Le Homelab réseau serveur de Lazer

[Lazer]

LazerLab

 

Ici on va parler de mon Homelab

 

Je vais décrire mon projet en cours de construction.
 

Mais d'abord, un rapide rappel de l'existant, qui tourne depuis une bonne dizaines d'années.

 

• Réseau :

Un mélange de 2 switchs Cisco en cœur de réseau (un switch de 28 ports 1Gb, et 10 ports POE), ainsi que divers petits switchs UniFi répartis dans la maison, et 3 bornes d'accès UniFi d'ancienne génération (Wi-Fi 5)

Avant cela, j'avais des petits switchs Netgear, mais que j'ai remplacé au fil du temps par les petits switchs Unifi. Deux raisons à cela : instabilité des switchs Netgear (parfois des plantages : port qui passait offline), une interface Web d'administration d'un autre temps et incompatible avec les navigateurs modernes, rendant complexe la configuration dès lors qu'il fallait propager des VLANs. Les switchs CISCO, eux, sont parfaitement stables, et l'interface d'administration est fonctionnelle (Web et CLI).

Le contrôleur UniFi a pendant très longtemps tourné dans une VM Linux Debian, mais depuis fin 2025 j'ai remplacé mon fidèle routeur Ubiquiti Edgerouter 5 POE après plus de 10 ans de bons et loyaux services (dont j'ai eu à remplacer la clé USB interne 1 fois, ce qui me rappelle la box Fibaro HC2) par un routeur UniFi Cloud Gateway Fiber, en même temps que le passage à un abonnement Bouygues B&You Pure Fibre à 8 Gbit/s. J'ai demandé la fourniture d'un ONT Nokia, ce qui me permet de me passer totalement de la BBox.

Donc le contrôleur UniFi tourne maintenant dans la Cloud Gateway Fiber pour plus de simplicité. La gestion des mises à jour est également considérablement simplifié, 1 clic sur un bouton et 5 minutes après c'est terminé. Tandis qu'avec le contrôleur en VM, j'avais parfois eu des complications n"cessitant de bidouiller un peu (base MongoDB notamment), et de mémoire j"ai eu 2 fois besoin de restaurer la VM tellement ça c'était mal passé.

L'objectif des évolutions à venir sera de basculer le réseau intégralement en UniFi, car l'administration centralisée depuis le contrôleur est vraiment simplifiée, ergonomique, et très complet (monitoring, etc)

Remarque sur le routeur : j'ai attendu très longtemps avant de remplacer mon EdgeRouter par un UniFi Cloud Gateway, car d'une part, avant le UCG Fiber, je ne trouvais aucun modèle dont les caractéristiques matérielles me convenait (prêt à faire du 10 Gb, donc durable pendant quelques années), et d'autre part l'absence de Zone Based Firewall était un point bloquant, bien que ça existait déjà 10 ans avant sur la gamme EdgeRouter.
Maintenant que la gamme UniFi évolue dans le bon sens, tant matériellement que logiciellement, j'estime que c'est le bon moment pour s'y investir à fond.

• Age des équipements :
  • Cisco SG300-28 : 10 ans
  • Cisco SG350-10MP : 8 ans
  • UniFi AP 1st gen : 11 ans
  • UniFi UAP-AC-PRO : 9 ans
  • UniFi UAP-nanoHD : 7 ans

 

 

• Informatique :

Deux micro-serveurs HP, un premier Gen7 N54L qui me sert de sauvegarde, et un second Gen8 avec un processeur Intel Xeon E3-1265L v2 qui me sert de serveur principal.
Les 2 serveurs tournent sous ESXi 5.5, une ancienne version qui était 100% supportée (drivers, etc) avec ces générations de serveurs.

Chaque serveur dispose de 16 Go de RAM, ce qui me limite actuellement pour de nouveaux besoins. Le processeur commence également à être limite lors de certaines tâches intensives.

En terme de stockage, dans le G8, qui utilise une carte RAID Smart Array P222 j'ai actuellement 4 disques durs : 12 To, 20 To, 20 To, et 24 To. Soit un total de 76 To décimaux, ce que j'appelle des To "commerciaux".
Lorsque j'achète un nouveau disque, après un test de surface pendant plusieurs jours, il remplace un disque existant qui va dans le serveur secondaire pour les sauvegarde.

