Bonjour tout le monde,
Un gros chantier qui m'a occupé plusieurs jours
Avant : J'utilisais un firewall (IPFire) virtuel dans une VM sous Proxmox pour segmenter mon réseau en 2 zones : une DMZ et mon LAN. J'ai acheté depuis peu un système mesh Tp Link Deco que j'avais connecté à mon LAN. J'avais donc mis de côté mon ancien routeur Wifi Asus RT-AX1800U, jusqu'à ce que je lui trouve une utilisation parfaire -> voir suite !!
Maintenant : J'ai flashé mon routeur Asus pour y installer OpenWRT et donc revus toute mon architecture de mon HomeLab. J'y ai ajouté une clé USB pour étendre l'espace système du routeur.
Mon routeur est donc maintenant situé après ma box fibre et j'ai segmenté mon réseau en 3 zones physiques + la zone Wan : Une DMZ, une zone pour le LAN et une dernière pour les périphériques Wifi.
J'ai désactivé le wifi sur le routeur ; qui est géré par un combo de bornes TP Link Deco branché directement sur un des ports du routeur.
J'ai donc 4 sous réseaux séparé physiquement : 192.168.1.x, 192.168.2.x, 192.168.3.x et 192.168.4.x
J'ai commencé à transférer étape par étape les différentes zones réseaux vers OpenWRT.
En premier, le wifi, le plus simple ; bien que j'ai galéré un peu pour faire fonctionner à nouveau les Tp link dessus avec la configuration du pare-feu.
J'en ai profité aussi pour installer un "AdGuard' pour tout le réseau sur un conteneur LXC Incus dans mon LAN. Cela a nécessité un peu de config au niveau du pare-feu pour que toutes les zones soient bien redirigées vers AdGuard... mais bon ca marche impeccable maintenant.
J'ai transféré au fur et à mesure le LAN (un simple changement de passerelle).
Puis enfin, le gros morceau ; le déplacement de la DMZ ; oui car j'ai décidé aussi d'abandonner Proxmox au profit de Incus !! J'ai donc maintenant 3 PC sous Incus, facile à gérer en ligne de commande ou via un WebUI unique : LxConsole.
J'ai commencé par les conteneurs essentiels avec une prise de tête sur un des containers ; mais dans l'ensemble, tout s'est bien passé. J'ai eu juste après coup à changer la config réseau des containers LXC après leur conversion/importation.
En parallèle : J'ai acheté un nouveau mini PC, qui est le cerveau central pour faire mes backup. Cette machine n'a aucun partage et n'accepte que les connections depuis mon poste de travail. J'y ai transféré mon interface Web de sécu/sauvegarde (dev perso) qui était hébergé sur mon NAS Syno qui est le nœud intermédiaire des sauvegardes de mon HomeLab.
Il a fallu que je refasse un peu de code (mon serveur est codé en PHP) car ma sauvegarde rsync via SSH ne fonctionne pas en remote vers remote. J'ai donc monté des partages NFS de mon Syno sur mon serveur de backup, mais comme mon partage NFS à l'attribut 'immutable', il a fallu que je rajoute un peu de config pour gérer tout cela (je vérifie intégrité et le nombre de modifications, je déverrouille, je lance rsync et je verrouille à nouveau). J'ai ajouté aussi la prise en charge de backup via 'plakar' (j'en avais parlé il y a peu de temps). J'en ai profité aussi pour rajouter quelques fonctionnalités.
Voilà quelques écrans :
À Venir : J'ai mes données à sauvegarder dans le cloud. J'utilisais Duplicati pour des petites sauvegardes, mais idéalement je souhaite laisser plakar gérer cela et profiter de la fibre pour augmenter les données que je sauvegarde.
Mon nouveau mini PC qui gère les backup s'ennuie un peu, donc je pense installer un IDS (Suricata + une interface Web) dessus pour analyser le trafic du LAN.
Dans la DMZ, il y a déjà Nginx et le trafic y est très contrôlé ; il n'y a que du trafic HTTPS qui peux rentrer depuis l'extérieur.
Un gros chantier qui m'a occupé plusieurs jours
Avant : J'utilisais un firewall (IPFire) virtuel dans une VM sous Proxmox pour segmenter mon réseau en 2 zones : une DMZ et mon LAN. J'ai acheté depuis peu un système mesh Tp Link Deco que j'avais connecté à mon LAN. J'avais donc mis de côté mon ancien routeur Wifi Asus RT-AX1800U, jusqu'à ce que je lui trouve une utilisation parfaire -> voir suite !!
Maintenant : J'ai flashé mon routeur Asus pour y installer OpenWRT et donc revus toute mon architecture de mon HomeLab. J'y ai ajouté une clé USB pour étendre l'espace système du routeur.
Mon routeur est donc maintenant situé après ma box fibre et j'ai segmenté mon réseau en 3 zones physiques + la zone Wan : Une DMZ, une zone pour le LAN et une dernière pour les périphériques Wifi.
J'ai désactivé le wifi sur le routeur ; qui est géré par un combo de bornes TP Link Deco branché directement sur un des ports du routeur.
J'ai donc 4 sous réseaux séparé physiquement : 192.168.1.x, 192.168.2.x, 192.168.3.x et 192.168.4.x
J'ai commencé à transférer étape par étape les différentes zones réseaux vers OpenWRT.
En premier, le wifi, le plus simple ; bien que j'ai galéré un peu pour faire fonctionner à nouveau les Tp link dessus avec la configuration du pare-feu.
J'en ai profité aussi pour installer un "AdGuard' pour tout le réseau sur un conteneur LXC Incus dans mon LAN. Cela a nécessité un peu de config au niveau du pare-feu pour que toutes les zones soient bien redirigées vers AdGuard... mais bon ca marche impeccable maintenant.
J'ai transféré au fur et à mesure le LAN (un simple changement de passerelle).
Puis enfin, le gros morceau ; le déplacement de la DMZ ; oui car j'ai décidé aussi d'abandonner Proxmox au profit de Incus !! J'ai donc maintenant 3 PC sous Incus, facile à gérer en ligne de commande ou via un WebUI unique : LxConsole.
J'ai commencé par les conteneurs essentiels avec une prise de tête sur un des containers ; mais dans l'ensemble, tout s'est bien passé. J'ai eu juste après coup à changer la config réseau des containers LXC après leur conversion/importation.
En parallèle : J'ai acheté un nouveau mini PC, qui est le cerveau central pour faire mes backup. Cette machine n'a aucun partage et n'accepte que les connections depuis mon poste de travail. J'y ai transféré mon interface Web de sécu/sauvegarde (dev perso) qui était hébergé sur mon NAS Syno qui est le nœud intermédiaire des sauvegardes de mon HomeLab.
Il a fallu que je refasse un peu de code (mon serveur est codé en PHP) car ma sauvegarde rsync via SSH ne fonctionne pas en remote vers remote. J'ai donc monté des partages NFS de mon Syno sur mon serveur de backup, mais comme mon partage NFS à l'attribut 'immutable', il a fallu que je rajoute un peu de config pour gérer tout cela (je vérifie intégrité et le nombre de modifications, je déverrouille, je lance rsync et je verrouille à nouveau). J'ai ajouté aussi la prise en charge de backup via 'plakar' (j'en avais parlé il y a peu de temps). J'en ai profité aussi pour rajouter quelques fonctionnalités.
Voilà quelques écrans :
À Venir : J'ai mes données à sauvegarder dans le cloud. J'utilisais Duplicati pour des petites sauvegardes, mais idéalement je souhaite laisser plakar gérer cela et profiter de la fibre pour augmenter les données que je sauvegarde.
Mon nouveau mini PC qui gère les backup s'ennuie un peu, donc je pense installer un IDS (Suricata + une interface Web) dessus pour analyser le trafic du LAN.
Dans la DMZ, il y a déjà Nginx et le trafic y est très contrôlé ; il n'y a que du trafic HTTPS qui peux rentrer depuis l'extérieur.
