Isolation d'un périphérique sur le réseau

[Salamafet]

Bonjour à tous,

J'ai fais l'aqusition d'un RT2600AC il y a 2 semaines. J'ai pris ce matériel pour remplacer un PfSense. Certains me diront que je suis fou. Il est vrai que PfSense est plus complet que jamais, mais le problème c'est que le système est très fragile. Après une coupure de courant ou une simple mise à jour, le système ce retrouve souvent complètement planté.

Je suis chez Orange et venant d'eux, je n'utilise que le boitier ONT. C'est le Synology qui gère l'authentification PPPoE. Leur box de m***e est dans sa boite au fond d'un placard dans une arche perdu que si tu l'ouvres et que tu regardes tu fonds...

Bref,
J'ai un serveur GIT qui tourne chez moi H24. Quand j'étais sur PfSense, j'avais créer un sous réseau différent pour isoler le serveur. J'avais paramétré le pare-feu PfSense pour que le LAN puisse accéder au serveur mais pas l'inverse.
Et donc j'aimerais faire sensiblement le même chose avec le Synology (sans forcément avoir un sous réseau différent)

Après de nombreuses recherches et heures de documentation, j'ai tenté de créer des VLANs mais à part rendre le serveur GIT inaccessible même pour le Synology,  je n'ai pas trouvé de solution.
Sur un forum un utilisateur indiquait que l'ont pouvais grâce à la Réservation DHCP mettre un périphérique dans le réseau invité. Mais après plusieurs tentative, rien à faire. Une IP dans la plage DHCP LAN lui est attribué.

Comment peut-on isoler un périphérique pour qu'il ne puisse pas accéder à ses voisins sur le réseau ?
Sachant qu'il faut que je puisse ouvrir des ports vers ce dernier.

 

Merci pour votre aide

[PiwiLAbruti]

Si ton serveur dispose d'un pare-feu logiciel (iptables), il suffit d'y créer une règle lui interdisant d'établir des connexions vers ton réseau local.

Maintenant je suppose que ton souci de sécurité concerne une éventuelle compromission de ton serveur auquel cas il est effectivement préférable de gérer cette sécurité sur un autre équipement.

Je ne suis pas certain que ce soit possible/facile avec un RT2600ac, ce dernier étant bien moins souple qu'un pfSense. Il n'y a d'ailleurs (à ma connaissance) aucun routeur grand-public qui permette une gestion individuelle de chaque port (1 WAN + bridge LAN statiques).

[Salamafet]

Merci pour ta réponse Piwi.

En effet, c'est pour un soucis de sécurité en cas de brèche sur le serveur. Surtout dans le cas d'un serveur GIT. Ces derniers fonctionnent en SSH.

Je vais attendre et espérer que quelqu’un pourra m’éclairer.

[unPixel]

Bonsoir,

Le réseau invité passe par le wifi uniquement je crois. Et pour les vlan, j'ai pas vu cette possibilité sur le routeur.

[Salamafet]

Salut Zeus,

En ce qui concerne les VLANs, voici un aperçu de l'interface:

Mon réseau local est sur LAN 3 et mon serveur est sur le LAN 4.

Après mûr réflexion hier, je me demande si je ne peux pas utiliser le LAN 1 en mode WAN Manuel pour définir une adresse IP, un masque et une passerelle et coller le serveur dessus.

Avec un routage manuel et quelques règles sur le pare-feu, ca pourrait le faire. Du coup ca serait étonnant que personne n'y ai pensé avant 🤔

Je vais tenter ce week-end et je vous tiendrais au courant.

[unPixel]

Hello Salamafet,

Ok, tiens nous au courant ;)

Perso, j'ai jamais eu à le faire ayant confiance à 100% en mon réseau local et ses utilisateurs. Après, les invités passent par le wifi invité donc sont exclus sur le réseau LAN.

[Salamafet]

il y a 10 minutes, Zeus a dit :

Perso, j'ai jamais eu à le faire ayant confiance à 100% en mon réseau local et ses utilisateurs. Après, les invités passent par le wifi invité donc sont exclus sur le réseau LAN.

Oui je comprend bien, je n'ai aucun problème avec mon réseau local non plus (pour l'instant).

Mais c'est vraiment pour ce serveur qui est ouvert sur l’extérieur avec les ports connus 80, 443, 22. Tu verrais le nombre de notifications de Threat Prevention que je reçois chaque heure.
C'est assez impressionnant le nombre de botnet qui s'attaque à moi. Je l'éteint même la nuit pour éviter d'être trop spammé.

Quitte à ce qu'il y est intrusion, je préfère que le mécréant ce cantonne à mon serveur seulement et pas tout le réseau local.

C'est la ou je regrette un peu PfSense. Je pouvais faire de la redirection de port programmé. Comme ça la nuit plus d'accès au serveur depuis l’extérieur, mais le serveur continue de sortir pour pouvoir faire des sauvegardes 😁

[unPixel]

Oui, je comprend. Pourquoi ne pas être rester sur Pfsense qui est quand même bien complet ?

[PiwiLAbruti]

Si je devais monter une DMZ (j'ai horreur de ce terme), j'utiliserai un "vrai" routeur. C'est-à-dire un routeur où chaque port est configurable individuellement.

Mon choix se tournerait sans trop d'hésitation vers un Ubiquity ERLite-3.

D'ailleurs je me demande si on peut directement brancher le SFP (s'il y en a un) de l'ONT directement sur un ER-X-SFP ?

[Salamafet]

Comme indiqué dans mon premier message, le système est trop fragile. Une simple mise à jour ou coupure de courant, c'est tout le système qui ne démarre plus. Et même parfois des craches aléatoire.
Réinstaller tout est une sacré paire de manches. Surtout depuis un port série.
Bizarrement j'ai pas mal dépensé en carte mSata.

En plus je vais avoir de moins en moins de temps (👶) pour la bidouille donc je voulais quelque chose de relativement stable. J'ai été super emballé par la fonction Safe Access et Threat Prevention. Possible aussi à faire sur PfSense mais il faut créer toutes les règles à la main avec les profils qui vont bien et surtout maintenir le tout à jour. Un vrai casse tête.

Je fais confiance à Synology pour les NAS depuis de nombreuses années. Je voulais tenter aussi la partie réseau 😊

Un jour peut être je repasserai sur PfSense mais il faudra attendre que 👶 devienne 👨‍🎓.

 

il y a 7 minutes, PiwiLAbruti a dit :

Si je devais monter une DMZ (j'ai horreur de ce terme), j'utiliserai un "vrai" routeur. C'est-à-dire un routeur où chaque port est configurable individuellement.

Mon choix se tournerait sans trop d'hésitation vers un Ubiquity ERLite-3.

D'ailleurs je me demande si on peut directement brancher le SFP (s'il y en a un) de l'ONT directement sur un ER-X-SFP ?

J'ai regardé rapidement. Je ne connaissais pas la marque. Je vais regarder de plus près.

C'est du cloud management ?

[PiwiLAbruti]

il y a 30 minutes, Salamafet a dit :

C'est du cloud management ?

Surtout pas malheureux ! 😱

Je ne me permettrais pas de conseiller un équipement de sécurité géré dans un environnement non-sécurisé. 😉

[Salamafet]

il y a 14 minutes, PiwiLAbruti a dit :

Surtout pas malheureux ! 😱

Je ne me permettrais pas de conseiller un équipement de sécurité géré dans un environnement non-sécurisé. 😉

Cool. J'avais l'impression avec leur interface de démo. Les prix sont super attractif en plus.
En ce qui concerne le SFP c'est super cool aussi.

[unPixel]

je suis moi même en train d'hésiter à aller vers Ubiquiti. Mais il fait un peu usine à gaz quand même 🙄

[Salamafet]

Grosse grosse promo sur Wifi France => https://www.wifi-france.com/ubiquiti-edgerouter
Je viens de commander un EdgeRouter 6P du coup.

Avec autant d'interface je vais pouvoir faire un réseau dédié pour mes caméras IP.

On verra bien ce que ca donne, mais honnêtement ca à l'air costaud. Et surement bien plus stable que PfSense.

[Salamafet]

Re,

Bon j'ai fais une demande de rétractation. Donc je vais donc abandonner les routeurs chez Synology pour le moment. Et sur les conseils de @PiwiLAbruti, je vais tenter Ubiquiti.

J'ai quand même tenté l'idée que j'ai eu avec avec le LAN 1 en mode WAN Manuel.

Malheureusement ca ne fonctionne pas et c'est même pire que ça. Une fois la config de la carte établie, impossible de d'établir une connexion PPPoE. Donc plus d'internet. Même après redémarrage.

Dommage 😕

[Einsteinium]

Sinon faut que tu attendes l’implémentation des vlan dans nos Synology (et je parle pas de la screen plus haut, qui ne sert vraiment que pour l’iptv/voip)

Maintenant ton serveur git, pourquoi tu le dockerise pas ?

[Salamafet]

J'ai un peu de mal avec Docker.
Je trouve que la management n'est pas super intuitif. Actuellement j'ai facilement la main sur le serveur avec les différents services qui tournent.

Mais maintenant je suis passé sur un EdgeRouter donc c'est trop tard 😮
Par contre j'ai investi dans un MR2200AC pour remplacer un point d'accès Asus super récent mais jamais mis à jour.