Aller au contenu

Le Homelab réseau serveur de Lazer

Lazer

Par Lazer
dans Matériels Réseaux

 Partager

Messages recommandés

Lazer Mentor

Lazer

Posté(e)
Posté(e)

Ici on va parler de mon Homelab :)

 

Je vais décrire mon projet en cours de construction.
 

Mais d'abord, un rapide rappel de l'existant, qui tourne depuis une bonne dizaines d'années.

 

  • Réseau :

Un mélange de 2 switchs Cisco en cœur de réseau (un switch de 28 ports 1Gb, et 10 ports POE), ainsi que divers petits switchs UniFi répartis dans la maison, et 3 bornes d'accès UniFi d'ancienne génération (Wi-Fi 5)

Avant cela, j'avais des petits switchs Netgear, mais que j'ai remplacé au fil du temps par les petits switchs Unifi. Deux raisons à cela : instabilité des switchs Netgear (parfois des plantages : port qui passait offline), une interface Web d'administration d'un autre temps et incompatible avec les navigateurs modernes, rendant complexe la configuration dès lors qu'il fallait propager des VLANs. Les switchs CISCO, eux, sont parfaitement stables, et l'interface d'administration est fonctionnelle (Web et CLI).

Le contrôleur UniFi a pendant très longtemps tourné dans une VM Linux Debian, mais depuis fin 2025 j'ai remplacé mon fidèle routeur Ubiquiti Edgerouter 5 POE après plus de 10 ans de bons et loyaux services (dont j'ai eu à remplacer la clé USB interne 1 fois, ce qui me rappelle la box Fibaro HC2) par un routeur UniFi Cloud Gateway Fiber, en même temps que le passage à un abonnement Bouygues B&You Pure Fibre à 8 Gbit/s. J'ai demandé la fourniture d'un ONT Nokia, ce qui me permet de me passer totalement de la BBox.

Donc le contrôleur UniFi tourne maintenant dans la Cloud Gateway Fiber pour plus de simplicité. La gestion des mises à jour est également considérablement simplifié, 1 clic sur un bouton et 5 minutes après c'est terminé. Tandis qu'avec le contrôleur en VM, j'avais parfois eu des complications n"cessitant de bidouiller un peu (base MongoDB notamment), et de mémoire j"ai eu 2 fois besoin de restaurer la VM tellement ça c'était mal passé.

L'objectif des évolutions à venir sera de basculer le réseau intégralement en UniFi, car l'administration centralisée depuis le contrôleur est vraiment simplifiée, ergonomique, et très complet (monitoring, etc)

Remarque sur le routeur : j'ai attendu très longtemps avant de remplacer mon EdgeRouter par un UniFi Cloud Gateway, car d'une part, avant le UCG Fiber, je ne trouvais aucun modèle dont les caractéristiques matérielles me convenait (prêt à faire du 10 Gb, donc durable pendant quelques années), et d'autre part l'absence de Zone Based Firewall était un point bloquant, bien que ça existait déjà 10 ans avant sur la gamme EdgeRouter.
Maintenant que la gamme UniFi évolue dans le bon sens, tant matériellement que logiciellement, j'estime que c'est le bon moment pour s'y investir à fond.

  • Age des équipements :
    • Cisco SG300-28 : 10 ans
    • Cisco SG350-10MP : 8 ans
    • UniFi AP 1st gen : 11 ans
    • UniFi UAP-AC-PRO : 9 ans
    • UniFi UAP-nanoHD : 7 ans

 

https://m.media-amazon.com/images/I/71nG7TbhpaL._AC_SL1500_.jpghttps://m.media-amazon.com/images/I/71R9vvXCtNL._AC_SL1500_.jpg

 

  • Informatique :

Deux micro-serveurs HP, un premier Gen7 N54L qui me sert de sauvegarde, et un second Gen8 avec un processeur Intel Xeon E3-1265L v2 qui me sert de serveur principal.
Les 2 serveurs tournent sous ESXi 5.5, une ancienne version qui était 100% supportée (drivers, etc) avec ces générations de serveurs.

