Celles et ceux qui me connaissent savent que j’ai emménagé l’année dernière dans une maison achetée en commun avec ma femme.
De plus, ces mêmes personnes savent que j’ai changé de boulot l’année dernière et que je suis maintenant majoritairement en télétravail.
Il me fallait donc un accès à Internet fiable, et une infrastructure réseau solide à la maison, car on est 6 🙂
L’accès au net
Pour l’accès à Internet, mon choix s’est dirigé vers le FTTH Red by SFR. Même si leur box est ancienne, cela a peu d’importance pour moi : je ne comptais pas l’utiliser.
Dans mon ancienne location, j’utilisais un routeur maison fonctionnant avec OPNSense (https://opnsense.org). Comme cet OS est stable et ne pose aucun problèmes (tout en étant hautement personnalisable), je n’ai pas vu de raison pour ne pas utiliser le même système dans la nouvelle maison. J’utilise donc OPNSense sur un PC Qotom équipé de 4 contrôleurs réseaux Intel (SURTOUT PAS DE REALTEK pour ce genre d’utilisation) et d’un Core i7 4510U. Fanless, et avec un bon refroidissement : le boîtier entier est en métal, et sert de radiateur. La seule chose provenant de Red By SFR que je utilise est l’ONT, qui permet le lien entre la fibre optique qui arrive du mur et le port RJ45 WAN du Qotom. Ce firewall m’a couté 300€, mais je ne regrette pas cet achat, c’est du matériel industriel très solide. Avec 8 Go de RAM et un SSD mSata de 128 Go, c’est une rolls pour l’accès à Internet.
Pour la configuration, je me suis appuyé sur l’excellent site https://lafibre.info qui recense des tutoriels de configuration pour tous les opérateurs. J’ai du adapter un peu la configuration pour que ça fonctionne, mais la méthode d’analyse est largement en dehors du scope de cet article.
Mon accès est vendu pour du Gigabit symétrique, au maximum. Mais en fonction de l’emplacement, on aura ou non un débit Gigabit montant. Dans mon cas, je n’ai « que » du 500 Mbps, validé avec Speedtest. En un peu plus d’un an de vie dans cette maison, je n’ai jamais eu de saturation de l’accès Internet, même quand on était 11 ou 12 dans la maison.
Le Wifi
Là aussi, hors de question d’utiliser la box de l’opérateur : la maison est grande, la couverture Wifi ne serait juste pas suffisante. Donc j’ai investi dans du Wifi un peu plus costaud, en occasion. J’ai pris du TPLink EAP 245, 4 bornes : 1 dans le garage, 2 au rez de chaussée et 1 à l’étage. La couverture Wifi de la maison est bonne, sans plus : certaines bornes sont mal placées pour couvrir la surface de manière optimale. Pour que les 4 bornes fonctionnent ensemble et que la transition d’un périphérique se fasse correctement, il est nécessaire d’installer un contrôleur. Qui peut être de deux formes : soit on déploie un contrôleur logiciel sur un serveur qui traîne, soit on utilise le cloud TP Link.
Étant quelque peu frileux à l’idée que mes données Wifi (SSID, clé … ) se baladent sur Internet, j’ai préféré installer le contrôleur sur un serveur. Un Raspberry Pi 4 fait très bien l’affaire, pour une utilisation domestique, il n’y a pas besoin de beaucoup de puissance.
Ce wifi diffuse 3 SSID : un pour tout le monde, un pour le télétravail et un pour l’IOT (parce que dans IOT, le S veut dire sécurisé, je préfère isoler certains périphériques pour pas les laisser sniffer le LAN de la maison)
Le réseau filaire
Chaque pièce de la maison est équipée d’une prise RJ45. Cela permet de ne pas s’appuyer sur le Wifi pour tout, et d’avoir une connexion stable et fiable dans les pièces de la maison. J’ai 5 switchs dans la maison : 2 à l’étage, un dans mon bureau, 1 dans le salon et un dans le garage. Tous les switchs sont compatibles VLAN, pour permettre de diffuser les réseaux Wifi en les isolant les un des autres. J’ai du POE sur certains switchs, ce qui permet d’alimenter les bornes Wifi sans avoir besoin d’un adaptateur secteur: très bien pour mettre une borne dans le garage et à l’étage.
VPN ..
En dehors des VPN activés par les périphériques connectés sur le réseau, le routeur OPNsense gère plusieurs VPN :
- Un Wireguard pour les roadwarriors, quand on n’est pas à la maison et qu’on veut se connecter sur un périphérique du réseau local (les ports HTTP, HTTPS, SSH ne sont pas exposés à la maison). Ce Wireguard sert aussi à mes serveurs OVH pour se sauvegarder tous les jours sur le Proxmox Backup Server qui est présent sur mon NAS.
- Un IPSEC pour l’accès des VM OVH à la maison et pour mon accès aux VM non exposées sur Internet
- Un ProtonVPN en Suisse utilisant le protocole Wireguard
Le dernier VPN peut vous étonner. Pourquoi router tout le trafic de la maison vers la Suisse ? Ben en fait, je ne le fais pas. Ce VPN n’est pas la destination par défaut de tout le réseau de maison. Uniquement d’un de mes NAS, qui fait du téléchargement Torrent.
Le firewall OPNsense est configuré pour faire du PBR (Policy based routing) et donc tout accès extérieur du NAS transite obligatoirement par le VPN. Et dans le cas où le VPN tomberait (très rare, mais ça arrive), il y a une règle qui bloque la communication « en clair ». Le trafic de ce NAS est donc obligé de passer par la Suisse.
Oui, c’est un système un peu plus complexe que la normale, mais au gré de mes améliorations de mon réseau personnel, le périphérique qui torrente a changé. Et je ne sais pas si le prochain sera en capacité (CPU principalement) de gérer sans s’écrouler le transfert via un VPN. Là, le Qotom est capable de transférer à 30 Mo/s sans sourciller, et sans ralentir le reste du réseau de la maison ! Un grand merci au Core I7 et aux contrôleurs Intel.
Conclusion
L’infra réseau, c’est le support de tout. Si ça ne fonctionne pas correctement, c’est un bordel sans nom. Là, j’ai quelque chose d’assez fiable (il faut que je revois le placement d’une borne Wifi … ) et qui fonctionne tout seul : le firewall se met à jour tout seul et redémarre seul dans la nuit. Les switchs sont tous de marques éprouvées (HP, CISCO, Zyxel) et fonctionnent absolument sans encombres. J’ai activé les différentes fonctions d’économie d’énergie sur les équipements, afin de réduire leur consommation et permettre leur fonctionnement en 24/7.
Laisser un commentaire