Aller au contenu

Remise à plat de mon réseau


Messages recommandés

Bonjour à tous,

Ce post risque d'être un peu long, et je ne suis pas trop adepte des smileys et images. 

Mon réseau est vieux et a beaucoup évolué par l'ajout de matériels et de fonctionnalités.

Je voudrais tout reprendre et organiser de manière plus rationnelle pour me simplifier la vie.

Je commencerais donc par faire un état des lieux de l'existant aussi bien pour le matériel (et la façon dont il est raccordé) que pour les fonctionnalités.Puis j'essaierai d'exprimer clairement vers quoi je veux aller (c'est peut être le plus dur). C'est là que vos éventuels conseils seront précieux aussi bien pour le schéma définitif que pour la façon de m'y prendre pour migrer.Existant matériel :

  • La connexion vers le monde: 

Abonnement free adsl en dégroupé avec freebox v5 (j'ai espoir d'avoir la fibre un jour, je préfèrerai chez free mais si orange le propose je me résignerai à voir une freebox revenir à la maison).

Le débit n'est pas exceptionnel : 6MB/S

  • Le câblage réseau:

Quand j'ai acheté la maison j'ai du refaire une grande partie de l'installation. J'en ai donc profité pour faire un câblage en câble grade 3sat. Il y a une trentaine de prises réparties dans la maison et à l'extérieur.

Toutes les prises arrivent au sous sol dans une petite baie de brassage à côté de laquelle se trouve des étagères avec les serveurs, switch, freebox d'un côté et l'armoire électrique avec quelques équipements communicants (compteur, routeur knx,..).

  • Le matériel actif:

Ici c'est simple, j'ai un switch HP 48 ports gigabit (ProCurve J9022A Switch 2810-48G) et un petit Dlink DGS 1008P pour les équipements POE.

  • Les machines serveur:

un nas syno DS1815+, un nas Qnap TS639 pro, un HP N54L (avec esxi 5.5)

Sur l'esxi on trouve des vm : un superviseur domotique jeedom, un serveur ipbx xivo, un serveur musique logitech media server

Sur le syno pas de vm mais des containers docker (je n'aime pas docker surtout à la sauce syno j'ai du mal à saisir le fonctionnement: un container unifi controller et un container librenms 

  • Les devices clients:

plusieurs machines windows 7 ou 8.1 portables ou fixes, un macbook air, des iphones, des ipads, des tabs android pour ce qui des appareils dédiés aux utilisateurs

des lecteurs multimédia ( rpi3 avec osmc, beelink mini mxIII avec libreelec), des lecteurs audio (squeezeboxes, sonos play1)

  • Les passerelles et appareils dédiés à la domotique et téléphonie:

Ayant une install domotique et étant toujours avide de tester des matériels j'ai pas mal de choses: une passerelle linksys SPA3102, une base siemens C530ip, des orange pi zero, des Pi2, des prises broadlink wifi, une passerelle Max! pour le chauffage et certainement d'autres choses que j'oublie

  • Le wifi : je le mets à part car c'est ce qui m'a décidé à remettre le réseau à plat: 

Aujourd'hui le wifi de la freebox est désactivé et je confie cette tâche à une borne airport extreme , une airport express et un AP dlink DAP2553.

Je vais les faire disparaitre et les remplacer par des AP ubiquiti unifi: 3 UAP-AC-lite et 2 UAP-AC-M

Tous les équipements près de la baie sont alimentés par un onduleur Eaton 5px2200 avec carte snmp.

J'ai aussi d'autres passerelles mais comme elles concernent le réseau knx je n'en parlerai pas.

 

Comment tout ce petit monde est-il organisé?

Même s'il y a pas mal d'équipements ça reste une installation de particulier donc l'organisation est simple: tous le monde est branché directement sur le switch 

Le réseau dans son principe est on ne peut plus simple: 192.168.0.0/24 et pas de vlan

Les fonctions DHCP et DNS sont assurées par le qnap avec dnsmasq. 

Le syno et le qnap ont une ip fixe. Toutes les autres machines physiques ou virtuelles ont une adresse réservée pour celles qui ne bougent pas de chez moi et une adresse dhcp aléatoire pour les mobiles.

Au niveau fonctionnalités j'ai pas mal de paquets installés:

la DB de kodi est sur le syno avec mariaDB. Il stocke aussi les fichiers multimedia pour les différents lecteurs.

Il partage aussi les répertoires perso des utilisateurs ainsi qu'un répertoire de scan.

Le syno fait office de serveur nut pour arrêter proprement le qnap et le HP N54L en cas de coupure électrique.

 

J'ai envie de faire plein de choses mais voici les principales:

Comme mon qnap à déjà 8 ans de bons et loyaux services je voudrais que le syno reprenne le rôle de serveur dns et dhcp.

J'ai vu le tuto de fenrir pour le dns qui m'a lair top. Je vais enfin m'attaquer à cette partie pour avoir un domaine unique ( en ce moment c'est xxxx.fr pour l'extérieur et home.lan pour l'intérieur).

Remettre à plat l'adressage, par exemple:

X.X.X.1 à X.X.X.9 pour les serveurs 

X.X.X.11à X.X.X.20 pour le matériel réseau etc....

Aujourd'hui ma freebox est en mode routeur, je voudrais passer en bridge et mettre un routeur (peut être un unifi USG). Mais j'aimerais pouvoir toujours utiliser la prise fxs de la freebox seul moyen pour pouvoir appeler les mobiles depuis l'installation fixe. Les communications passent par la prise fxs de la freebox puis sont envoyées vers ma vm xivo via une passerelle SPA3102.

L'unifi usg me plait bien pour l'intégration dans le controller unifi.

Autre tâche plutôt ardue c'est mieux controller l'accès aux ressources réseau. Là c'est essentiellement pour les enfants pour ne pas les autoriser à voir n'importe quoi n'importe quand:

- horaires de connexion

- filtrage internet par appli (snapchat, instagram) et par contenu (X,...) selon des horaires tout en autorisant la connexion au lan pour la domotique  ou le push de maj d'appli ou réglages de leurs ibidules.

Installer et gérer mon propre serveur mail (avec mon domaine xxx.fr) avec partage de contacts et calendriers. Aujourd'hui je me sers pas mal du partage familial d'apple mais je voudrais pouvoir y intégrer des appareils android.

Viennent enfin les questions:

Je voulais éviter d'avoir un domaine à la maison mais j'ai quand même l'impression que ça me faciliterai la tâche pour controler l'accès en fonction du profil ou des groupes, ce que ne permet pas le paquet serveur radius en utilisant les comptes locaux (du moment que le compte local existe il est autorisé dès qu'un client radius en fait la demande).

Pensez vous que l'implémentation syno de directory server le permette ?

Est-ce que dans ce cadre ça fonctionnera bien avec les serveurs dhcp et dns?

Etant donné le matériel dont je dispose , à quel équipement confieriez vous les rôles suivants :

- serveur dhcp, serveur dns, routeur, filtrage de contenu, filtrage applicatif, reverse proxy, vpn, monitoring réseau

Je n'aime pas du tout le paquet centre de journaux pour lire les journaux des autres machines, je pense essayer graylog via l'appliance fournie. vous connaissez ?

Pensez vous que je devrais mettre en place des vlan ?

 

Voilà c'était un peu long et j'ai encore des tas de questions mais comme la base de l'existant date de mon premier switch il n'est pas évident de tout reprendre à zero.

 

Edit: j'ai quand même oublié de parler d'ipv6. Je ne m'en suis pas soucié jusqu'à présent mais ça serait bien de m'y préparer.

 

 

 

 

Modifié par caplam
Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, caplam a dit :

grade 3sat

grand luxe

Il y a 9 heures, caplam a dit :

3 UAP-AC-lite

prends des PRO/PROHD/M/M-PRO, les LITE sont très bien (j'en ai), mais c'est du POE passif, donc pas compatible avec ton switch (sauf à mettre des injecteurs ou à prendre un USW)

Il y a 9 heures, caplam a dit :

peut être un unifi USG

Il va bien s'intégrer avec tes AP, mais attention à la puissance, le modèle de base risque d'être limite avec ton installation si tu routes en interne (cf remarque précédente), perso je préfère les EdgeRouter, moins conviviales mais nettement plus paramétrables.

Par contre si tu décides de changer aussi tes switchs pour des ubiquiti, fais 100% Unifi (USG+USW+UAP)

Il y a 9 heures, caplam a dit :

Mais j'aimerais pouvoir toujours utiliser la prise fxs de la freebox

Il est indépendant de la partie routeur/bridge de la box => pas de pb

Il y a 9 heures, caplam a dit :

controller l'accès aux ressources réseau

Filtrage DNS + Proxy explicite => tout le reste (DPI, filtrage protocolaire, ...) ça fonctionne moyennement (y compris avec des équipements à plusieurs dizaines de milliers d'€)

Il y a 9 heures, caplam a dit :

Je voulais éviter d'avoir un domaine à la maison

Si tu parles d'un AD, pas besoin ici

Il y a 9 heures, caplam a dit :

Pensez vous que l'implémentation syno de directory server le permette ?

Pas tout seul pour ce que tu veux faire => installe aussi un serveur radius autonome (étonnant que tu n'en ais pas déjà un pour la téléphonie ...), freeradius est très bien si on accepte de mettre les mains dans le cambouis et utilises un bête fichier statique pour placer tel compte et/ou mac address dans tel ou tel vlan (802.1x, filaire et wifi)

  1. le client se connecte au RJ45/WIFI
  2. échange EAP avec le switch ou la borne
  3. le radius valide (ou non) le login mot de passe en le confrontant à un annuaire/une base de données/un fichier/...
  4. en fonction du login et/ou de la mac et/ou de l'heure, il envoi au switch ou à la borne le n° de vlan à utiliser
  5. le client se retrouve dans un vlan qui a plus ou moins de droits coté FW/proxy/... (tu peux même créer un vlan par compte si besoin)
  6. régulièrement l'EAP est revalidé (c'est transparent) => règle d'accounting dans le radius pour couper la connexion une fois le quota (temps/volume) atteind
Il y a 9 heures, caplam a dit :

Est-ce que dans ce cadre ça fonctionnera bien avec les serveurs dhcp et dns?

pas de lien de cause à effet

Il y a 9 heures, caplam a dit :

à quel équipement confieriez vous les rôles suivants :

  • dhcp : peu importe sauf si tu veux le coupler avec le dns (mise à jour des noms de machines)
  • dns : celui du synology couvre tous les besoins d'un particulier
  • routeur : à un routeur :mrgreen:, mais une VM ça marche aussi (si l'esx est assez puissant)
  • filtrage : une machine/vm dédiée ou un docker sur le syno si tu ne fais pas de filtrage antivirus
  • reverse px : ça dépend de ce que tu souhaites faire, celui du syno est suffisant pour la plupart des besoins, mais pas tous
  • vpn : celui du syno est suffisant pour un particulier, sinon une machine/vm dédiée (le vpn s2s est très bien sur les ubnt, mais le RoadWarrior laisse à désirer)
  • monitoring : docker ou vm avec centreon ou zabbix
Il y a 9 heures, caplam a dit :

Je n'aime pas du tout le paquet centre de journaux pour lire les journaux des autres machines, je pense essayer graylog via l'appliance fournie. vous connaissez ?

splunk

Il y a 9 heures, caplam a dit :

Pensez vous que je devrais mettre en place des vlan ?

vu le nombre d'équipements tu gagnerais en perfs à créer des vlan ou à router (en clair, ne mets pas tout à plat, tu perds 10% de ta bande passante en broadcast à mon avis)

Il y a 9 heures, caplam a dit :

Edit: j'ai quand même oublié de parler d'ipv6. Je ne m'en suis pas soucié jusqu'à présent mais ça serait bien de m'y préparer.

oui, mais avec une Freebox v5 c'est galère (bridge NDP), avec la V6 ou la 4k on peut faire de la délégation de préfixe

Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, Fenrir a dit :

grand luxe

oui d'autant que ça date d'il y a quasiment 10 ans. Mais à l'époque c'était mon boulot.

