intrusion, de gestion des utilisateurs, de serveur(s) VPN et encore pas mal d'autres choses, tu te prends une config en mini-itx (ou en rack si tu as une baie) avec 2 ou 3 ports RJ45 (2 WANs et 1 LAN avec des VLANs), tu mets tes box en bridge ou DMZ si tu ne peux pas passer en bridge, et tu gères tout sur un Pfsense ou OPNSense.) j'ai remis à plus tard le traitement de la sécurité (même si ce n'est pas pas une bonne idée) et évidemment il ne doit pas se faire aux détriments des fonctionnalités en place et dans mon installation il y a beaucoup d'éléments qui doivent communiquer entre eux :
- Sonos avec Lifedomus
- Portiers video IP avec Lifedomus, Sonos
- 4 lecteurs multimedia avec le NAS Ve-Hotech et la Freebox player
- enceintes connectées Alexa pour la commande vocale avec Lifedomus
- etc.
J'ai une baie mais pourrais tu détailler "prends une config en mini-itx (ou en rack si tu as une baie) avec 2 ou 3 ports RJ45 (2 WANs et 1 LAN avec des VLANs), tu mets tes box en bridge ou DMZ si tu ne peux pas passer en bridge, et tu gères tout sur un Pfsense ou OPNSense."
C'est quoi l'idée de 1 WAN et 1 LAN avec des VLANs
La Freebox peut être configurée en bridge
(31/03/2020, 09:43:20)R4v3n a écrit : Il n'y a rien de mieux que ça, et tu te passes des hard proprio, et le jour où tu changes d'opérateur, pas besoin de reconfigurer tout ton LAN.Oui le changement d'opérateur avec des configurations complexes est laborieux ; je l'ai vécu recemment avec un passage de Free adsl à orange fibre pendant un an puis retour de Orange Fibre à Free Fibre.
Pour ton souci de VLAN100, prends toi un petit switch 5 ou 8 ports manageable de façon à pouvoir passer un port en untagged sur ton VLAN, et c'est fini.
De plus, comme je vais vendre la maison dans quelques années il serait bien que le futur propriétaire puisse installer la box du FAI de son choix et que tout fonctionne !
1)
Il ne faut pas que tu mélanges un VPN pour "anonymiser" ton trafic (ne t'inquiètes pas que ton fournisseur payant de VPN il garde les logs de connexion et le jour où la justice lui demande il va courber l'échine en 2,5 secondes, d'où ma remarque sur le fait d'avoir ton propre VPN) et un VPN pour te connecter à ton LAN de façon sécurisée.
Le cas "J'utilise un VPN pour anonymiser mon surf" je ne l'aborde pas.
Ici je te parle de pouvoir te connecter à ton LAN (ou du moins à certaines adresses de ton LAN) depuis ton téléphone ou un laptop par exemple.
Le serveur OpenVPN sur le syno va accueillir ta connexion cliente (donc depuis ton tél) et te permettre d'accèder à ton LAN. De base uniquement le flux dédié au LAN passera par le VPN, mais tu peux aussi forcer TOUT ton traffic internet (toujours le traffic de ton tél) via ton VPN quand tu y es connecté, c'est un simple paramètre.
2)
Ton LAN sera toujours ton LAN. Mais en mettant en place des LANs dédiés (physiques ou VLANs) à des fonctionnalités, tu peux gérer finement le firewalling entre chaque LANs. Voici des exemples rapides :
- Mettre ton/tes wifi(s) sur des VLANs séparés, parce que le wifi est la pire chose en matière de sécurité, et il est nécessaire de gérer ses flux correctement
- Mettre ton portier IP sur un VLAN à part (je considère qu'il est PoE), de façon à ce que si on te le force et qu'on utilise le RJ qui se trouve derrière, l'attaquant ne puisse accéder à rien, seul le sens Lifedomus > Portier IP doit être autorisé.
- Mettre tes caméras sur un VLAN à part pour que ce soit complètement inaccessible en dehors de quelques IPs autorisées
Il faut comprendre qu'un vrai routeur, qui sait gérer des VLANs, te permettra de gérer tes règles de firewalling entre chaque VLAN. Alors que dans un même LAN, tout le monde peut discuter librement (sauf si tu mets un firewall soft sur un PC par exemple).
L'idée c'est de te prendre une petite configuration dans un rack 1/2/3U, mettre ça dans ta baie avec ta freebox et autre matériels informatique et réseaux, et l'utiliser comme routeur.
2 WANs de façon à avoir toujours de la redondance pour ton VPN (et même ton réseau interne, dans l'autre sens), par exemple une connexion Fibre et une connexion 4G.
1 LAN, pour te brancher à ton switch, manageable si tu comptes avoir des VLANs, puis ensuite tu gères chaque port de ton switch en fonction de ton brassage (en taggant ou non chaque port).
3)
Dans ton cas la configuration n'a rien de complexe, elle est même trop basique à mon goût
Mais je comprends tout à fait.L'idée c'est d'avoir ton propre routeur, tu gères ton DHCP, toutes tes ranges IPs et tes VLANs avec ton matos, et tu n'es pas dépendant du hardware de ton opérateur.
Demain tu veux changer d'opérateur fibre, tout ce que tu as à faire c'est passer la nouvelle box en bridge dans l'idée, ou, si elle ne le permet pas, te mettre une IP en DMZ et la configurer sur ton routeur. Pareil sur la connexion 4G.
Le futur proprio n'aura pas ton infra, il se débrouillera avec sa propre box, ça ne change rien pour lui.