Epilogue de l'histoire : j'ai acheté un boîtier firewall (mikrotik RB4011) que j'ai positionné au cœur du réseau. Je n'ai finalement pas eu besoin de créer de VLAN, il m'a suffit de configurer dans ce routeur/firewall un ensemble de sous-réseaux (pour lesquels il est serveur DHCP) plus pas mal de règles de filtrage pour :
- isoler les sous réseaux entre eux
- router tout ce qui doit passer (en NAT), que ce soit vers le nas, le serveur web, etc
- bien configurer qui peut accéder à l'interface d'admin du routeur
Et j'en ai profité (opportunité) pour brancher le firewall à la freebox en SFP+ ainsi que le NAS en agrégation de ports. Totalement surdimensionné mais ça fonctionne :) Un jour j’investirai certainement dans des SSD qui envoient du pâté.
Bon en tous cas tout ceci m'aura pris un peu de temps mais je suis bien content que ca fonctionne.
Merci encore pour le coup de mains NeoX
Et oui, accès via l'IP externe du routeur.
Bon ben c'est cool.
Je vais y aller étape par étape vu le temps que ca va me prendre de configurer tout ca, mais au moins j'ai un objectif et une solution simple qui marchera toujours.
Je pense que pour mon 1er besoin j'ai la solution (début du fil de discussion), en partant du principe que les deux sous-réseaux ne communiqueraient pas.
J'ai juste une dernière idée à soumettre en rebondissant sur :
mais ca ne résoudra en rien ton souci des postes wifi qui voudront accéder à des machines derriere le routeur/firewall.
Sur le trafic entrant du routeur, qui serait donc juste en aval de la box (laquelle fait encore wifi dans ce scenario) et en amont du NAS et du serveur web (la partie PC on s'en fout) je configure 2 règles :
- tout ce qui arrive sur le port 80 part sur le serveur web
- tout le reste part sur le NAS.
Ca donnerait ca en fait :
Box (DHCP sur 192.168.1.*, wifi, redirection port 80 sur routeur)
|
routeur/firewall (redirige port 80 sur www et tout le reste sur NAS)
|
+------ NAS [192.168.2.2]
+------ WWW [192.168.3.2]
Ca pourrait pas donner accès au NAS à mes terminaux wifi ?
Si la réponse est non et qu'un jour je veux faire communiquer les deux sous-réseaux, effectivement il va falloir réfléchir sacrifier la fonction wifi de ma box et le déporter soit sur le routeur soit sur une nouvelle borne.
non car le switch ne fait que le routage (niveau3) pas le NAT
Ah bordel, je m'attendais pas à ca. Coté pérennité ca risque de devenir pénalisant si je ne peux pas communiquer d'un sous-réseau à l'autre en filtrant soit le port soit le protocole.
1°) tes laptops, tu les gères, …
Oui c'est vrai, mais je n'ai cité que des laptops pour aller vite, mais j'ai aussi des smartphones et une tablette qui vont sur le NAS, peut être un jour des cameras ou autre chose. Ca devient une usine a gaz si je déporte la complexité sur les terminaux. Il faut vraiment que ce soit géré au niveau de l'équipement réseau.
Du coup il faudrait passer à un switch de niveau 4 c'est ca ? Mais sinon un firewall ca s'installe pas en plein milieu d'un réseau, par ce que ca gère ce genre de fonction non ?
Sinon j'étais tombé lors d'une précédente recherche sur ce matériel : Mikrotik RB4011
J'ai l'impression qu'il est blindé de fonctions et qu'il pourrait faire l'affaire (ici). Mais j'ai aussi l'impression d'être devant le menu de certains restos chinois : y'a trop de pages pour que ca inspire confiance. Le truc il fait tout … pour 200 euros.
Bon en tous cas merci pour ton aide, ca me fait vachement avancer dans ma réflexion.
oui car ton switch (qui devient en fait un routeur de niveau 3) va devoir avoir comme passerelle ta box
Excellent !
seulement tes PCs dans le 192.168.0 ne pourront alors pas accéder au site web, car la réponse ne pourra pas revenir
Alors tout à fait. Au fond c'est pas grave. Mais si besoin je ne pourrais pas m'en sortir en ajoutant des règles NAT sur le port 80 et/ou le protocole http uniquement ?
il te faudrait 3 reseaux, et une machine entre les 3 (la box d'un coté, les PCs de l'autre et la zone serveur)
Merci pour toute l'explication. J'y avais pensé au début mais je pense avoir deux problèmes en faisant ainsi (sauf si j'ai pas compris un truc) :
1/ mes laptops en wifi sont du mauvais coté du firewall et ne seront pas dans le VLAN 192.168.2.*
2/ la box (delta serveur) c'est quasiment un PC sur le réseau vu tous les petits services qu'elle gère, et elle ne serait plus non plus sur bon réseau en 192.168.2.*
J'ai entendu parler du mode transparent (trunk c'est pareil non?), j'ai l'impression que ca pourrait régler le problème, mais j'anticipe des heures à galérer pour configurer ça.
[^] # Re: oui possiblement mais avec des problèmes à prévoir
Posté par Mayoman . En réponse au message Isoler une machine dans mon réseau domestique. Évalué à 1.
