Hello les gens,
Le contexte
J’ai récemment revu en profondeur mon réseau local perso, avant un long discours en un simple schéma, cela donne quelque chose comme cela :
Internet arrive via la fibre sur une Box SFR qui est branchée sur un routeur TP-Link Archer C6 qui dessert deux réseaux distincts sur des classes d'adresse différentes.
Le réseau local
Le réseau local (mentionné Réseau 1 sur le schéma ci-dessus) est constitué de :
- Un Lenovo ThinkCenter M92p utilisé comme serveur basse consommation que j'ai évoqué ici même dans ce journal. Il se nomme sur mon réseau ultra. Sur la photo ci-dessous on peut le voir sur la tranche à côté de la box SFR connectée en fibre optique et le routeur TP-link Archer C6 qui vient compléter les misérables fonctionnalités de la Box et qui permet une bonne séparation des réseaux, le tout ondulé.
- Un PC ACER Predator G3-605 processeur Intel Core i7-4790 16Go de RAM DD3, disque SSD de 256Go, 1+4To de disques SATA appelé predator. Bien que commençant à prendre de l'âge, ça reste ma station de montage vidéo kdenlive, il est équipé d’un scanner Epson Perfection V30, c’est également mon PC de stockage multimédia avec une capacité totale de 22To avec son extension de disques Terramaster (17To répartis sur 5 disques)
- Un mini PC Dell Optiplex 7040, appelé mafate, processeur i5-6500T 4 cœurs, 8Go RAM DDR4, disque SSD de 256Go, carte graphique intégrée Intel HD 530 qui me sert de PC mediacenter avec kodi en accédant au serveur de stockage predator. Il est branché à une barre de son, elle même connectée à l’écran TV tout cela via HDMI. Sous la photo ci-dessous on peut le voir avec au dessus la box TV SFR à gauche et à droite un enregistreur vidéo Avermedia Game Capture II inséré entre la barre de son et la TV.
- Un ultra portable Lenovo thinkpad X230 avec processeur i5-3360M cadencé à 2,8Ghz, 4Go de RAM, disque de 320Go qui se nomme tetiaroa et qui est mon PC que j’utilise au quotidien.
- Un ultra portable Lenovo thinkpad X220 processeur core i5 duo cadencé à 2,5Ghz, 4Go de RAM, écran de 12,1″, disque de 300Go, il s’appelle uapou et c’est le PC de ma tendre et chère.
- Un ultra portable Lenovo X200 nommé tahiti qui me sert de moins en moins et essentiellement pour des tâches d’administration diverses.
- Un portable Thinkpad T440p (processeur i5-4300M 4ème génération 2,6Ghz avec 4 cœurs, 8 Go de RAM, 500Go de disque dur) dénommé moorea utilisé par ma fille étudiante qui vient se connecter ponctuellement.
- Une imprimante réseau Canon Pixma TS705, accessible à l’ensemble des PC connectés au réseau (filaire ou wifi).
L'ensemble de ces machines tournent sous Mageia 9. Mes postes fixes sont branchés à un réseau physique avec prises RJ45 dans chacune des pièces desservies avec baie de brassage au garage au niveau du tableau électrique. J’ai tiré des câbles en utilisant les gaînes qui étaient à l’origine utilisées pour passer les câbles téléphoniques ou coaxiaux pour l’antenne TV. Les portables se connectent en wifi sur le routeur Archer.
Le réseau TV
Le réseau pour profiter de la TV transite via CPL et le réseau électrique, il permet la connexion de la Box SFR avec la Box TV (Réseau 2 sur mon schéma tout en haut).
Pour être complet
Et pour être totalement complet mon serveur ultra qui tourne en permanence, offre les services suivants pour les autres PC du réseau local:
- serveurs de fichiers,
- serveur d'authentification du réseau avec OpenLDAP avec centralisation des comptes (via nfs),
- serveur de mails (avec tout l'attirail anti spam et anti virus).
Il est accessible d’internet avec un service de webmail basé sur roundcube mail via un routage via la Box SFR et le routeur TP-Link Archer et mes téléphones mobiles se connectent au Wifi de la Box sans pouvoir accéder aux ressources du réseau local.
En terme de sauvegarde de mes données, j'ai largement évoqué le sujet dans plusieurs journaux dont le dernier qui fait office de synthèse.
Les perspectives
Tout cela fonctionne encore en IPv4 et un récent journal de Mjules sur IPv6 me laisse penser que ça pourrait me faciliter la vie.
Aussi j'aurais bien aimé que vous partagiez votre expérience de vos réseaux locaux, notamment ceux qui ont effectué la bascule de IPv4 vers IPv6 pour voir si ça leur a vraiment apporté quelque chose.
# Ça chauffe
Posté par Julien Jorge (site web personnel) . Évalué à 4 (+3/-1).
Ç'est chouette mais ça consomme combien tout ça ? Notamment le mediacenter, est-il en permanence allumé ?
