Routeur sous debian ou boitier physique ?

Support Debian
#1

Bonjour à tous,

Je me pose une question pour le remplacement de mon matériel à la maison par du matériel consommant peu (principal critère).

J’ai actuellement un serveur sous debian qui fait tout (routeur, parefeu, dhcp, samba, et j’en passe)
Et j’aimerais créer une zone DMZ avec deux routeur. Le premier qui laisse passer les ports pour le serveur web, courrier, etc…
et le second qui protège mon réseau local.

A votre avis, dois je mettre des routeurs physiques ou bien mettre des petits pc avec deux cartes réseaux ??

Ma question est orienté sécurité, car si je mets 2 serveurs debian, 1 pour la DMZ qui sert également de routeur et serveur web,
et le second pour mon lan, qui fait routeur et dhcp et serveur de fichier.

Qu’en pensez vous ?

Merci d’avance.

#2

Je pense que ce fil aurait plus d’écho dans SD, je déplace.

#3

Je laisse les experts réseaux répondre sur la config.
Mais si tu choisis l’option “routeur debian faible consommation”, je te recommande d’utiliser des dreamplugs. Ils possèdent 2 sorties ethernet et un port e-sata.
newit.co.uk/shop/products.php?cat=21

#4

Merci pour le lien, je ne l’avais pas encore trouvé celui-là.

par contre tu ne connecte pas d’écran dessus ?

#5

Pourquoi deux routeur différents ?

Tu peut très bien gérer tes deux réseaux depuis un même boitier.

Un routeur te coûtera environ 30€ une machine bien plus ( sans parler consommation ) que fera tu le jour ou tu veux mettre ne place un serveur d’impression ou un petit NAS ?

#6

[quote=“Clochette”]Pourquoi deux routeur différents ?

Tu peut très bien gérer tes deux réseaux depuis un même boitier.

Un routeur te coûtera environ 30€ une machine bien plus ( sans parler consommation ) que fera tu le jour ou tu veux mettre ne place un serveur d’impression ou un petit NAS ?[/quote]

Eh bien pour avoir 2 sous réseaux distincts : la DMZ et le LAN.
Et les boîtiers routeurs sont souvents limités, on ne peux pas configurer tout ce que l’on veux.
De plus un pc linux peut être monitoré, backupé, etc…

Le but final est de me faire mon petit nuage pour toutes mes données, et aussi un jour y connecter des webcam IP, et autre périphériques qui pourront être accessible de l’extérieur (commande du chauffage, des volets).

Je me dis que 2 boitiers, ça compartimente le réseau en 2 zones : 1 accessible de l’extérieur, et 1 inaccessible.

Mais c’est sur que la solution que l’imagine qu’un simple routeur à 30€.

#7

Dans le budget :
http://www.ldlc.com/fiche/PB00070232.html

Un poil plus cher je l’admet :033
http://www.ldlc.com/fiche/PB00095298.html

Sinon depuis peu ma plateforme est de nouveau en marche ( enfin la partie principale, tous le web reste encor à remonté, scrgneuuuhhneuh de petit hacker )

La plateforme est largement inspiré de ceci :
http://linbox.free.fr/passerelle_secure/index.php

Une box pour l’instant en routeur mais à terme elle va dégager, je quitte SFR bientôt pour OVH ou autres …

Serveur 1
DOM 0 Netbsd xen
DOM 1 Netbsd ( filtrage et routage basique => à terme toute la gestion de mon réseau se fera là avec deux cartes supplémentaires ethernet récupérer du taff et une carte wifi pas trop cher )
DOM 2 Debian ( web en cours de construction )
DOM 3 Debian ( LAN stockage )
DOM 4 Debian ( partie administration avec LDAP, supervision, etc… pas encore finaliser => ça bougera à terme )
DOM 5 Debian ( LAN2 serveur de gestion de version et serveur de sauvegarde )
DOM 6 Debian ( pour des tests en tout genre )

Serveur 2
DOM 0 Debian xen
DOM 1 Debian ( serveur mail )
DOM 2 Debian ( Serveur de sauvegarde 2 )

Bientôt

Serveur 3
OpenBSD ( gestion de toute l’administration en phase de test )

Mais attention c’est de l’usine à gaz et avant tout un projet qui date qui à déjà quelques base en place, c’est pourquoi je t’oriente dans une premier temps vers les routeurs complet qui peuvent gérer une DMZ en sus d’un LAN ce qui est ton besoin décrit.

#8

Ton projet m’impressionne, c’est un peu l’idée de ce que j’avais envie de faire, mais comme tu dis c’est un peu l’usine à gaz.

Je me dis que 2 machine (très petites) physiques ou routeur (mais gigabit) feront la même chose (voir image jointe).