Il y a 8 heures, Fenrir a dit :

prends des PRO/PROHD/M/M-PRO, les LITE sont très bien (j'en ai), mais c'est du POE passif, donc pas compatible avec ton switch (sauf à mettre des injecteurs ou à prendre un USW)

Depuis la mi 2016 environ les lite (et les LR ainsi que toute la gamme unifi ) sont compatibles 802.3af. J'ai branché et paramétré les uap-ac-m (déçu de leur performances). J'ai branché mais pas encore paramétré une lite et elle est bien alimentée par mon switch.

 

Il y a 8 heures, Fenrir a dit :

l va bien s'intégrer avec tes AP, mais attention à la puissance, le modèle de base risque d'être limite avec ton installation si tu routes en interne (cf remarque précédente), perso je préfère les EdgeRouter, moins conviviales mais nettement plus paramétrables.

Par contre si tu décides de changer aussi tes switchs pour des ubiquiti, fais 100% Unifi (USG+USW+UAP)

Quand tu parles de routage interne, je suppose que tu fais référence au routage inter vlan?

Passer aux switchs unifi serait quand même un sacré un budget. Il me faudrait un 8 ports et un 48 ports sans parler du poe qu'il me faudrait sur les 2 switchs.

Il y a 9 heures, Fenrir a dit :

Il est indépendant de la partie routeur/bridge de la box => pas de pb

Ca c'est une bonne nouvelle, je n'avais pas trouvé de réponse concernant le téléphone; tout ce que j'ai lu concerne plutôt la freebox hd.

Ce n'est pas non plus d'une importance critique car je me sers rarement du fixe pour passer un coup de fil. Les appels entrants sont à 90% du démarchage (malgré l'inscription sur bloctel qui est une vaste fumisterie).

Il y a 9 heures, Fenrir a dit :

Filtrage DNS + Proxy explicite => tout le reste (DPI, filtrage protocolaire, ...) ça fonctionne moyennement (y compris avec des équipements à plusieurs dizaines de milliers d'€)

Je n'ai que peu de compétences dans le domaine du réseau et je n'ai jamais mis en place de proxy et je galère vraiment avec les firewall.

Il y a quelques années je m'occupais de l'informatique de ma boite (1AD avec sbs2003 puis 2011 pour un 20aine d'utilisateurs)

Je me suis battu avec un pix 501 que j'arrivais à peu près faire fonctionner quand il est devenu obsolète. Je l'avais remplacé avec un fortigate F50B dont je n'ai jamais réussi à faire quelque chose de correct en filtrage. Depuis il dort dans ma cave. Je pourrais peut être m'en servir même s'il n'a plus de contrat de support (et je ne compte pas en reprendre).

Il y a 9 heures, Fenrir a dit :

Si tu parles d'un AD, pas besoin ici

Pas forcement un AD (d'autant que je n'ai pas de serveur windows), plutôt un annuaire ldap

 

Il y a 9 heures, Fenrir a dit :
  • dhcp : peu importe sauf si tu veux le coupler avec le dns (mise à jour des noms de machines)
  • dns : celui du synology couvre tous les besoins d'un particulier
  • routeur : à un routeur :mrgreen:, mais une VM ça marche aussi (si l'esx est assez puissant)
  • filtrage : une machine/vm dédiée ou un docker sur le syno si tu ne fais pas de filtrage antivirus
  • reverse px : ça dépend de ce que tu souhaites faire, celui du syno est suffisant pour la plupart des besoins, mais pas tous
  • vpn : celui du syno est suffisant pour un particulier, sinon une machine/vm dédiée (le vpn s2s est très bien sur les ubnt, mais le RoadWarrior laisse à désirer)
  • monitoring : docker ou vm avec centreon ou zabbix

. je vais donc m'orienté vers le syno pour dhcp et dns.

Je vais essayer de réutiliser mon F50B pour le routage et firewall. Encore que je ne suis pas sur que je puisse le faire sans contrat.

Le reverse proxy, j'utilise déjà celui du syno mais j'aimerais bien arriver à mettre en place une conf qui me permette de renvoyer des adresses du style mondomaine.fr/appli vers la bonne machine du lan au lieu de machine.mondomaine.fr qui nécessite autant de certificats que de machines. 

Je n'ai pas vraiment envie de me payer un wildcard. Pour l'instant j'ai un certif let's encrypt mais la durée de validité est faible et il faut penser à le renouveler.

Pour le vpn j'utilise déjà celui du syno et il me va bien. Peut être que je basculerai sur le fortigate (il marchait bien dans mon souvenir).

Pour le monitoring en ce moment j'ai un docker librenms que je n'aime pas du tout. D'abord je n'aime pas docker je préfère avoir une vm avec sa propre adresse sur le lan et non un réseau masqué qui oblige quand on veut accéder à la machine à se souvenir du ou des ports utilisés qui sont évidemment non standards.