Bonjour tout le monde,
Epilogue de l'histoire : j'ai acheté un boîtier firewall (mikrotik RB4011) que j'ai positionné au cœur du réseau. Je n'ai finalement pas eu besoin de créer de VLAN, il m'a suffit de configurer dans ce routeur/firewall un ensemble de sous-réseaux (pour lesquels il est serveur DHCP) plus pas mal de règles de filtrage pour :
- isoler les sous réseaux entre eux
- router tout ce qui doit passer (en NAT), que ce soit vers le nas, le serveur web, etc
- bien configurer qui peut accéder à l'interface d'admin du routeur
Et j'en ai profité (opportunité) pour brancher le firewall à la freebox en SFP+ ainsi que le NAS en agrégation de ports. Totalement surdimensionné mais ça fonctionne :) Un jour j’investirai certainement dans des SSD qui envoient du pâté.
Bon en tous cas tout ceci m'aura pris un peu de temps mais je suis bien content que ca fonctionne.
Merci encore pour le coup de mains NeoX
[^] # Re: oui possiblement mais avec des problèmes à prévoir
Posté par Mayoman . En réponse au message Isoler une machine dans mon réseau domestique. Évalué à 1.
Et oui, accès via l'IP externe du routeur.
Bon ben c'est cool.
Je vais y aller étape par étape vu le temps que ca va me prendre de configurer tout ca, mais au moins j'ai un objectif et une solution simple qui marchera toujours.
Merci un nouvelle fois.
[^] # Re: oui possiblement mais avec des problèmes à prévoir
Posté par Mayoman . En réponse au message Isoler une machine dans mon réseau domestique. Évalué à 1.
Bon, NeoX merci une nouvelle fois pour ton aide.
Les choses commencent à se préciser.
Je pense que pour mon 1er besoin j'ai la solution (début du fil de discussion), en partant du principe que les deux sous-réseaux ne communiqueraient pas.
J'ai juste une dernière idée à soumettre en rebondissant sur :
Sur le trafic entrant du routeur, qui serait donc juste en aval de la box (laquelle fait encore wifi dans ce scenario) et en amont du NAS et du serveur web (la partie PC on s'en fout) je configure 2 règles :
- tout ce qui arrive sur le port 80 part sur le serveur web
- tout le reste part sur le NAS.
Ca donnerait ca en fait :
Box (DHCP sur 192.168.1.*, wifi, redirection port 80 sur routeur)
|
routeur/firewall (redirige port 80 sur www et tout le reste sur NAS)
|
+------ NAS [192.168.2.2]
+------ WWW [192.168.3.2]
Ca pourrait pas donner accès au NAS à mes terminaux wifi ?
Si la réponse est non et qu'un jour je veux faire communiquer les deux sous-réseaux, effectivement il va falloir réfléchir sacrifier la fonction wifi de ma box et le déporter soit sur le routeur soit sur une nouvelle borne.
[^] # Re: oui possiblement mais avec des problèmes à prévoir
Posté par Mayoman . En réponse au message Isoler une machine dans mon réseau domestique. Évalué à 1.
Ah bordel, je m'attendais pas à ca. Coté pérennité ca risque de devenir pénalisant si je ne peux pas communiquer d'un sous-réseau à l'autre en filtrant soit le port soit le protocole.
Oui c'est vrai, mais je n'ai cité que des laptops pour aller vite, mais j'ai aussi des smartphones et une tablette qui vont sur le NAS, peut être un jour des cameras ou autre chose. Ca devient une usine a gaz si je déporte la complexité sur les terminaux. Il faut vraiment que ce soit géré au niveau de l'équipement réseau.
Du coup il faudrait passer à un switch de niveau 4 c'est ca ? Mais sinon un firewall ca s'installe pas en plein milieu d'un réseau, par ce que ca gère ce genre de fonction non ?
Sinon j'étais tombé lors d'une précédente recherche sur ce matériel : Mikrotik RB4011
J'ai l'impression qu'il est blindé de fonctions et qu'il pourrait faire l'affaire (ici). Mais j'ai aussi l'impression d'être devant le menu de certains restos chinois : y'a trop de pages pour que ca inspire confiance. Le truc il fait tout … pour 200 euros.
Bon en tous cas merci pour ton aide, ca me fait vachement avancer dans ma réflexion.
[^] # Re: oui possiblement mais avec des problèmes à prévoir
Posté par Mayoman . En réponse au message Isoler une machine dans mon réseau domestique. Évalué à 1.
Merci NeoX pour ta réponse.
Excellent !
Alors tout à fait. Au fond c'est pas grave. Mais si besoin je ne pourrais pas m'en sortir en ajoutant des règles NAT sur le port 80 et/ou le protocole http uniquement ?
Merci pour toute l'explication. J'y avais pensé au début mais je pense avoir deux problèmes en faisant ainsi (sauf si j'ai pas compris un truc) :
1/ mes laptops en wifi sont du mauvais coté du firewall et ne seront pas dans le VLAN 192.168.2.*
2/ la box (delta serveur) c'est quasiment un PC sur le réseau vu tous les petits services qu'elle gère, et elle ne serait plus non plus sur bon réseau en 192.168.2.*
J'ai entendu parler du mode transparent (trunk c'est pareil non?), j'ai l'impression que ca pourrait régler le problème, mais j'anticipe des heures à galérer pour configurer ça.