Cette petite bête me plait bien pour jouer les routeurs : newit.co.uk/shop/proddetail. … _DreamPlug
En plus, c’est un système debian donc entièrement paramétrable et évolutif. Et il a 2 ports gigabits…

J’en mets 2 comme ça, et un NAS derrière et j’ai les 3/4 de ce dont j’ai besoin.

PS : je garde ta page en favori pour l’inspiration :wink:

#9

Un petit idée à retenir : KIS => keep it simple

Un seul et même routeur peut te permettre de brancher un switch sur un port dédié à ta DMZ, et un autre switch pour ton LAN, te restera deux ports pour les gens de passage sans wifi ou pour d’autre usages.

Après je dit car certains ici en rigole encore mais j’ai laisser une console admin ouverte sur mon hyperviseur principale et mon p’tit garnement à trouver sympa de jouer avec le clavier ( historique de base des commandes DD et autres joyeusetés , résultats des courses plusieurs mois de taff dessus tout bonnement effacer ).

En gros le KIS à ce moment là m’aurait sans doute éviter de perdre aussi gros :wink:

#10

Y fait toujours des siennes ton petit ‘sauteur’ :laughing:

#11

L’idée du KIS je la connais, j’ai déjà perdu des vidéos de famille sur le même genre de bêtises…

Ce que je veux avant tout, c’est de la sécurité, que ça soit sauvegardé, et que ça soit rapide… d’ou ma réflexion…

Mais je note… Merci pour ton point de vue.

#12

Au niveau sécurité, pour moi, le mieux c’est une, deux , plus ? copies.
Je suis un minimum parano et j’ai deux DDext qui chacun a une copie (clone complet) de ma machine principale, de mon serveur et de mes partitions videos et photos.
Ces copies sont faciles à faire avec un script que l’on peut automatiser.
En 3 mn, si ma bécane fume, je peux retrouver entièrement tout mon travail et être fonctionnel, à condition d’avoir au moins un ordi qui fonctionne et qui a une prise sata :wink: .

EDIT :
Bien sûr, je ne récupérerais, dans ce cas, que ce qui a été sauvegardé. Si cette sauvegarde est journalière, il n’y a pas énormément de pertes à déplorer.

#13

C’est ce que je fais actuellement, mais photo et vidéos de famille prennent de la place… Quelle quantité backup tu ?

#14

Ben sur la partition video, sur une capacité de 175 Gio, elle est à 52 %, donc ~ 90 Gio. Mais j’ai d’autres videos sur le sftp du serveur (env. autant)

#15

Actuellement je suis sur du “différentiel/incrémental” pour les parties sensibles des VM hébergées chez moi, pour ce qui est des données je monte tout doucement ce petit monde sur du RAID6 mais d’ici peu tout migrera sur soit du BTRFS sois du ZFS en RAID1.
Pour ce qui est des VMs chez mon employeur ça tourne sur du Proxmox et tout est le tout est en “snapshot” depuis l’espace allouée sur l’hyperviseur via les outils interne et un back-up “différentiel/incrémental” chez moi de l’ensemble des près de 32Go tous les mois.

En gros j’avoisine les 400Go de back-up et une fois l’ensemble finit je devrais être près des 500 Go de sauvegarde le tout sur un RAID1 dupliqués sur une deuxième machines.

Ouhlà heureusement plus sur les serveurs, une fois mais pas deux.
j’ai dégagé tous les claviers et tous ce gère via VPN et SSH depuis une machine en locale.

Et dire que la petite sœur est programmer pour arriver d’ici la fin juin :077

#16

J’imaginais plus un NAS de quelques terras… Donc je vais devoir prévoir le 1er en Raid1 ou 5 et un second de backup en raid 0
Le tout pour audio, vidéo, docs + hots et configs

#17

Une solution que je n’ai pas vue mentionnée dans ce fil : un routeur “normal” du commerce à pas trop cher sur lequel tu peux installer OpenWRT (faut se renseigner un peu avant d’acheter, par exemple la plupart des Linksys conviennent mais à vérifier pour le modèle exact que tu choisiras). Ça réglera la question de la configuration limitée sur un routeur du commerce (OpenWRT c’est un Linux complet, accessible en SSH comme pourrait l’être le Dreamplug), tout en restant économique et en te permettant d’avoir un bidule avec au moins 4 ports ethernet que tu pourras gérer comme tu veux.
Par contre, contrairement au Dreamplug, ne t’attends pas à ce qu’il serve à autre chose que du routage : généralement les routeurs du commerce ont très peu de puissance et de mémoire donc c’est pas là dessus que tu installeras en plus un serveur mail/web… :wink: