Routeur, livebox, NAS, domotique, questions sur la sécurité

[Jez]

Bonjour à tous,

J’ai mis en place hier un routeur RT2600AC. Il est placé derrière une livebox 4, et couvre un réseau relativement conséquent composé de 2 NAS Synology, 1 box domotique Jeedom, des ponts HUE et Xiaomi, des RM Pro, des Google Home et Mini, TV connectées, multimédia etc. Bref, pas mal de devices cohabitent. J’ai pris le parti de garder l’IP locale de la livebox, soit 192.168.1.1.  Cela m’a contraint à revoir toutes les adresses IP des autres équipements du réseau, notamment dans le cadre de la domotique.

Tout fonctionne maintenant, ce qui est une bonne chose. Je me pose des questions sur la sécurité de mon installation et j’aurais aimé avoir vos avis et surtout vos remarques sur les grossières erreurs que j’aurais pu faire et qui fragiliserait l’accès à mon réseau. J’ai très peu de notions, je me débrouille comme je peux en consultant des forums. Je remercie d’ailleurs les contributeurs.

Le routeur est configuré en « routeur sans fil ». Il a un bail statique dans la livebox.

Côté livebox, j’ai désactivé le wifi de celle-ci, ai gardé le serveur DHCP activé car le décodeur TV est branché dessus. J’ai supprimé les autres baux statiques et les règles de redirection de ports. Je n’ai pas placé le routeur dans la DMZ et ai conservé le pare-feu de la livebox. La raison est que je crains de faire des erreurs en me servant du pare-feu du routeur, en ouvrant mon réseau naïvement.

Côté routeur, dans les critères généraux onglet réseau local, j'ai mis ceci :

J’ai utilisé les dns google mais n’aurais-je pas dû utiliser ceux de mon fournisseur d’accès ? Est-ce que cela a des incidences en terme de sécurité ?

Enfin, Les NAS et le routeur ont des noms de domaine synology mais ne sont pas accessibles depuis l’extérieur.

J’ai acquis ce routeur pour m’affranchir de cette fonction de la livebox et améliorer le partage du wifi. Mon réseau s’étend et cela m’évitera de devoir tout reparamétrer en cas de changement de FAI. Les premiers effets positifs que je vois sont que j’avais des décrochements fréquents du wifi sur les RM pro et ma gateway xiaomi. Ce n’est plus le cas. J’ai le sentiment général d’avoir gagné en stabilité.

Voilà, je vous remercie pour les conseils/remarques que vous pourrez me faire (je le rappelle, j’ai très peu de notions,  pour moi, cela relève plutôt de la survie en milieu hostile !)

[Laurent_8]

Salut, pour la sécurité des NAS commence par lire ce topic : 

 

Ensuite avec des Google Home tu n'as plus aucune sécurité, Google enregistre et analyse tout.
Pour les DNS aucune incidence, ceux de Google sont généralement plus rapide, mais pas vraiment perceptible.

Porquoi avoir enregistrer des nom de domaine DynDNS si tu n'utilise pas d'accès extérieur ? Supprime les.

Modifié le 14 janvier 2019 par Dark-Spirit

[Jez]

J'ai suivi cet excellent tutoriel pour protéger au mieux mes NAS. Je vais donc également l'appliquer au routeur. Si les règles de pare-feu sont trop limitatives, je les supprimerai au fur et à mesure.

J'ai attribué des noms de domaines car mon 2ème objectif est de monter un VPN sur le routeur pour accèder à un des NAS depuis l'extérieur (ou les 2, je verrai en fonction de mes besoins). Il est vrai que je devrais supprimer celui du routeur, ce que je vais faire. Concernant la connexion VPN, je pense que je ne manquerai pas de questions, je rouvrirai un sujet dans la section dédiée à ce routeur.

Merci pour ton aide.

[Laurent_8]

Concernant le par-feu attention, il ne faut pas créer les règles à l'aveugle comme dans le tutoriel, il faut les créer selon tes besoin et surtout selon tes adresse IP local à toi.
Pour le VPN il te suffit d'un seul DynDNS, tu mets le compte dans ton router afin qu'il renseigne ton fournisseur de DynDNS sur ton IP externe et puis c'est tout, tu installe ton VPNServer sur le Router, ensuite une fois que tu es connecté à ton router tu auras accès à tout ton réseau local.

[Jez]

Merci pour ces précisions pour l'accès depuis l'extérieur, c'est une des questions que je me posais.

[Laurent_8]

https://www.synology.com/fr-fr/knowledgebase/SRM/help/VPNCenter/vpn_setup

Je te conseil le protocol OpenVPN, très simple à mettre en place, petite précision, j'utilise le Protocol TCP et non UDP, plus rapide en TCP. Je l'ai sur mon NAS et je ne connais pas les router Synology, mais apparemment c'est la même interface que les NAS.

[Jez]

C'est également une question que je me posais. J'allais m'orienter vers le VPN de Synology. Je testerai donc avec Open VPN.