Je n'ai aucune grappe RAID, ce ne sont que des disques indépendant (JBOD, même s'ils sont techniquement configurés en RAID-1 de 1 seul disque à cause du principe de fonctionnement de la carte contrôleur RAID), c'est la sauvegarde sur le 2nd serveur qui apporte la sécurité des données.

Mais outre la limitation en performance, je suis limité par le nombre de slots disques disponibles, raison pour laquelle je suis toujours obligé d'acheter la plus grosse taille de disque disponible, ce qui coute relativement cher.

De plus, le matériel est vieillissant, j'ai eu un crash d'un vieux SSD Samsung qui contenait le datastore, et l'ILO commence à donner des signes de faiblesse (l'Intelligent provisioning et le Smart Array Manager ne sont accessibles au boot, je suis donc obligé de faire la configuration RAID en ligne de commande sous ESXi)

Il est donc temps de faire évoluer ce serveur principal, vers une infrastructure plus performante, plus résiliente, et plus durable.

• Age des équipements :
  • HP G7 N54L : 12 ans
  • HP G8 : 11 ans

 

A noter, le serveur principal est dans la maison, et le serveur de secours est dans le garage, physiquement séparé de la maison, ce qui apporte une bonne protection des données contre la majorité des désastres (vol, incendie, etc)

[Lazer]

Réseau local

 

Voici le schéma de l'infrastructure que je vise à court terme :

 

 

 

 

J'ai récemment reçu les switchs USW-Aggregation et USW-Prod-HD-24-PoE.
Il me manque encore le USW-Pro-Max-24-PoE (dès que je trouve un prix correct), et le modem 5G de secours U5G-Max (quand il sera de retour en stock)

 

Jusqu'à présent, le cœur de réseau, composé des 2 switchs Cisco et du routeur UCG-Fiber, se trouvaient dans mon coffret réseau fait maison dont j'avais partagé les photos sur mon topic de bricolage :

 

Avec mes nouveaux besoins, notamment autour des serveurs dont on parlera plus tard, le cœur de réseau sera dorénavant éclaté en 2 endroits :

• toujours le coffret réseau
• et également un nouveau rack dédié situé à la cave.

Raison pour laquelle on voit 2 gros switchs de 24 ports.

 

L'objectif de tout ça est d'avoir un cœur de réseau en 10 GbIt/s (et même 20 G si on compte l'agrégation des liens, non représentée sur le schéma), et de pouvoir distribuer du 10 G entre Internet et les serveurs, et éventuellement vers les switchs dans les pièces de la maison, puisque tout le réseau est câblé en Grade 3s). Ou bien des vitesses intermédiaires de 2.5 Gb, largement suffisant pour des postes de travails.

Important, on conserve la rétrocompatibilité 100 Mbps pour les périphériques légers (box domotique, caméras IP, etc)

Et tous les ports des nouveaux switchs de coeur de réseau proposent du POE. Il y a quelques années je trouvais cela superflu, mais je me rend compte que mes besoins évoluent et que de plus en plus d'appareils sont maintenant nativement alimentés en POE (y compris les petits switchs de table), c'est tellement plus simple en terme de câblage électrique, et en plus on bénéficie de la redondance d'alimentation amené par l'onduleur (on y reviendra sur ce sujet tant il est important dans ma future infra serveur)

Dores et déjà, j'utilise tous les ports POE de mon switch Cisco, donc j'ai besoin d'évoluer.

 

C'est moins urgent, mais ultérieurement j'ajouterai des bornes Wi-Fi 7, mais ce n'est pas très urgent, je me satisfait des débits du Wi-Fi 5, car l'essentiel de mon réseau est construit autour du câblage, donc les PC et équipements critiques sont tous câblés.

Le Wi-Fi sert pour les appareils mobiles (téléphone, tablette, console, etc), pour lesquels la stabilité est plus utile que le débit.

