Tout jeune débutant dans cet univers, j’essai de structurer mes nouvelles connaissances pour faire un truc un peu carré.
J’ai dessiné ça rapidement et j’ai plein de question autour.
Pare-feu? j’ai vu un mec en mettre un sur une vidéo youtube. Je ne sais pas si c’est nécessaire, son truc à lui avait l’air assez costaud.
2)Wifi invité depuis le routeur ou bien depuis la box?
Quand favoriser le zigbee plutot que le wifi et inversement?
En écrivant ces je pensais acheter un ubiquiti U6+ comme routeur Mais je me rend compte que c’est un diffuseur de wifi plus qu’un routeur non? je ne peux pas brancher ma rasberry dessus?
Qu’est ce qu’il faudrait plutôt ( je n’ai pas une tres grande maison mais j’ai des murs en pierre).
Je prend tout les commentaires, je suis là pour apprendre
J’ai moi-même un routeur mais dans ton projet d’architecture, je n’en vois pas bien l’intérêt sauf si le wifi de ta box n’est pas suffisant (et encore des répéteurs pourraient suffire).
Ta box doit déjà gérer les 3 canaux souhaités (Wifi invité, Wifi standard, RJ45). Je ne l’ai pas mis en place mais certains préconisent de mettre tous les objets connectés sur un réseau séparé.
Perso, je favorise le zigbee tant que c’est possible pour des raisons de stabilité et d’économies d’énergie.
Pour le pare-feu, il existe plusieurs archi possibles. Pour ma part, j’ai mis en place un reverse proxy (Traefik) + Cloudflare + nom de domaine perso et ssl. Seuls les ports utiles sont exposés sur internet et Traefik peut agir en tant que pare-feu en fonction de sa configuration.
Je rentre déjà pas mal dans les détails mais je ne connais pas ton expérience.
Mon expérience en est au projet 05 du guide débutant arduino
Mais les mots compliqués me permettent de rechercher ce que c’est et d’avancer
Je n’ai peut-être pas bien compris l’intérêt d’un routeur? Je pensais que c’était plus rapide, avec plus de portée et plus sécurisé (mais je ne sais pas pourquoi).
Est-ce qu’on pourrait avoir tout les objets connectés en zigbee ou certains doivent forcément etre en wifi?
Je vais me renseigner sur le reverse proxy, je ne sais même pas ce qu’est un proxy en réalisé ^^
Pas de souci, il m’arrive d’être effrayant avec mon vocabulaire barbare.
J’utilise mon routeur pour des fonctions avancées mais mon archi est assez compliquée et le nécessite. Pour commencer, on peut mettre HA en bon fonctionnement sans tout ça.
Un reverse proxy est un système te permettant entre autres d’attaquer différents services sur des ports et des adresses différentes avec une simple URL. (ex : homeassistant.mondomaine.fr). Ce que permet aussi un simple abonnement au cloud NABU CASA mais pour ma part, j’expose un tas de services. Ce n’est pas nécessaire au commun des mortels pour démarrer.
Tu chercheras la notion de NAT qui doit être géré par ta box, ça peut suffire à faire le job.
Un routeur sert à interconnecter tous les périphériques de ton réseau local que ce soit ton smartphone, ton ordinateur, ton raspberry……
Il fait communiquer tes périphériques entre eux et avec l internet soit par câble ethernet soit par wifi.
Il contrôle les adresses de chaque périphérique et en attribue une si le périphérique n en a pas (DHCP).
Normalement ta box internet intégre un routeur ethernet et wifi. Tu peux donc démarrer avec ce routeur pour commencer.
Tu verra ensuite ce qu il te faut en plus au fur et à mesure de ta progression.
Concernant les objets connectés à HA, tu peux tout à fait envisager de les avoir connectés avec zigbee.
Le reverse proxy du coup ça se fait où? J’imagine sur le pc et ça protège quand même ma domotique?
2,4GHz / 5GHz Je sais que le 5 est plus puissant mais moins de portée, ça ok mais quand on parle de wifi invités, c’est qu’on leur laisse un des deux ou on en crée un nouveau en 2.4GHz?
