A titre perso,
Wifi en unifi avec 4 vlan/SSID:
1 wifi normal.
2 wifi-No-internet (Shelly/esphome/autres trucs qui n’ont pas besoin d’internet)
3 wifi que internet (pour les nest/Google et Alexa bidule)
4 wifi invité
Un gros proxmox qui fait tout:
pfsense (virtualisé)qui fait routeur/par feux/vpn/DHCP etc etc. (Je compte passé a opnsense à cause de la politique de netgate mais c’est une autre histoire)
Adguard en lxc
Haos en vm
Openmediavault lxc avec mes disques montés dedans pour le nas.
Switch’s manageable (d’occasion) pour séparer en vlan le réseau câblé aussi.
Freebox en bridge.
Pour bonjour/UPnP/mdns il y a des solutions pour autoriser à traversé les vlan (avahi par exemple)
Pour le reste comme cela a été dit, il faut des règles strict de parfeux et routage.
Pour matterbridge il faut que j’avance sur l’ipv6 mais là c’est une autre histoire aussi ).
Bref tout ce petit monde du coup peu communiquer avec ce dont il a besoin et pas plus…
Les caméras par exemple:
Souvent elles font des requêtes tout à droite de notre mapmonde, alors en fonction de la marque/modèle/année etc…
Soit elles sont entièrement isolé et ça marche .
Soit elles ont le droit de faire des requêtes NTP uniquement sur internet (saleté de camera à laquelle on ne peux pas figer le serveur ntp en local ).
Soit elles n’ont accès qu’à internet. (Enfin c’est dernière je les ai banni de chez nous).
Par contre attention à IPv6…
Car dans certains mode de fonctionnement vous pouvez isolé tout avec des vlan des règles de par feux etc. Mais si vos devices sont directement connecté à internet grâce à IPv6 ben vos sécurité mise en place sur ipv4 ne servent plus à rien et tout le monde cause a tout le monde et en plus directement sur le net.
Et une subtilité importante, si vous pouvez isolé vos devices en wifi c’est mieux. Sous unifi il y a des options pour empêcher la communication direct entre 2 équipements en wifi. Ultra pratique et effectivement ça bloque certain malin de faire de l’icmp sur le réseau (interdit par le parfeux) genre au hasard les appareils amazon😱
Se sujet m’intéresse au plus haut point, donc en gros là ou vous étes tous d’accord:
Pouvoir gérer des vlan
Un firewall pour gérer les règles d’accès au vlan/internet
Si je suis bien en gros coeur du réseaux, donc un routeur qui ne changera pas tous les 4 matins.
De plus je pense que la majorité sera d’accord, les réseaux fibre vont assez vite arriver pour tous au fameux 10gb, je pense qu’il faut au moins un port wan (pour la box en bridge) qui supporte se débit et un port Lan pour son réseaux privé.
Du coup en recherchant j’ai trouver un routeur certes pas donnés chez ubiquity mais qui a l’air de cocher toutes les cases. Le modèle Dream Machine Special Edition - Ubiquiti Store pourriez vous me donner votre avis, ou si un autre produit plus adapter.
C’est ce que j’ai (avec camera et borne wifi de la marque), et j’en suis content !
Si tu active l’IDPS (inspection des paquets pour limiter les intrusions) le débits maxi atteignable tombe à 3.5Gb, pour mon cas ça ne pose pas de problème les opérateurs ne proposent que 2Gb dans mon secteur.
Le POE est un plus si tu en as besoin sinon l’UDM pro peu suffire pour 120€ de moins.
J’ai l’habitude de partir sur des aopliances tu en as sur amazon et tu peux installer la distribution firewall que tu veux opnsense/wrt/vyos/mikrotik/… Je ne suis pas fan des dream machine comme toute la gamme unifi (sauf leur wifi ) je préfère largement les edgerouter
Y’a un moment là paranoïa n’est pas non z conseillère
Il faut prendre conscience que l’on est (les particuliers) pas du tout la cible de hackeurs
au mieux des scripts kiddies ou des robots de scan, nous n’intéressons pas ces gens qui cherchent l’argent ou la célébrité c’est pas en hackant madame Michu qu’il obtiendra cela
Je te rassure, je n’avais pas pris l’UDM pour l’IDPS, je remplaçais mon vieux routeur et son Wifi faiblard, il me fallait du POE et le SE sortais a ce moment.
Et j’ai voulu me faire plaisir !
Ubiquiti c’est un peu le Apple du matériel réseau, tu paye beaucoup la marque et tu peux trouver pareil pour moins cher ou mieux pour le même prix.
Il y’a du bon chez ubiquiti leur gamme edge par exemple et même leur infra unnifi en wifi est très bien , le reste gros bof (chez unifi) et oui les prix non merci
Dans la pratique c’est peut être un peu plus sécu pour le WIFI car on va pouvoir limiter l’accès par une liste blanche d’adresse mac, avoir des mots de passe spécifiques… Quoique suivant les AP et le routeur ce n’est pas indispensable.
Pour les modules domotiques c’est jouable à condition d’accepter de perdre la majorité des aides et automatismes, on oublie HA qui va nous afficher automatiquement les modules dans un autre vlan, il va falloir le faire à la main en espérant que l’interface le permet.
Sauf cas particulier le vlan n’apportera rien pour la majorité des utilisateurs sauf une complication extrême avec probablement des trous de sécurité liés à la complexité du paramétrage.
Qui dit vlan demande de configurer de nouvelles règles sur le routeur, de nouveau serveurs DNS, DHCP…
Je suis avec attention ce sujet, car j’ai du matos ubiquiti : 2 acces point, 1 switch POE 24 ports et un routeur USG 3P à peine acheté, déjà obsololète
Je voulais me racheter un routeur de leur gamme pour me lancer dans la segmentation, j’avais commencé mais j’ai pas les compétences d’un admin réseau.
J’ai tout mis en reverse proxy via mon NAS Synology mais quand on voit ce que je prends, çà fait un peu peur.
.
Ce que je cherche c’est être sûr de n’avoir qu’un point entrée et verrouiller ++
J’ai un VPN mais c’est contraignant au quotidien de l’extérieur d’avoir accès à l’ensemble de mon réseau, d’où le reverse proxy.
C’est la vie d’une IP publique qui se fait scanner des milliers de fois par jour
Rien de ciblé juste des czn pour essayer de trouver une faille connue
Si tu mets à jour correctement et régulièrement tu ne devrais jamais avoir de soucis particuliers
Je rejoins mille fois l’analyse de @Dan92 sur l’utilisation pas maîtrisée de solutions avancées de réseau ça n’apporte pas grand chose pour un lan domestique ça peut même être pire
J’ai effectivement déjà une règle sur certains pays, la liste est longue et on doit les sélectionner un par un mais effectivement je vais mettre la totale en les cochant tous sauf la France…
Vos retours sont rassurants, je fais bien les updates du contrôleur et du NAS
Laisser tous ses équipements sur un réseau plat en 2024, c’est comme mettre tous ses œufs dans le même panier. Les VLANs sont un standard de l’industrie depuis 30 ans qui a fait ses preuves. Si un objet connecté peu sécurisé est compromis, souhaitons nous vraiment qu’il ait accès à l’ensemble de votre réseau et nos données sensibles ?
Personne ne dit que les vlans ne servent à rien mais c’est loin d’être simple à configurer et à maintenir au quotidien.
Effectivement on peut avoir un meilleur contrôle des échanges entre les vlans et lan.
Penser à mettre en place une règle de FW sur la source (network group ou adress group) avec le nom correspondant.
Ensuite faire un crontab sur les scripts suivants
Ci-joint le script pour autoriser uniquement les IP France (on peut mettre d’autres pays)
#!/bin/bash
#After rebooting the edgerouter or manually running the script, you can check that we actually got some subnets in our network-group:
#ipset -L countries_allowed
#Dont be fooled by looking in the GUI it will know nothing about all this happening behind the scenes!
#If you do any change to the network group countries_allowed from the GUI, the Edgerouter will empty the list generated from the script! Dont do that
#countryList="fr uk"
countryList="fr"
firewallGroupName=countries_allowed
#mkdir /config/zonefiles
function loadcountry () {
firewallGroupName=$1
country=$2
echo "Downloading country definition for $country..." >> /var/log/countries_allowed
curl https://www.ipdeny.com/ipblocks/data/countries/${country}.zone -o /config/zonefiles/${country}.zone -s
echo "Adding rules to firewall group $firewallGroupName..." >> /var/log/countries_allowed
for rule in `cat /config/zonefiles/${country}.zone`; do
ipset add $firewallGroupName $rule
done
}
ipset -F $firewallGroupName
for country in $countryList; do
loadcountry $firewallGroupName $country
done
Ci-joint le script pour uniquement les IP cloudfalre (si le traffic ne vient pas de cloudflare l’IP sera bloquée)
#!/bin/bash
#After rebooting the edgerouter or manually running the script, you can check that we actually got some subnets in our network-group:
#ipset -L CloudflareIP
#Dont be fooled by looking in the GUI it will know nothing about all this happening behind the scenes!
#If you do any change to the network group "CloudflareIP" from the GUI, the Edgerouter will empty the list generated from the script!
#
# http://www.linuxcertif.com/man/8/ipset/
#
#ipList="v4 v6"
ipList="v4"
firewallGroupName=CloudflareIP
#mkdir /config/zonefiles
function loadip () {
firewallGroupName=$1
ip=$2
echo "Downloading IP definition for $ip..." >> /var/log/ips_allowed
curl https://www.cloudflare.com/ips-${ip}/# -o /config/zonefiles/ips-${ip} -s
echo "Adding rules to firewall group $firewallGroupName..." >> /var/log/ip_allowed
for rule in `cat /config/zonefiles/ips-${ip}`; do
ipset add $firewallGroupName $rule
done
}
ipset -F $firewallGroupName
for ip in $ipList; do
loadip $firewallGroupName $ip
done
La solution de Cloudflare peut être intéressante car sur ton firewall tu interdit tout le trafic sur le 443 sauf si il vient d’une IP cloudflare, trafic par conséquent déjà filtré par Cloudflare et les règles que tu as mis sur Cloudflare. Bien entendu tu peux garder ton proxy cela fonctionnera.
Y’a se challenger et faire n’importe quoi en pensant faire bien
Et ce n’est pas parceque c’est un standard de l’industrie que dans un réseau domestique je vais mettre en place des vlans pour le plaisir a un moment faire n’importe quoi pour le plaisir de faire c’est juste anti constructif
Si tu veux te challenger passe tes certifications et postule pour un poste d’administrateur chez un opérateur télécom
.
).
) je préfère largement les edgerouter