Chaque serveur dispose de 16 Go de RAM, ce qui me limite actuellement pour de nouveaux besoins. Le processeur commence également à être limite lors de certaines tâches intensives.

En terme de stockage, dans le G8, qui utilise une carte RAID Smart Array P222 j'ai actuellement 4 disques durs : 12 To, 20 To, 20 To, et 24 To. Soit un total de 76 To décimaux, ce que j'appelle des To "commerciaux".
Lorsque j'achète un nouveau disque, après un test de surface pendant plusieurs jours, il remplace un disque existant qui va dans le serveur secondaire pour les sauvegarde.

Je n'ai aucune grappe RAID, ce ne sont que des disques indépendant (JBOD, même s'ils sont techniquement configurés en RAID-1 de 1 seul disque à cause du principe de fonctionnement de la carte contrôleur RAID), c'est la sauvegarde sur le 2nd serveur qui apporte la sécurité des données.

Mais outre la limitation en performance, je suis limité par le nombre de slots disques disponibles, raison pour laquelle je suis toujours obligé d'acheter la plus grosse taille de disque disponible, ce qui coute relativement cher.

De plus, le matériel est vieillissant, j'ai eu un crash d'un vieux SSD Samsung qui contenait le datastore, et l'ILO commence à donner des signes de faiblesse (l'Intelligent provisioning et le Smart Array Manager ne sont accessibles au boot, je suis donc obligé de faire la configuration RAID en ligne de commande sous ESXi)

Il est donc temps de faire évoluer ce serveur principal, vers une infrastructure plus performante, plus résiliente, et plus durable.

  • Age des équipements :
    • HP G7 N54L : 12 ans
    • HP G8 : 11 ans

https://live.staticflickr.com/8456/8057286404_8194e2aae0.jpghttps://static.cachem.fr/uploads/2016/02/c037601241.webp

 

A noter, le serveur principal est dans la maison, et le serveur de secours est dans le garage, physiquement séparé de la maison, ce qui apporte une bonne protection des données contre la majorité des désastres (vol, incendie, etc)

  • Like 1
Lazer Mentor

Lazer

Posté(e)
  • Auteur
Posté(e)

Réseau local

 

Voici le schéma de l'infrastructure que je vise à court terme :

 

Schmarseauv3.0-Equipementsrseau-2026-01-11.thumb.png.8401ed04c1694647cee3949cb5b24443.png

 

 

 

J'ai récemment reçu les switchs USW-Aggregation et USW-Prod-HD-24-PoE.
Il me manque encore le USW-Pro-Max-24-PoE (dès que je trouve un prix correct), et le modem 5G de secours U5G-Max (quand il sera de retour en stock)

 

Jusqu'à présent, le cœur de réseau, composé des 2 switchs Cisco et du routeur UCG-Fiber, se trouvaient dans mon coffret réseau fait maison dont j'avais partagé les photos sur mon topic de bricolage :

gallery_133_129_4371.jpg

 

Avec mes nouveaux besoins, notamment autour des serveurs dont on parlera plus tard, le cœur de réseau sera dorénavant éclaté en 2 endroits :

  • toujours le coffret réseau
  • et également un nouveau rack dédié situé à la cave.

Raison pour laquelle on voit 2 gros switchs de 24 ports.

 

L'objectif de tout ça est d'avoir un cœur de réseau en 10 GbIt/s (et même 20 G si on compte l'agrégation des liens, non représentée sur le schéma), et de pouvoir distribuer du 10 G entre Internet et les serveurs, et éventuellement vers les switchs dans les pièces de la maison, puisque tout le réseau est câblé en Grade 3s). Ou bien des vitesses intermédiaires de 2.5 Gb, largement suffisant pour des postes de travails.