Par exemple je me suis aperçu il y a peu et un peu par hasard que mes orange pi zero ont un driver un peu foireux qui fait qu'il ne se connectent qu'en 100MB en half duplex. Ca génère des tas de messages sur le switch mais je n'ai pas trouvé comment paramétrer librenms pour m'en avertir. 

En plus je ne comprends rien à docker pour par exemple mettre à jour l'appli dockerisée.

Dans le passé j'ai souffert pour utiliser zabbix que je ne trouve pas ergonomique et très dur à paramétrer. En plus il nécessite des agents.

J'ai aussi utilisé spiceworks, beaucoup plus simple à prendre en main mais ne tourne que sur windows. 

Au final je vais essayer centreon pour la large communauté. Je vais quand même voir si je peut faire quelque chose depuis mon jeedom car depuis peu il y a plugin check nagios.

Il y a 10 heures, Fenrir a dit :

splunk

Je ne connaissais pas. Apparement il existe une version gratuite. Je pense qu'avec mon petit lan je devrais largement être dans la limite de la version free.

 

Il y a 10 heures, Fenrir a dit :

Pas tout seul pour ce que tu veux faire => installe aussi un serveur radius autonome (étonnant que tu n'en ais pas déjà un pour la téléphonie ...), freeradius est très bien si on accepte de mettre les mains dans le cambouis et utilises un bête fichier statique pour placer tel compte et/ou mac address dans tel ou tel vlan (802.1x, filaire et wifi)

c'est sur que j'aimerais bien depuis un endroit central autoriser ou non l'accès au vpn, wifi, tel ou tel site, tel ou tel contenu.

Je n'ai pas utilisé de radius pour la téléphonie pour plusieurs raisons. La première c'est que j'ai mis en place un ipbx plus par curiosité que réel besoin (on utilise quand même très peu le fixe) car free fourni quand même des options intéressantes. Donc mon ipbx est en place depuis un moment pour appeler les fixes. Un jour je me suis aperçu que je ne pouvais plus appeler les mobiles; j'ai donc ajouté une passerelle spa3102 et paramétré a freebox pour tout sortir par la prise fxs au lieu d'utiliser directement le compte sip. 

Mais la raison essentielle c'est que je suis dans le cadre d'une installation à la maison et les téléphones ne sont pas affectés à des utilisateurs. Tout le monde peut appeler ou répondre depuis n'importe quel téléphone. Je n'ai donc pas d'autorisations spéciales à gérer.

Ce que je n'ai jamais fait (trop complexe pour moi) c'est le filtrage d'appel avec un ivr par exemple, pour se débarrasser des appels inopportuns (90 ou 95 % des appels).

Il y a 10 heures, Fenrir a dit :

vu le nombre d'équipements tu gagnerais en perfs à créer des vlan ou à router (en clair, ne mets pas tout à plat, tu perds 10% de ta bande passante en broadcast à mon avis)

On est la encore dans un domaine que je ne maitrise pas (il y en a tellement). Un petit conseil pour savoir combien de vlan créer et quels équipements mettre dedans?

 

Il y a 10 heures, Fenrir a dit :

oui, mais avec une Freebox v5 c'est galère (bridge NDP), avec la V6 ou la 4k on peut faire de la délégation de préfixe

Ok je laisse tomber pour l'instant, j'ai suffisamment à faire avec le reste. En plus je rajoute régulièrement des équipements à la domotique qui nécessitent un peu de temps en paramétrage, écriture de scénarios, boucle de régulations,....  Sans parler du temps pour tirer des câbles dans des endroits de plus en plus inaccessibles. 

 

Je te remercie beaucoup pour ta réponse qui m'aide pour débroussailler. Mon principal problème c'est que dans le domaine informatique je touche à tout mais ne maitrise pas vraiment un domaine, donc l'apprentissage est long et galère et comme je passe à autre chose après j'oublie assez vite; les changements par la suite sont longs car il faut me replonger dans les docs.

 

Je pense que je vais commencer par basculer le dns et dhcp sur le syno. Puis je basculerai entièrement le wifi sur les ap unifi. J'aviserai ensuite pour le filtrage , monitoring, ....

Lien vers le commentaire
Partager sur d’autres sites

il y a 28 minutes, caplam a dit :

Depuis la mi 2016 environ les lite (et les LR ainsi que toute la gamme unifi ) sont compatibles 802.3af

Ah! j’avais loupé l'info, pour les UAP-AC-M, normalement il faut leur adjoindre des antennes, les petites de bases ... bof, par contre j'ai des UAP-AC-M-PRO au travail, elles fonctionnent très bien avec les antennes internes (là on ne peut pas les changer)

il y a 58 minutes, caplam a dit :

Quand tu parles de routage interne, je suppose que tu fais référence au routage inter vlan?

ou entre cartes physiques (ça dépend du nombre de ports, de la manière dont tu t'y prends, ...), mais oui, c'est la même chose et pour le switch, c'était juste en complément de mon commentaire sur les edgerouter, aucune obligation de quoi que ce soit :lol:

il y a une heure, caplam a dit :

Je n'ai que peu de compétences dans le domaine du réseau et je n'ai jamais mis en place de proxy et je galère vraiment avec les firewall.

Pour le filtrage DNS c'est très simple à mettre en place (il y a même des trucs tout fait, genre pihole), pour le proxy, avec squid c'est accessible car il y a de très nombreux tuto sur le net et pour le FW, les produits actuels (sauf chez cisco) sont maintenant simple à prendre en main.

il y a une heure, caplam a dit :

Je vais essayer de réutiliser mon F50B pour le routage et firewall. Encore que je ne suis pas sur que je puisse le faire sans contrat.

je croyais que tu allais prendre un USG

il y a une heure, caplam a dit :

Le reverse proxy, j'utilise déjà celui du syno mais j'aimerais bien arriver à mettre en place une conf qui me permette de renvoyer des adresses du style mondomaine.fr/appli vers la bonne machine du lan au lieu de machine.mondomaine.fr qui nécessite autant de certificats que de machines. 

Pour ça il faut suivre ce tuto : http://www.nas-forum.com/forum/topic/51393-reverse-proxy-avec-nginx-restauré/

il y a une heure, caplam a dit :

Je n'ai pas vraiment envie de me payer un wildcard. Pour l'instant j'ai un certif let's encrypt mais la durée de validité est faible et il faut penser à le renouveler.

Tu peux te créer un wildcard "privé" pour tes trucs perso et le LetsEncrypt tu peux l'automatiser (c'est le cas sur le syno)

il y a une heure, caplam a dit :

D'abord je n'aime pas docker je préfère avoir une vm avec sa propre adresse sur le lan et non un réseau masqué qui oblige ...

Mon contrôleur Unifi est dans un docker, mais pas dans un réseau masqué (c'est un choix) et le port tu peux toujours le fixer.

il y a une heure, caplam a dit :

je n'ai pas trouvé comment paramétrer librenms pour m'en avertir. 

Je n'ai jamais utilisé ce produit (je testerai), mais un bête script snmp vers ton switch te donneras l'info je pense

Il y a 1 heure, caplam a dit :

En plus je ne comprends rien à docker pour par exemple mettre à jour l'appli dockerisée.

le principe d'un conteneur, c'est que le conteneur doit être jetable (aucune data dedans), donc une mise à jour c'est juste un delete du conteneur et un redéploiement (avec un pull entre les 2 parfois), les datas/conf/... doivent être dans un volume

Il y a 1 heure, caplam a dit :

Au final je vais essayer centreon pour la large communauté. Je vais quand même voir si je peut faire quelque chose depuis mon jeedom car depuis peu il y a plugin check nagios.

Centreon sait utiliser les plugins nagios en standard

Il y a 1 heure, caplam a dit :

splunk

splunk est top, juste un peu gourmand car il est capable de gérer des gros volumes (je parles de tera octets de logs)

Il y a 1 heure, caplam a dit :

On est la encore dans un domaine que je ne maitrise pas (il y en a tellement). Un petit conseil pour savoir combien de vlan créer et quels équipements mettre dedans?

1 par type de population/d'usage et pas plus de 150 clients par vlan (là ça devrait aller) => ex : wifi-enfants/wifi-parent/wifi-guest/domotique/serveurs/pbx/...

 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 14 minutes, Fenrir a dit :

Ah! j’avais loupé l'info, pour les UAP-AC-M, normalement il faut leur adjoindre des antennes, les petites de bases ... bof, par contre j'ai des UAP-AC-M-PRO au travail, elles fonctionnent très bien avec les antennes internes (là on ne peut pas les changer)

Pour l'instant je laisse les antennes d'origine. A priori elles sont un peu particulières. Elles ont un gain de 3dBi en 2.4Ghz et 4dBi en 5Ghz. 

Pour info à l'extérieur en champ libre mon iphone se connecte en 5G jusqu'à 7 ou 8m de distance uniquement.

il y a 17 minutes, Fenrir a dit :

je croyais que tu allais prendre un USG

Tu as raison je m'égare. Le fortigate n'est vraiment pas ma tasse de thé. Cependant je viens de lire que l'usg n'était pas compatible ipv6. Même si je ne m'occupe pas de cette partie pour l'instant je trouve ça gênant. Mais c'est vrai que l'intégration des données de l'usg dans le controller est un vrai plus.

Je ne comprends pas trop le fonctionnement de l'usg. De ce que j'ai vu on configure le port forwarding et la regle de firewall est automatiquement créée mais on ne peut la modifier. C'est probablement suffisant pour moi.

il y a 21 minutes, Fenrir a dit :

Pour le filtrage DNS c'est très simple à mettre en place (il y a même des trucs tout fait, genre pihole), pour le proxy, avec squid c'est accessible car il y a de très nombreux tuto sur le net et pour le FW, les produits actuels (sauf chez cisco) sont maintenant simple à prendre en main.

D'un point de vue interface physique il va falloir que je fasse quelques modifs.

Si je comprends bien en partant de ma prise téléphone:

la freebox en bridge

sur la patte lan de la freebox on relie la patte wan de l'usg

sur la patte lan de l'usg on relie la patte wan du proxy (qui peut dans mon cas être une vm)

sur la patte lan du proxy on branche le switch.

Si je fait le proxy avec une vm, il faut que rajoute des interfaces réseau (au moins une) sur mon esxi, le proxy venant s'intercaler entre le lan et l'usg.

Dans ce cas tout le traffic vers et depuis l'extérieur le traverse. Je suppose qu'il y a des règles à mettre en place pour laisser passer tout ce qui n'est pas http ou https. A moins qu'il n'y ait des trucs interessants à mettre en place pour d'autres protocoles (je n'ai rien qui me vient en tête). Est ce que le traffic snapchat et autres réseau sociaux passe par http ?

Pour te dire comme je n'y connais pas grand chose, squid filtre le traffic en se basant sur protocole http ou autre ou sur le port ?

Vaut-il mieux mettre le serveur vpn sur l'usg ou sur le syno ?

Une fois le proxy en place le dhcp peut informer les équipements (ordinateur, serveur, smartphones, tablettes) de son existence? 

Remarque débile, je suppose que le proxy doit être un proxy transparent et déclaré comme la nouvelle passerelle dans le dhcp.

il y a 47 minutes, Fenrir a dit :

j'avais déjà vu ce tuto il me semble mais je n'ai pas du percuter. Avec ça je peut paramétrer le reverse proxy pour qu'il m'aiguille correctement si je rentre dans mon navigateur une adresse du style http(s)://mondomaine.fr/appli que l'appli soit un service du syno (officielle ou paquet tiers) ou une appli hébergée sur une autre machine du lan ?