 

Dans mon bureau, d'où je tape ces lignes sur mon PC, je manque de ports sur le petit switch US-8, il est probable que dans l'année je le remplace par un modèle plus conséquent, me permettant par la même occasion de passer en 2.5 ou 10 G.

 

Parlons du 10 Gbit/s justement.

On le voit sur le schéma, l'interconnexion entre les switchs se fait avec des câbles DAC (Direct Attach Copper), qui sont des câbles Twinax en cuivre avec un SFP soudé à chaque extrémité, et directement inséré dans un slot SFP+ disponible sur chaque switch.

• Avantage des câbles DAC : faible cout, faible consommation électrique (de l'ordre de 0.5W par connexion), faible latence
• Inconvénient : limité en distance : généralement maximum 3 mètres avec un câble DAC passif, au delà il faut un câble actif. De plus, leur forme avec SFP soudé rend le passage en gaine compliqué voire impossible.

Raison pour laquelle, sur de la distance intermédiaire, on passe en câble cuivre à 4 paires torsadées (avec le fameux connecteur RJ45), ou bien en fibre optique (avec connecteurs LC venant se brancher sur un SFP+) qui peut potentiellement aller à des distances très importantes.

Entre le coffret réseau situé dans l'entrée et ma cave située juste en dessous, j'ai moins de 3m de distance, donc pas de souci. En outre, j'avais anticipé il y a 1 an quand j'avais percé pour passer les câbles électrique de très grosse section pour l'installation onduleur + batterie solaire, en prévoyant large avec des gaines à grosse section en réserve.

Mais le problème du RJ45 en 10G, c'est que ça consomme énormément, ça chauffe.
J'ai personnellement mesuré 2 Watts par port avec un SFP+ RJ45 10G de chez Ubiquiti, mais sur les forums j'ai vu des gens qui rapportaient des consommation encore supérieure dans certains cas, notamment sur les anciennes cartes réseaux dans les serveurs.
On y reviendra justement sur les serveurs, car justement le 10G sera connecté en câbles DAC pour une meilleure efficacité énergétique, une meilleure latence, et un cout financier plus faible.

Je n'ai à ce stade pas l'intention de mettre de fibre optique chez moi.

 

[Lazer]

Accès Internet Fibre

Comme je le disais, j'ai profité en septembre 2025 pour passer en même temps sur un routeur UniFi Cloud Gateway Fiber et un abonnement Bouygues B&You Pure Fibre à 8 Gbit/s (avec Option Debit+ éligible).

J'ai demandé au chat, gratuitement, la fourniture d'un ONT Nokia XS-010X-Q, ce qui me permet de me passer totalement de la BBox, rangée dans son carton (dommage, on paye quand même l'abonnement à 3€ par mois)

Ainsi, je récupère l'IP publique directement sur l'interface réseau de mon routeur UniFi, plus pratique pour les accès VPN et Reverse Proxy (pas de double NAT), mais aussi pour la mise à jour automatique du DNS Dynamique par l'UCG-Fiber car l'IP n'est pas garantie fixe chez B&You (même si elle ne change jamais en pratique)

Par ailleurs, par rapport à mon ancienne Freebox en mode Bridge, ça coute moins cher en abonnement mensuel, ça simplifie le câblage, ça prend moins de place dans le coffret, ça consomme moins et ça chauffe moins.

Et aucun souci avec le réseau Bouygues, je n'ai eu aucune coupure, aucune baisse de débit constaté depuis 4 mois. C'est bien simple, c'est plus stable que chez Free (j'avais mis la Freebox V6 Revolution sur un Wall Plug pour forcer le reboot à cause d'un bug connu mais jamais résolu chez Free...)

Que du positif

 

Sur l'UCG Fiber, j'ai activé les protections de sécurité : Détection d'intrusion (IDS) et Prévention d'intrusion (IPS), en pratique j'ai autour de 5 Gbit/s réels lors des speedtests, même si je ne suis pas encore en mesure d'en profiter car mon réseau interne est toujours en Gigabit lorsque j'écris ces lignes.