[^] # Re: Ça chauffe
Posté par Funix (site web personnel, Mastodon) . Évalué à 4 (+2/-0).
Le mediacenter je l'allume que quand je regarde des films, en parallèle j'allume également le serveur de fichiers multimédia, donc globalement ça représente juste quelques heures dans la semaine.
https://www.funix.org mettez un manchot dans votre PC
# ah ?
Posté par BAud (site web personnel) . Évalué à 2 (+2/-2).
mon réseau local c'est plutôt du côté des fablabs :-)
genre à l'ouest parisien, http://hatlab.fr
# Archer, webmail
Posté par cg . Évalué à 6 (+4/-0).
Je me demandais si tu as mis OpenWRT sur le routeur Archer ?
Aussi, pour ce qui est accessible depuis Internet (le webmail par exemple), tu pourrais avoir une zone réseau dédiée (une DMZ), qui permet une couche s'isolation, pour limiter la casse dans le cas où il y a un trou de sécurité dans Roundcube.
# Mon expérience concernant IPv6 sur mon réseau local
Posté par Buf (Mastodon) . Évalué à 7 (+5/-0). Dernière modification le 10 juin 2024 à 09:54.
J'ai la chance d'avoir un provider qui me délègue un préfixe fixe (un /48), donc ça me permet d'exploiter tout le potentiel d'IPv6 de façon simple. J'ai aussi une IPv4 fixe. Je dois (malheureusement) encore garder de l'ipv4 pour le matériel qui ne supporte pas un réseau IPv6-only, sinon je l'aurais complètement supprimé.
Du fait que mon préfixe est sur 48 bits, j'ai donc 65536 sous-réseaux (/64) disponibles. J'en utilise 4 : le LAN normal, une DMZ pour les services qui doivent être accessibles depuis internet, un réseau pour les invités et le dernier pour les adresses des clients VPN distants (Wireguard). Ça permet d'organiser les choses proprement et simplement.
Mon router utilise OpenWrt, l'IPv6 est parfaitement supporté, je n'ai eu aucun soucis à ce niveau.
Du fait que mon préfixe ne change jamais, je n'utilise pas d'ULA, uniquement des GUAs. Pour mes différents services (imprimante, NAS, BitTorrent, etc), j'assigne des IPs statiques et j'ai des entrées DNS publiques, y compris pour ce qui est uniquement à usage interne. Pas besoin de split-horizon DNS ou autre bricolage. Pour le reste, c'est du SLAAC, et ça roule. J'ai également demandé et obtenu de mon FAI une délégation pour gérer moi-même le reverse DNS sur mon préfixe.
Dans l'idée de pouvoir un jour complètement me passer d'IPv4, j'ai aussi mis en place du NAT64, aucun problème à signaler, ça fait le job.
Pour moi, le gros avantage de ma config, c'est que j'ai pas à jongler entre IP interne et externe, et gérer du mappage de port. Tout a une IP routable (et une entrée DNS publique), et ensuite, c'est juste du contrôle d'accès avec les règles du firewall. Pour quand je suis à l'extérieur, mon FAI mobile ne propose malheureusement pas d'IPv6, mais j'ai une config Wireguard qui me permet d'avoir quand même accès à tous mes services IPv6-only.
Par contre, ça marche bien parce que j'ai un préfixe qui ne change pas. Si ça n'était pas le cas, ça rendrait le truc beaucoup plus compliqué.
[^] # Re: Mon expérience concernant IPv6 sur mon réseau local
Posté par Psychofox (Mastodon) . Évalué à 5 (+2/-0).
Alors moi mon ISP me fournit un /56, ce qui me parait suffisant. Par contre l'interface du firewall du routeur qui m'a été fourni ne parle que d'ipv4. Ça fait un peu gros gâchis.
La bonne nouvelle c'est que mon ISP accepte qu'on utilise son propre routeur. Du coup je me demande, openWRT c'est toujours le standard de qualité? Où j'ai meilleur temps monter mon système à la popogne depuis une distro linux ou openbsd? Quels routeur serait recommendable?
[^] # Re: Mon expérience concernant IPv6 sur mon réseau local
Posté par cg . Évalué à 4 (+2/-0).
pfSense et OpnSense sont des bons choix aussi pour faire routeur/firewall, mais c'est plus dédié PC, alors qu'OpenWRT est sur le créneau des mini-routeurs intégrés. En fonction du matos que tu as sous la main, tu peux essayer l'un et l'autre.
Moins connu et plus limité, mais plus facile à utiliser, il y a aussi IPFire, mais le support d'IPv6 n'est pas complet semble-t-il.
[^] # Re: Mon expérience concernant IPv6 sur mon réseau local
Posté par Buf (Mastodon) . Évalué à 8 (+6/-0).