C’est sûr que ça ne vaut pas le coup de faire le top du top des le début sans comprendre. J’aimerai disons le niveau 1 de sécurité quoi
Perso j utilise nabu casa qui fonctionne à merveille sans aucune installation ou presque. C est très bien pour débuter mais c est payant.
Pour le reverse proxy, je t invite à lire les articles du forum pour bien comprendre le mécanisme et l installation ✅ Accès de l’extérieur en HTTPS avec Nginx Proxy Manager.
Ne te préoccupes pas du 2,4 ou 5 GHz. Le périphérique fait lui même la sélection. Saches que la portée du 5 GHz est plus faible que celle du 2,4 GHz. Pour HA ce dernier suffit.
Pour un accès depuis l’extérieur si c’est limité à HA et 2 ou 3 bricoles pour un usage perso/famille, tu peux regarder pour un vpn (comme wireguard) qui te permet d’être DANS ton réseau.
Si t’es chez free, c’est très facile à configurer
Sinon, vu que tu semble avoir ubiquity, il peut le gérer.
Une analogie, c’est comme dans une maison, le vpn passe uniquement par la porte d’entrée sécurisée. Avec d’autres solutions, si tu veux aller dans la chambre, tu passes par la fenêtre. Idem pour la salle de bain. Plus tu as de point d’entrée, plus tu as de risques de failles.
Par contre, si tu as l’intention de donner accès a plein de services à plein de personnes (dont certaines que tu ne connais pas pour du web par exemple) alors les solutions d’ouverture de ports+ssl+etc est une meilleure solution. Mais sans avoir une bonne base de connaissances , difficile de bien sécurisé sur le long terme (mise a jour, breaking change, etc)
Pour mon accès depuis l’extérieur, j’utilise la solution de @Oles67.
A ceci près que mon serveur wireguard n’est pas sur ma box free puisque je n’ai pas cette box.
J’ai donc sur mon serveur proxmox un lxc pour le serveur Wiregard.
J’utilise ce point d’entrée pour un accès à mon NAS OMV; mon serveur Proxmox et HA.
Avant, j’utilisais un DDNS avec NGNIX reverse proxy pour les mêmes accès.
Le plus grand danger de cette solution, à mon sens, est que mon smartphone est un client du serveur Wireguard et que celui qui le tient entre ses mains à les clès de la hersse et du pont levis de mon chateau.
Je tiens à préciser que je ne suis pas un expert et que je ne suis pas en aussi grande sécurité que je ne le crois.
Mais je ne métrisais pas non plus, la série de ports ouverts avec mon ancien système
désolé, je m’aperçois qu’on n’a pas répondu à tes questions. Mais comme on l’a vu, peut-être pas nécessaire de monter quelque chose de trop compliqué si ce n’est pas nécessaire. Mais pour ta culture et peut-être tes évolutions futures (et d’autres personnes qui passeraient sur ce thread) :
Le reverse proxy sur le plan matériel peut-être sur n’importe quelle machine (restant allumée bien sûr) de ton réseau (ou container docker). Sur le plan logiciel, ce sera ta porte d’entrée.
Pour faire simple (en tout cas j’espère) :
Internet → Box → Reverse proxy → Home assistant (ou autre service)
La box transmet la requête au reverse proxy depuis le canal (port) standard utilisé pour les sites internet (443 en l’occurence)
D’après l’adresse, le reverse proxy se charge de transmettre la requête à la bonne machine sur le bon port puis de répondre en sens inverse tout en assurant un niveau de sécurité correct. https://homeassistant.mondomaine.fr → http://192.168.1.xxx:8123
C’est « tout »
En général, les box proposent un ou deux réseaux invités en plus des réseaux standards.
Effectivement, c’est un problème mais relatif quand même.
Tu as normalement un code pin sur ton smartphone, tu as possibilité de n’autoriser l’accès qu’à certaines IP sur ton réseau (dans le fichier config wireguard que tu génères)
Aucune solution n’est fiable à 100%.
En tout cas, si tu as un tuto sur ta config WG+LXC, je suis preneur. Pas pour moi car je vais gérer ça sur ubiquity, mais pour les autres.Tu peux le mettre dans la discussion du lien que j’ai posté juste au dessus en y intégrant ta remarque qui reste très pertinente.
