Comme indiqué dans un de mes articles d'avril 2023, j'ai profité de mon changement de fournisseur d'accès pour refaire l'organisation de mon réseau local et recâbler un peu le tout avec des câbles de couleurs spécifiques. Voici donc une mise à jour de l'organisation de mon réseau local.
Le matériel
La partie opérateur
Le 12 avril 2023, j'ai changé d'opérateur pour passer chez Milkywan. Ceci est un assez gros changement, car ce FAI associatif ne fournit pas de routeur particulier, contrairement à Free par exemple. Je n'ai alors pas de box opérateur, mais une configuration à appliquer sur la machine de mon choix et un module ONT. Cet ONT est directement branché sur mon routeur et j'obtiens donc une adresse IPv4 dédiée et un bloc IPv6 en /48.
Pour mieux comprendre cette nouvelle installation, laissez-moi vous expliquer comment ça fonctionne dans les grandes lignes : chez moi, j'ai une prise fibre et un ONT qui permet de récupérer le signal pour me connecter. Cette prise fibre, l'installation des fibres dans mon immeuble et l'armoire extérieure qui permet de tout relier physiquement sont gérées par un opérateur d'infrastructure. C'est lui qui se charge de faire la plomberie en quelque sorte : dans mon cas, il s'agit d'Orange.
Le signal optique, lui, est géré par un opérateur de collecte et c'est ce dernier qui fournit le module ONT pour pouvoir me connecter à son réseau : ici, il s'agit de Bouygues Télécom. Le but de l'opérateur de collecte est alors de récupérer les signaux de la zone environnante via les connexions physiques de l'opérateur d'infrastructure pour les envoyer sur une porte de collecte. Cette porte de collecte est ensuite connectée à un agrégateur (ici, ielo) qui va se charger d'agréger toutes les collectes en seul endroit, dans une autre porte de collecte. Cette porte de collecte est alors utilisée par le FAI pour communiquer la configuration et envoyer mes paquets sur Internet.
Pour récapituler, cela donne le schéma suivant :
Dans le cas des opérateurs commerciaux grand public, toutes ces étapes sont habilement cachées et on ne se rend pas vraiment compte du découpage, mais c'est bien ce principe qui s'applique.
Notez aussi qu'un opérateur d'infrastructure doit ouvrir son "réseau physique" à tous les opérateurs de collecte, ce qui explique pourquoi une armoire installée par Orange contient forcément des collectes d'autres opérateurs comme SFR, Free ou bien Bouygues Télécom.
La partie routeur
En guise de routeur, j'ai aussi changé d'équipement pour passer sur une machine de chez Mikrotik sous RouterOS. C'est un équipement dédié au réseau, configurable en SSH et bien mieux optimisé que OPNSense (que j'utilisais sur mon autre routeur avec ma Freebox). C'est pour cette raison que j'ai fait ce choix, sachant que c'est ce qui est recommandé chez Milkywan, à la suite de plusieurs retours utilisateurs.
J'utilise donc un Mikrotik HAP AC3, acheté d'occasion sur Leboncoin : c'est un routeur avec 5 ports Ethernet en Gigabit et deux antennes Wi-Fi compatibles Wi-Fi 5 (ou norme AC). C'est largement suffisant pour mes besoins.
Le switch de marque D-Link est toujours présent dans mon infrastructure et il gère la répartition des différents VLANs que j'utilise.
Les VLANs sont découpés de cette façon : le VLAN 10 sert aux serveurs et aux machines virtuelles, le VLAN 20 sert aux clients et le VLAN 30 sert aux applications indépendantes. L'isolation réseau est cette fois en place et est fonctionnelle, via des règles de pare-feu dédiées. La sécurité globale est assurée.
La partie infra
Concernant les serveurs, ils sont tous reliés directement sur le switch D-Link via des câbles oranges. Ils obtiennent directement le VLAN 10 et cette partie n'a pas vraiment changé au niveau de la configuration.
Concernant les clients, plusieurs changements sont à noter :
- le Wi-Fi n'est plus géré via un routeur Wi-Fi Xiaomi, mais directement par le Mikrotik
- le CPL que j'utilise pour connecter mon bureau/laboratoire a été déplacé pour être directement connecté au switch D-Link
- la box TV n'est plus utilisée, car fournie par mon ancien fournisseur d'accès
- les clients sont maintenant dotés de câbles de couleur spécifique, à savoir du violet
Pour mes équipements de "maison intelligente", ils sont tous connectés derrière un APU 4 relié en Wi-Fi. Ainsi, ils sont isolés du reste et n'ont pas un accès direct à Internet.
Le logiciel
Au niveau de mon routeur, j'ai abandonné OPNSense pour passer sur du RouterOS. Ce système a l'avantage d'être assez bien optimisé pour gérer un réseau complet : accès à son interface via SSH (avec clé !) ou via un logiciel dédié utilisant l'adresse MAC du routeur, support de IPv6, support des VLAN, pare-feu avancé, utilisation de Wireguard pour les VPN. C'est un bon système pour de la gestion quotidienne et c'est souvent mis à jour : rien à redire pour moi. Au niveau du code-source, il semble que le logiciel soit basé sur un noyau Linux et plusieurs logiciels libres.
Au niveau de l'APU 4, j'ai tout simplement mis la dernière version stable de Debian GNU/Linux.
Concernant la zone DNS interne, elle est maintenant gérée par une machine virtuelle sous Alpine Linux, à l'aide des logiciels NSD et Unbound.
Schéma de l'installation
Et pour les personnes curieuses, voici donc une version actualisée du schéma de mon réseau local :