J'avais réussi à faire la redirection pour https://jeedom.mondomaine.fr vers mon controleur (j'avais pour ça repris un certificat ). Mais il me semble me souvenir que je n'avais réussi si je rentrais l'adresse https://mondomaine.fr/jeedom

il y a 55 minutes, Fenrir a dit :

Mon contrôleur Unifi est dans un docker, mais pas dans un réseau masqué (c'est un choix) et le port tu peux toujours le fixer.

Le mien aussi est dans un docker mais il est dans un réseau 172.x.x.x créé par docker. J'y accède par http://ip-du-syno:port-configuré

Je n'ai pas trouver comment faire pour que le docker ait une ip propre distribuée par mon dhcp sur mon lan.

il y a 59 minutes, Fenrir a dit :

1 par type de population/d'usage et pas plus de 150 clients par vlan (là ça devrait aller) => ex : wifi-enfants/wifi-parent/wifi-guest/domotique/serveurs/pbx/...

 

si je fait ça in fine je vais devoir tout router. Par exemple les hotes du vlan wifi-parent doivent pouvoir atteindre le serveur de fichier, le controleur domotique, le pbx, etc....

J'ai du mal à cerner dans mon contexte comment ça peut marcher. Sur un gros lan je vois bien :

tous les ordinateurs du marketing ne voient que leur serveur de fichiers, leur imprimantes et ne voient pas le vlan du service finance,....

Dans mon cas tout le monde à part les guest du wifi (mais c'est déjà assuré par le portail captif du controller) doit pouvoir se connecter aux nas, au pbx. 

Je pourrais séparer l'accès management de l'esxi éventuellement mais pour l'instant je n'ai qu'une interface sur la machine. Je crois qu'il doit me rester une carte 2ports low profile qui pourrait rentrer dans le hp N54L.

 

Avec tout ça je vais charger mon esxi: si je compte bien il faut que je rajoute une vm centreon, une vm squid, et une en plus pour splunk. A moins que je puisse passer sur le syno. Je ne me suis pas encore interessé à virtual machine manager (il faudrait que je rajoute un peu de ram).

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, caplam a dit :

Pour info à l'extérieur en champ libre mon iphone se connecte en 5G jusqu'à 7 ou 8m de distance uniquement.

Sa grande sœur (M-PRO) est nettement plus efficace (et plus cher), je fais du mesh @350mbits réels sur plus de 50m et son ancêtre (uap-outdoor+) a plus de 100m on peut encore se connecter et surfer en 2.4Ghz (pas un super débit mais stable et largement suffisant).

Tu es certain de ne pas avoir loupé un réglage (à commencer par l'angle des antennes et le gain) ou une mise à jour ? Les commentaires, sans être élogieux, ne sont pas mauvais sur ce modèle (contrairement à l'UAP-AC Outdoor). De ce que je lis la couverture effective est d'environ 30-40m pour -70dBM (c'est peu mais pour le prix c'est très correct en outdoor).

--- je viens de tomber sur un post avec pas mal de retours négatifs, mais aussi des tests relativement corrects. Un point important (en complément de ceux que j'ai indiqué juste au dessus) semble être la fréquence utilisée. L'UNII-1 est bridée à 50mw par la FCC, il faut passer sur des canaux DFS avec ce modèle.

Il y a 8 heures, caplam a dit :

Cependant je viens de lire que l'usg n'était pas compatible ipv6.

Avec les EdgeRouter l'ipv6 marche très bien (cli uniquement), donc ça doit marcher avec les USG puisque le code de base est le même (avec quelques versions de moins) => un exemple

Il y a 8 heures, caplam a dit :

Je ne comprends pas trop le fonctionnement de l'usg. De ce que j'ai vu on configure le port forwarding et la regle de firewall est automatiquement créée mais on ne peut la modifier. C'est probablement suffisant pour moi.

Sur les ER tu as aussi cette fonction, perso je ne m'en sers JAMAIS, je préfère créer mes règles de FW+NAT moins même, ce n'est pas plus long et c'est nettement plus précis et efficace (si on a les bonnes bases/notions). Sinon oui, généralement c'est suffisant pour la plupart des gens.

Il y a 8 heures, caplam a dit :

sur la patte lan de l'usg on relie la patte wan du proxy (qui peut dans mon cas être une vm)

sur la patte lan du proxy on branche le switch.

Pas nécessairement dans cet ordre, avec le NAT, les vlan, le PBR, ... tu peux le faire de plein de manières. Perso je ferai box--usg---switch---le reste (dans des vlans différents si besoin).

Il y a 8 heures, caplam a dit :

Dans ce cas tout le traffic vers et depuis l'extérieur le traverse. Je suppose qu'il y a des règles à mettre en place pour laisser passer tout ce qui n'est pas http ou https. A moins qu'il n'y ait des trucs interessants à mettre en place pour d'autres protocoles (je n'ai rien qui me vient en tête). Est ce que le traffic snapchat et autres réseau sociaux passe par http ?

Pour te dire comme je n'y connais pas grand chose, squid filtre le traffic en se basant sur protocole http ou autre ou sur le port ?

Il faudrait un post rien que pour cette question, donc en version simplifiée :

  • proxy transparent : tu demandes au routeur de rediriger le trafic HTTP des clients vers le squid ou tu configures le squid comme routeur pour les clients => pas de conf client mais seul l'HTTP sera filtré (sauf à jouer avec les certificats ... on va éviter)
  • proxy explicite : tu configures les clients (via un .pac sinon ça va être gênant en dehors de chez toi) pour utiliser le squid => ftp/http/https/gopher (peu importe le port) seront filtrés sans effort
  • squid peut filtrer le trafic selon plein de critères (ip, port, domaine, url, mot clef, taille, heure, ...)
  • maintenant la plupart du trafic est chiffré, donc le mode transparent est caduque => explicite ou rien
  • il existe aussi des proxy pour la plupart des autres protocoles (même SIP), mais ils sont rarement utilisés
Il y a 9 heures, caplam a dit :

Avec ça je peut paramétrer le reverse proxy pour qu'il m'aiguille correctement si je rentre dans mon navigateur une adresse du style http(s)://mondomaine.fr/appli que l'appli soit un service du syno (officielle ou paquet tiers) ou une appli hébergée sur une autre machine du lan ?

oui, mais si tu remplace le /appli par un nom de domaine (appli.domaine.fr), le reverse proxy de base du syno est suffisant => exemple

Il y a 8 heures, caplam a dit :

Le mien aussi est dans un docker mais il est dans un réseau 172.x.x.x créé par docker. J'y accède par http://ip-du-syno:port-configuré

Le mien est en : https://unifi.domaine.fr avec unifi.domaine.fr = ip.de.mon.nas (avec le reverse proxy de base)

Il y a 8 heures, caplam a dit :

Je n'ai pas trouver comment faire pour que le docker ait une ip propre distribuée par mon dhcp sur mon lan.

Sur le nas tu ne peux pas (sauf peut être avec OpenvSwitch, mais pas testé), sur un serveur tu configures le daemon docker comme tu le souhaites.

Tu peux aussi lancer le docker avec l'option --net=host (il y a un bouton sur le syno qui fait la même chose), comme ça il est directement bindé sur l'interface réseau du nas.

Il y a 9 heures, caplam a dit :

J'ai du mal à cerner dans mon contexte comment ça peut marcher. Sur un gros lan je vois bien :

De la même manière que pour aller ici, le trafic de ton PC est routé (plusieurs fois), il y a juste du NAT en plus car ton PC n'a pas d'ip publique. Mais tu n'es pas obligé de faire autant de segmentation, je t'indiquais simplement la "bonne pratique".

=>pour parler au serveur, ton pc passera par ton routeur et ton serveur passera par le routeur pour répondre au pc

Ça ne pose aucun problème du moment que le routeur tiens la charge (un USG c'est 3Gbits, ça devrait suffire).

nb : ce n'est parce que le trafic est routé qu'il y a un Firewall ou du filtrage, typiquement entre ton PC et ce site tu dois traverser une dizaine de routeur (en plus de ta box), il n'y a aucun filtrage effectué (normalement)

Il y a 9 heures, caplam a dit :

Dans mon cas tout le monde à part les guest du wifi (mais c'est déjà assuré par le portail captif du controller) doit pouvoir se connecter aux nas, au pbx. 

Si tu mets tout à plat, le Guest aura accès au nas/serveur/tes pc/... (sauf à filtrer avec la borne elle même). Le portail captif empêche simplement le trafic non authentifié, mais une fois authentifié, on fait ce qu'on veut.

Si je prends chez moi comme exemple (en version simplifiée) :

  1. réseau 1 : WIFI+filaire (réseau principal pour les pc, nas, ...) => pas de vlan, ou vlan natif si tu préfères (les trames ne sont pas taguées)
  2. réseau 2 : WIFI pour les invités, c'est un autre SSID qui tombe dans un vlan dédié
  3. réseau 3 : WIFI+filaire pour les caméra de surveillance et autres trucs du même genre dans un autre vlan
  4. réseau 4 : WIFI+filaire pour mes tests dans un autre vlan

=>les 4 réseaux WIFI et les 3 réseaux filaires sont tous routés par mon routeur avec des règles de FW dans certains cas :

  1. peut voir 3 + internet et être accessible depuis Internet (via du NAT&co)
  2. peut uniquement aller sur Internet, avec limite de débit
  3. ne peut aller nul part (mon nas a une carte wifi dans ce réseau pour recevoir les flux vidéo)
  4. peut voir 1+3+internet et être accessible depuis Internet (via du NAT&co)

=>tout ceci me permet cela :

  1. les machines "normales" ont un accès normal à Internet et peuvent gérer l'IoT
  2. les invités avec des machines vérolées ne contamineront pas mes machines et ne boufferont pas mon petit ADSL
  3. tout ce qui est IoT est isolé d'internet
  4. je peux faire des tests divers et variés sans perturber les autres réseaux
Il y a 9 heures, caplam a dit :

Avec tout ça je vais charger mon esxi:

Pas nécessairement, des serveurs Linux ça consomme nettement moins de ressources que des Windows, tu peux faire tourner splunk+squid+centreon+plein d'autres choses sur une VM très modeste.

-------

Je m'aperçois maintenant que ce que je t'ai proposé au départ est peut être un peu hors de ta portée (mais pas inaccessible). Ton matériel et les termes employés laissaient penser que tu avais déjà pas mal de bouteille dans le domaine.

Il n'y a rien de compliqué pour qui sait lire une documentation et faire de recherches, par contre ça peut être assez long à mettre en place => il faut y aller étape par étape mais en gardant l'objectif final en tête.

Lien vers le commentaire
Partager sur d’autres sites

Encore une belle réponse. Merci beaucoup.

Je ne suis pas trop dispo ce week end. Donc je vais prendre le temps de digérer les informations.

Depuis hier j'ai installé une vm avec l'iso fourni par centreon. une vraie galère car:

-je connais pas centos

-les tutos que l'on trouve sur le net font référence à certaines versions mais il y a beaucoup de changements entre les versions

-Lorsque centreon considère que l'on a une machine opérationnelle ça veut juste dire qu'elle est prête à être configurée et que le gros du boulôt commence.

Il n'y a rien de fourni: pas de template d'hôte, pas de modèle de commande. Il n'y a pas d'auto discovery.

Donc pour l'instant j'ai une belle vm centreon avec rien dedans et je ne sais pas trop par quel bout l'attaquer.

Je me plaignais de zabbix mais je crois que l'on démarre plus vite avec.

J'ai pu installé les plugins que centreon veut bien que l'installe gratuitement. Pour le reste c'est hors budget pour un particulier. 

Il faut donc se tourner vers des plugins d'un projet github mais qui ne fonctionnent pas de la même manière. Pour l'instant, bien que j'ai cloné le git je ne les voient pas apparaitre dans la liste des modules.

Idem pour le clapi qui bien qu'installé n'apparait pas. Il doit y avoir encore un changement entre les versions car au lieu d'être installé dans le répertoire modules je l'ai trouvé dans le répertoire ./usr/share/centreon/www/class/centreon-clapi

Il me reste donc à passer par un long apprentissage.

Lien vers le commentaire
Partager sur d’autres sites

Centreon c'est plusieurs briques, donc il est effectivement difficile de s'y retrouver dans les versions, pas contre je trouve la doc très bien bien faite et le produit très simple à installer et à prendre en main. Il y a également plusieurs templates de services et d'hôtes standard, tout comme des commandes. Je pourrais t'expliquer comment ça fonctionne, mais comme pour le reste, je t'ai peut être proposé "trop gros".

Pour les commandes supplémentaire je n'ai jamais eu besoin de passer à la caisse. Je n'utilise que du fait main ou les centreon-plugins au travail.

Exemple :

01.png

Pour le CLAPI tu n'as a pas besoin à mon avis

Lien vers le commentaire
Partager sur d’autres sites

Merci de ta réponse.

J'ai ajouté mon premier hôte avec le plugin snmp linux basique. C'est fou le nombre de détails de config qu'il y a. Ca me rappelle l'année que j'avais passé à configurer un controle commande de poste électrique.

Je laisse tomber pour l'instant car il m'arrive une tuile: 2 disques me lachent en même temps sur le syno. Le volume est un shr avec un seul disque de parité (équivalent raid5), 6 disques au total.

Je ne perdrai pas grand chose (le plus important est sauvegardé ailleurs) si je n'arrive pas à récupérer mais bon le volume a 14To d'occupé ça fait quelques heures de transfert.

En fait j'avais des alertes secteurs défectueux sur un des disques (red 4To). Je décide de le remplacer (j'ai mis un seagate iron wolf 4To) et pendant la reconstruction (à peine une heure) le premier disque de la grappe (encore un red 4To) a décide de lacher sans prévenir. 

Le syno à stoppé tous les services. Je n'ai visiblement plus accès qu'à file station. Je vais aller réfléchir à la meilleure manière de m'en sortir: récupérer le max de données et de fichiers de config des paquets, ma bd kodi,...

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Je reviens donner quelques nouvelles. Je m'en suis sorti mais ça a été long.

J'ai du réinstaller complètement from scratch mon nas syno; j'en ai donc profité pour passer en btrfs.

Pendant la restauration de backup, mon nas qnap qui contient les backups a décidé de se mettre en grêve. Heureusement j'avais des backups sur des disques ailleurs.

De plus mon qnap embarquait dnsmasq donc je n'avais plus de dhcp et dns. J'ai donc dédié ce rôle au syno avec dhcp server et dns server (Merci pour ton tuto dns fenrir, que j'ai suivi excepté la partie externe car pas de besoin pour l'instant)

J'aurais bien aimé que syno implémente l'enregistrement dynamique des ressources.

Mais bon restaurer 16To de données à partir de disques usb c'est long.

Comme j'ai du reinstaller complètement le qnap, il a fallu que je refasse mes sauvegardes aussi.

Pour le monitoring, après avoir brièvement essayé centreon, j'ai finalement installé zabbix qui n'est pas si compliqué que dans mon souvenir. En tout cas bien plus simple que centreon.

J'ai aussi installé splunk. C'est certainement très puissant pour qui sait s'en servir mais franchement quelle usine à gaz.

Je n'ai pas le temps de prendre ça en main en ce moment. D'autant que j'ai aussi fait des modifs dans ma domotique: intégration de nouveaux équipements, plugins; création de nouveaux scénarios; refonte de mon système de notifications,....

Il me reste maintenant à installer mes 3 bornes wifi ubiquiti (2 sont déjà installées), me pencher plus en détails sur le reverse proxy.

Ensuite je m'attaquerai au filtrage qui me faciliterai la vie avec les enfants.

 

Edit: Lors de la reinstallation dy syno j'ai eu le plus grand mal à faire fonctionner les paquets issus de synocommunity. A chaque fois le même problème: le paquet refuse de se lancer. A priori un problème de droits pour l'user utilisé pour lancer le paquet. En dsm6 syno à du changer quelque chose sur la gestion des paquets et vu que pas un seul des paquets tiers que j'ai essayé n'a fonctionné du 1er coup je pense qu'ils n'ont pas du fournir de doc pour les dev. 

Mon syno avait initialement été installé en dsm5 et la migration en dsm6 n'empêchait pas les paquets de fonctionner. 

 

Modifié par caplam
Lien vers le commentaire
Partager sur d’autres sites

  • 2 ans après...

je suis novice dans le domaine wifi et je souhaiterais installer un réseau wifi avec un portail captif de TP-LINK ER5120 (load balancing)

Mes deux AP sont des UAP-AC-M-PRO de ubiquiti.

Je suis dans un pays d'afrique et notre bande passante est tres limité, voir meme bridée : en fibre optique FTTH on est au max à 150Mbitps 

c'est pour cela que j'ai pris un routeur load balancing pour pouvoir additionner plusieurs abonnement FAI

pouvez-vous m'aider ??? please

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.