Un /56 suffit largement pour un usage personnel, ça permet d'avoir 256 LANs distincts, il faudrait vraiment avoir une utilisation bien spécifique pour utiliser plus que ça. Comme on dit, c'est pas la taille qui compte, c'est le fait que ça soit fixe.
OpenWRT, c'est très bien, très complet, flexible, activement développé, et surtout, c'est conçu pour tourner sur du matos router avec peu de ressources. À mon avis, tu gagnerais pas grand chose à essayer de monter ton propre truc à la main.
Niveau matos, j'utilise un Turris Omnia. Ils utilisent leur propre OS, mais c'est juste une surcouche d'OpenWRT. Le hardware est relativement puissant et bien fourni en RAM pour un routeur, ça me permet de faire tourner 2-3 services directement sur le routeur, dans des containers LXC.
[^] # Re: Mon expérience concernant IPv6 sur mon réseau local
Posté par Skilgannon . Évalué à 2 (+1/-0).
outch le réseaux IPv6, c'est l’arlésienne pour moi.
La preuve; j'ai réinstaller pour "routeur" (qui en réalité un switch) et impossible de reconfigurer l'IPv6 de ma VM d'auto-hébergement; théoriquement le SLAAC devrait fonctionner mais non.
Mais la description de ton expérience m’amène plusieurs questions/intérogation:
/48 ? Oserai-je te demander lequel est-ce ? C'est pas un grand publique si ?
D'après mes calcules, le mien me confie un /63, ce qui est déjà bien suffisant pour mon utilisation.
Si je comprend bien, tu n'utilise aucune adresse en fc00::/7 ou fe80::/10 (je comprend plus trop la différence pour le coups) et chacune des machines est joignable via mamachine.mondomaine.tld = IPv6 GUAs ? Donc si je fais un ping mamachine.mondomaine.tld ca passe ?
Si c'est bien cela, c'est vrais que cela simplifie les choses, par exemple pas besoin de faire des vpn site à site pour les sauvegardes intra-sites. Mais quand est il des "risques" de cybersécurité (notamment dénis de service) et tout ce qui est vie-privée ?
[^] # Re: Mon expérience concernant IPv6 sur mon réseau local
Posté par Buf (Mastodon) . Évalué à 3 (+1/-0).
Non, effectivement, c'est un micro-FAI local géré par un pote, les FAIs grand public vont plutôt proposer des /56 pour les particuliers.
Un /63, c'est vraiment pas beaucoup, ça te donne seulement 2 LANs, à moins de bidouiller pour utiliser des LANs plus petits que /64, mais c'est pas une bonne idée. D'ailleurs, si c'est ce que tu essayes de faire, ça expliquerait le fait que SLAAC ne marche pas, c'est prévu pour fonctionner sur un /64.
L'adresse fe80::/10, c'est du link-local, on en a besoin de toute façon. Par contre effectivement, pas de fc00::/7, j'ai uniquement des adresses 2001:…., globalement routables. Et oui, un
ping monserveur.domaine.tldfonctionne depuis n'importe où.Pour la sécurité, j'ai évidemment un firewall qui bloque tout par défaut, et je dois ouvrir explicitement chaque port que je veux exposer, c'est pas plus risqué que de l'IPv4 au final. Et seules les machines de ma DMZ ont des ports ouverts, avec le trafic dans le sens DMZ => LAN bloqué.
Pour la vie privée, je suis identifiable par mon préfixe (et par mon ip fixe en v4), donc voilà, ça sera limité dans tous les cas. Mes clients supportent tous les Privacy Extension de SLAAC (RFC 4941) et changent régulièrement leur IP sortante.
# centrededonnéesàlamaison
Posté par Skilgannon . Évalué à 1 (+0/-0). Dernière modification le 11 juin 2024 à 00:51.
Le mien se compose de:
La FAIBOX en mode normal, qui à donc son propre réseau lan, wifi (réseau invité) et filaire.
Auquel est rattaché un odroid-h3 et sa net-card dirigé par un OPNSense. Se qui fait donc 6 ports 2.5G.
Et là se complique ! :
un port est pour le LAN avec son wifi ( bridge entre le port et la carte wifi)
un port pour le réseaux admin d'un proxmox et de sa vm proxmox-backup
un port pour l'interface IPMI de la carte mère de mon Proxmox ASRockrack-X570D4I-2T
un port pour différents vlan qui sont tous branchés physiquement au deuxième port Ethernet de la ASRock:
La grosse bestiole à 32G RAM; AMD Ryzen 7 3700X et plusieurs To de stockage.
Pour ce qui est des évolutions,
- vpn site à site pour sauvegarder | faire de HA de sauvegarde entre ma grosse bestioles et le nas familiale.
- rationalisé ma grosse bestiole ( en gros, après coups, j'ai vu beaucoup trop gros. Sauf quand je teste des OpenShift …)
- ces discutions me font penser que j'avais tenté de mettre la box en mode bridge mais j'avais arrêté / stoppé … je ne sais plus pourquoi. Il faut que je retente.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.