Important, on conserve la rétrocompatibilité 100 Mbps pour les périphériques légers (box domotique, caméras IP, etc)

Et tous les ports des nouveaux switchs de coeur de réseau proposent du POE. Il y a quelques années je trouvais cela superflu, mais je me rend compte que mes besoins évoluent et que de plus en plus d'appareils sont maintenant nativement alimentés en POE (y compris les petits switchs de table), c'est tellement plus simple en terme de câblage électrique, et en plus on bénéficie de la redondance d'alimentation amené par l'onduleur (on y reviendra sur ce sujet tant il est important dans ma future infra serveur)

Dores et déjà, j'utilise tous les ports POE de mon switch Cisco, donc j'ai besoin d'évoluer.

 

C'est moins urgent, mais ultérieurement j'ajouterai des bornes Wi-Fi 7, mais ce n'est pas très urgent, je me satisfait des débits du Wi-Fi 5, car l'essentiel de mon réseau est construit autour du câblage, donc les PC et équipements critiques sont tous câblés.

Le Wi-Fi sert pour les appareils mobiles (téléphone, tablette, console, etc), pour lesquels la stabilité est plus utile que le débit.

 

Dans mon bureau, d'où je tape ces lignes sur mon PC, je manque de ports sur le petit switch US-8, il est probable que dans l'année je le remplace par un modèle plus conséquent, me permettant par la même occasion de passer en 2.5 ou 10 G.

 

Parlons du 10 Gbit/s justement.

On le voit sur le schéma, l'interconnexion entre les switchs se fait avec des câbles DAC (Direct Attach Copper), qui sont des câbles Twinax en cuivre avec un SFP soudé à chaque extrémité, et directement inséré dans un slot SFP+ disponible sur chaque switch.

  • Avantage des câbles DAC : faible cout, faible consommation électrique (de l'ordre de 0.5W par connexion), faible latence
  • Inconvénient : limité en distance : généralement maximum 3 mètres avec un câble DAC passif, au delà il faut un câble actif. De plus, leur forme avec SFP soudé rend le passage en gaine compliqué voire impossible.

Raison pour laquelle, sur de la distance intermédiaire, on passe en câble cuivre à 4 paires torsadées (avec le fameux connecteur RJ45), ou bien en fibre optique (avec connecteurs LC venant se brancher sur un SFP+) qui peut potentiellement aller à des distances très importantes.

Entre le coffret réseau situé dans l'entrée et ma cave située juste en dessous, j'ai moins de 3m de distance, donc pas de souci. En outre, j'avais anticipé il y a 1 an quand j'avais percé pour passer les câbles électrique de très grosse section pour l'installation onduleur + batterie solaire, en prévoyant large avec des gaines à grosse section en réserve.

Mais le problème du RJ45 en 10G, c'est que ça consomme énormément, ça chauffe.
J'ai personnellement mesuré 2 Watts par port avec un SFP+ RJ45 10G de chez Ubiquiti, mais sur les forums j'ai vu des gens qui rapportaient des consommation encore supérieure dans certains cas, notamment sur les anciennes cartes réseaux dans les serveurs.
On y reviendra justement sur les serveurs, car justement le 10G sera connecté en câbles DAC pour une meilleure efficacité énergétique, une meilleure latence, et un cout financier plus faible.

Je n'ai à ce stade pas l'intention de mettre de fibre optique chez moi.

 

  • Like 1
Lazer Mentor

Lazer

Posté(e)
  • Auteur
Posté(e)

Accès Internet Fibre

Comme je le disais, j'ai profité en septembre 2025 pour passer en même temps sur un routeur UniFi Cloud Gateway Fiber et un abonnement Bouygues B&You Pure Fibre à 8 Gbit/s (avec Option Debit+ éligible).

J'ai demandé au chat, gratuitement, la fourniture d'un ONT Nokia XS-010X-Q, ce qui me permet de me passer totalement de la BBox, rangée dans son carton (dommage, on paye quand même l'abonnement à 3€ par mois)

Ainsi, je récupère l'IP publique directement sur l'interface réseau de mon routeur UniFi, plus pratique pour les accès VPN et Reverse Proxy (pas de double NAT), mais aussi pour la mise à jour automatique du DNS Dynamique par l'UCG-Fiber car l'IP n'est pas garantie fixe chez B&You (même si elle ne change jamais en pratique)

Par ailleurs, par rapport à mon ancienne Freebox en mode Bridge, ça coute moins cher en abonnement mensuel, ça simplifie le câblage, ça prend moins de place dans le coffret, ça consomme moins et ça chauffe moins.

Et aucun souci avec le réseau Bouygues, je n'ai eu aucune coupure, aucune baisse de débit constaté depuis 4 mois. C'est bien simple, c'est plus stable que chez Free (j'avais mis la Freebox V6 Revolution sur un Wall Plug pour forcer le reboot à cause d'un bug connu mais jamais résolu chez Free...)

Que du positif :)

 

Sur l'UCG Fiber, j'ai activé les protections de sécurité : Détection d'intrusion (IDS) et Prévention d'intrusion (IPS), en pratique j'ai autour de 5 Gbit/s réels lors des speedtests, même si je ne suis pas encore en mesure d'en profiter car mon réseau interne est toujours en Gigabit lorsque j'écris ces lignes.

 

Pour encore plus de simplicité de câblage, et de réduction de la consommation électrique (l'ONT Nokia consomme et chauffe beaucoup, mesuré à 9 Watts à lui tout seul, à cause du port RJ45 à 10 Gbps, c'est pas pour rien que j'en ai parlé précédemment), j'hésite à le remplacer complètement par un SFP+ à insérer directement dans le routeur UniFi.

Avantage, la fibre de l'opérateur rentre directement dans le routeur, sans aucun équipement intermédiaire.
La procédure existe et est documentée, mais pas évidente, de plus il faut acheter le SFP+ qui n'est pas donné.

Je donne quelques informations ici pour le référencement, peut être que j’approfondirai ce sujet ultérieurement.

Il faut utiliser l'un de ces modules SFP+ XGS-PON :

Quelques liens utiles :

 

Accès Internet 5G de secours

 

Comme je l'ai mentionné précédemment, je souhaite ajouter un accès 5G de secours.
C'est quelque chose que j'avais déjà eu par le passé, lorsque j'avais la fibre Orange avec une SIM 4G prêtée. J'avais alors acheté un routeur Huawei et c'est mon ancien routeur Ubiquiti EdgeRouter qui gérait le failover.
J'avais arrêté lors du passage chez Free car ils ne proposent pas de SIM gratuitement.

 

Maintenant UniFi propose une solution tout intégrée avec le modem UniFi 5G Max qui a en plus le bon goût d'être dual SIM si jamais on veut ceinture bretelle et parachute.

Il est alimenté en POE, et peut donc être connecté directement sur l'un des ports 2.5G POE de l'UCG-Fiber, on peut difficilement faire plus simple !

J'attends qu'il soit de retour en stock pour m'en prendre un.

 

Mais, le problème avec les accès 5G grand public, c'est que l'adresse IP n'est pas publique, rendant l'accès aux services hébergés à la maison inaccessibles depuis Internet lorsque la connexion bascule sur la 5G.

Les opérateurs pratiquent le Carrier-grade NAT.

 

La solution aujourd'hui est de se tourner vers des services comme par exemple Cloudflare.

Il existe une offre gratuite pour les particuliers parfaitement adaptée à cet usage.

