Dans la partie 1 on a fait l’état des lieux de l’infrastructure en place. Le constat est clair : le réseau est le premier goulot d’étranglement. Tout tourne en Gigabit, tout passe par la Freebox, pas de segmentation, pas de visibilité. Avant de toucher au homelab ou à la domotique, il faut commencer par poser des fondations réseau solides.
Dans cet article on va voir pourquoi l’existant ne suffit plus, quelle architecture j’ai imaginée pour la suite et le matériel que j’ai commandé pour améliorer tout ça.
Les limitations de l’existant#
Pour rappel, aujourd’hui tout repose sur la Freebox Ultra. C’est un excellent routeur opérateur, l’OS est vraiment complet pour un routeur grand public mais il y a des limitations que j’aimerais ne plus avoir et notamment :
Pas de VLANs : C’est le point le plus bloquant. Tout est sur le même réseau : mes PC, les objets connectés, le homelab, les invités. Le point le plus critique concerne surtout les objets connectés, actuellement ils peuvent accéder à Internet, sans filtrage, sans que je puisse avoir la visibilité sur les serveurs distants sur lesquels ils peuvent envoyer leurs données. Bref, ce n’est pas l’idéal.
Bridé en Gigabit : La fibre pousse à 8 Gbps symétrique, mais le switch Netgear du bureau est en Gigabit et la Freebox ne propose que du 2.5G et du 1G sur ses ports. On est loin d’exploiter la bande passante disponible.
Pas de visibilité : Impossible de savoir quel appareil consomme quelle bande passante, qui discute avec qui, de mettre en place de la QoS, ou simplement d’avoir des statistiques réseau. La Freebox fait son rôle d’accès Internet mais ça s’arrête là et ça ne me suffit pas.
Dépendance à l’OS Freebox : L’OS de la Freebox est l’un des plus complets côté opérateur, mais ça reste limité. Pas de règles de firewall avancées, pas de routage entre sous-réseaux, pas de DNS personnalisé au-delà du basique.
Le Wi-Fi n’est pas optimal : Le Wi-Fi 7 de la Freebox est correct et le répéteur Free fait le job, mais impossible de gérer des SSIDs par VLAN, d’avoir un portail captif pour les invités (je crois que c’est faisable mais assez limité), ou de monitorer les clients connectés proprement.
L’architecture cible#
L’idée c’est de reprendre le contrôle sur le réseau sans pour autant tout révolutionner d’un coup. On garde ce qui fonctionne et on ajoute les briques manquantes.
Garder la Freebox (pas le choix)#
Avec Free, la fibre arrive directement dans la Freebox. Pas d’ONT externe qu’on pourrait remplacer. La Freebox reste donc en tête de réseau, mais on va la cantonner à un seul rôle : modem fibre. Tout le reste sera géré par un vrai routeur/firewall derrière.
Pour ça, la Freebox sera configurée en mode DMZ (ou mode bridge) : elle transmettra l’intégralité du trafic au routeur qui sera derrière elle. Elle ne fera plus de DHCP, plus de DNS, plus de Wi-Fi. Juste le lien fibre.
Le routeur : UniFi Cloud Gateway Fiber#
Le cœur de la nouvelle architecture sera une UniFi Cloud Gateway Fiber (UCG Fiber). C’est un routeur/firewall UniFi qui coche toutes les cases :
| Specs | |
|---|---|
| Uplink | 1x SFP+ 10G + 1x Ethernet 10G |
| Downlink | 1x SFP+ 10G + 4x ports 2.5 GbE |
| Fonctionnalités | Routeur, Firewall, VLANs, DPI, IDS/IPS, VPN |
| Management | UniFi Network (local + cloud) |
Le lien entre la Freebox et l’UCG Fiber sera en 10G via un câble DAC (Direct Attach Cable) SFP+. On passe enfin au-dessus du Gigabit.
Les 4 ports 2.5 GbE en downlink serviront de switch intégré dans la baie principale pour distribuer le réseau vers les différentes pièces via le bandeau de brassage.
Le port SFP+ de downlink sera celui qui transmettra le réseau 10G à la seconde baie positionnée dans le bureau, on s’occupera de cette amélioration dans un second temps.
Le Wi-Fi : UniFi U7 Lite#
Le Wi-Fi de la Freebox et le répéteur Free seront désactivés et remplacés par deux points d’accès UniFi U7 Lite :
- Un premier dans la baie principale, connecté directement à l’UCG Fiber, il couvrira la zone de vie principale
- Un second dans la baie du bureau, à l’autre bout de l’appartement, il couvrira la zone de travail
L’avantage des AP UniFi par rapport au Wi-Fi Freebox : chaque point d’accès pourra diffuser plusieurs SSIDs liés à des VLANs différents. Un SSID pour le réseau domestique, un autre pour les invités, un autre pour l’IoT. Tout ça managé depuis la même interface UniFi Network.
Les VLANs prévus#
La segmentation réseau, c’est la raison principale de cette refonte. Voici ce que j’ai prévu :
| VLAN | Usage | Accès |
|---|---|---|
| Domestique | PC, smartphones, tablettes | Accès internet + réseau local |
| IoT | Objets connectés, domotique | Accès internet limité, isolé du reste |
| Lab | Cluster Proxmox, OPNsense | Isolé, accès contrôlé |
| Invités | Wi-Fi invités | Internet uniquement, rien d’autre |
| Management | Administration réseau | Accès restreint aux admins |
Chaque VLAN aura ses propres règles de firewall sur l’UCG Fiber. Par exemple le VLAN Invités n’aura accès à rien d’autre qu’Internet, et le VLAN IoT ne pourra pas communiquer avec le VLAN Domestique (mais Home Assistant pourra y accéder pour piloter les équipements).
Ce qui ne change pas (pour l’instant)#
Quelques points qui restent en l’état et évolueront dans de futures parties :
- Le switch Netgear du bureau reste en place. C’est la limitation actuelle : il est en Gigabit et non manageable, donc pas de VLANs entre la baie principale et le bureau. Il sera remplacé plus tard par un switch UniFi avec un uplink 10G, mais chaque chose en son temps.
- Le homelab (OPNsense + cluster Proxmox) ne bouge pas. Le focus de cet article c’est le réseau en amont du lab. L’optimisation du homelab viendra après.
- Home Assistant reste sur le Raspberry Pi dans la baie principale pour l’instant.
La commande#
La théorie c’est bien, mais à un moment il faut passer à l’action. J’ai passé commande directement sur le store UniFi :
- 1x UniFi Cloud Gateway Fiber — le routeur/firewall
- 2x UniFi U7 Lite — les points d’accès Wi-Fi 7
- 1x DAC SFP+ 10G — le câble Direct Attach pour le lien 10G entre la Freebox et l’UCG Fiber
Le tout devrait arriver dans les prochains jours. Dès réception, on passe à l’installation et à la configuration, ce sera l’objet de la prochaine partie !
Et la suite ?#
Dans la partie 3, on passera à la pratique :
- Mise en place physique de l’UCG Fiber dans la baie
- Configuration de la Freebox en DMZ
- Création des VLANs et des règles de firewall
- Déploiement des points d’accès Wi-Fi
- Premiers tests de débit en 10G
On va enfin passer à l’action et au concret pour la refonte complète du homelab et du réseau !