Il y a un semble de service, mais j'y vois 2 avantages principaux qui me concernent :

  • Rend les services hébergés à domiciles accessibles quelque soit l'adresse IP publique, en cas de changement d'adresse IP publique liés à l'opérateur Fibre, ou bien bascule sur la 5G en IP privée
  • Apporte de la sécurité :
    • filtrage des requêtes effectué par Cloudflare contre les attaques connues
    • protège contre les attaques par déni de service (DDoS)
    • masque notre adresse IP publique qui devient inaccessible par scan, sans connaitre le nom de domaine
    • idéalement on peut carrément fermer tous les ports de notre routeur et devenir totalement invisible à tout scan.

Inconvénient toutefois, on dépend d'un tiers, dont il faut avoir confiance tant pour la disponibilité (les pannes en 2025 ont fait pas mal de bruit), que pour la sécurité.
En effet, pour que l'accès devienne possible depuis l'extérieur sans devoir ouvrir de port, il faut installer un service en local, dans un container, qui initie un tunnel chiffré sortant depuis notre réseau vers le réseau de Cloudflare. Ce tunnel devient alors la seule porte d'entrée vers notre réseau interne.
Pour conserver un bon niveau de sécurité, au moins équivalent à mon niveau actuel, voire meilleur, je vais conserver ma DMZ (VLAN isolé), et je mettrait le point d'entrée du tunnel dans cette DMZ.

Ainsi, toute connexion arrivant par le tunnel Cloudflare, continuera de passer par les firewalls (celui du routeur, et celui présent que chaque VM de la DMZ), et les 2 reverse proxy (un normal, et un avec filtrage applicatif WAF)

 

A ce sujet, voici un schéma d’architecture, un peu ancien, de mon infra réseau, mais dans les grandes lignes ça n'a pas trop changé :

 

Schmarseauv2.1-VLANs.thumb.png.5eb194c7d4ab09ae71bf94778f5ad7c7.png

 

On voit les flux https et OpenVPN qui rentrent dans la DMZ sur les Reverse Proxy, y sont filtrés, et si autorisés, peuvent aller vers les serveurs Web eux-mêmes également en DMZ, ou bien rentrer dans le LAN pour les services perso internes (box domotique, etc).

Actuellement la redondance est assurée par une adresse IP virtuelle (protocole VRRP) entre les VM identiques qui tournent sur chaque serveur HP G7 et G8, mais ma nouvelle infrastructure serveur en haute-disponibilité sera l'occasion de faire évoluer cela. On y reviendra.

 

Au final, j'estime qu'entre la connexion Fibre et la connexion 5G de secours, le passage par les services de Cloudflare, et la fermeture des ports sur mon routeur, j'obtiendrai une infrastructure qui sera à la fois plus résiliente, mais aussi plus sécurisée.

 

 

Accès VPN à domicile

 

J'utilise principalement OpenVPN, bien que ça ne soit pas la solution la plus performante du moment (c'est WireGuard qui est à la mode), elle présente l'immense avantage de pouvoir fonctionner sur le port 443, le même que les serveurs Web HTTPS.

Sur mon serveur, j'ai un démon SSLH qui écoute sur ce port 443, et selon s'il détecte une connexion OpenVPN ou bien HTTPS, il redirige les paquets vers les démons OpenVPN ou HAProxy qui écoutent en local sur leurs ports respectifs.
La finalité d'utiliser le port 443, c'est de pouvoir passer au travers la majorité des proxy filtrants en entreprise. En effet, certaines entreprises bloquent les ports autres que 443, ce qui empêche toute connexion VPN. Étant mobile dans le cadre de mes activités professionnelles, c'était un problème important pour moi.

 

 

Passerelle SMS

 

Cette passerelle SMS est utilisée par la domotique pour les notifications critiques.

Cela fonctionne toujours avec un vieux smartphone Android, l'application JPI, et un abonnement Free Mobile à 0/2€ par mois.

Je ferai des tests quand j'aurai le modem UniFi 5G, mais si je peux envoyer des SMS avec celui-ci, alors je pourrai arrêter la passerelle SMS actuelle.

  • Like 1
 Partager
Aller sur la liste des sujets
×
×
  • Créer...