 

Pour encore plus de simplicité de câblage, et de réduction de la consommation électrique (l'ONT Nokia consomme et chauffe beaucoup, mesuré à 9 Watts à lui tout seul, à cause du port RJ45 à 10 Gbps, c'est pas pour rien que j'en ai parlé précédemment), j'hésite à le remplacer complètement par un SFP+ à insérer directement dans le routeur UniFi.

Avantage, la fibre de l'opérateur rentre directement dans le routeur, sans aucun équipement intermédiaire.
La procédure existe et est documentée, mais pas évidente, de plus il faut acheter le SFP+ qui n'est pas donné.

Je donne quelques informations ici pour le référencement, peut être que j’approfondirai ce sujet ultérieurement.

Il faut utiliser l'un de ces modules SFP+ XGS-PON :

• WAS-110
• X-ONU-SFPP

Quelques liens utiles :

• Masquerade as the Bouygues S.A Bbox with the WAS-110 or X-ONU-SFPP¶
• [Forum lafibre.info] Remplacer sa Bbox Fibre par un équipement personnel

 

Accès Internet 5G de secours

 

Comme je l'ai mentionné précédemment, je souhaite ajouter un accès 5G de secours.
C'est quelque chose que j'avais déjà eu par le passé, lorsque j'avais la fibre Orange avec une SIM 4G prêtée. J'avais alors acheté un routeur Huawei et c'est mon ancien routeur Ubiquiti EdgeRouter qui gérait le failover.
J'avais arrêté lors du passage chez Free car ils ne proposent pas de SIM gratuitement.

 

Maintenant UniFi propose une solution tout intégrée avec le modem UniFi 5G Max qui a en plus le bon goût d'être dual SIM si jamais on veut ceinture bretelle et parachute.

Il est alimenté en POE, et peut donc être connecté directement sur l'un des ports 2.5G POE de l'UCG-Fiber, on peut difficilement faire plus simple !

J'attends qu'il soit de retour en stock pour m'en prendre un.

 

Mais, le problème avec les accès 5G grand public, c'est que l'adresse IP n'est pas publique, rendant l'accès aux services hébergés à la maison inaccessibles depuis Internet lorsque la connexion bascule sur la 5G.

Les opérateurs pratiquent le Carrier-grade NAT.

 

La solution aujourd'hui est de se tourner vers des services comme par exemple Cloudflare.

Il existe une offre gratuite pour les particuliers parfaitement adaptée à cet usage.

Il y a un semble de service, mais j'y vois 2 avantages principaux qui me concernent :

• Rend les services hébergés à domiciles accessibles quelque soit l'adresse IP publique, en cas de changement d'adresse IP publique liés à l'opérateur Fibre, ou bien bascule sur la 5G en IP privée
• Apporte de la sécurité :
  • filtrage des requêtes effectué par Cloudflare contre les attaques connues
  • protège contre les attaques par déni de service (DDoS)
  • masque notre adresse IP publique qui devient inaccessible par scan, sans connaitre le nom de domaine
  • idéalement on peut carrément fermer tous les ports de notre routeur et devenir totalement invisible à tout scan.

Inconvénient toutefois, on dépend d'un tiers, dont il faut avoir confiance tant pour la disponibilité (les pannes en 2025 ont fait pas mal de bruit), que pour la sécurité.
En effet, pour que l'accès devienne possible depuis l'extérieur sans devoir ouvrir de port, il faut installer un service en local, dans un container, qui initie un tunnel chiffré sortant depuis notre réseau vers le réseau de Cloudflare. Ce tunnel devient alors la seule porte d'entrée vers notre réseau interne.
Pour conserver un bon niveau de sécurité, au moins équivalent à mon niveau actuel, voire meilleur, je vais conserver ma DMZ (VLAN isolé), et je mettrait le point d'entrée du tunnel dans cette DMZ.

Ainsi, toute connexion arrivant par le tunnel Cloudflare, continuera de passer par les firewalls (celui du routeur, et celui présent que chaque VM de la DMZ), et les 2 reverse proxy (un normal, et un avec filtrage applicatif WAF)

 

A ce sujet, voici un schéma d’architecture, un peu ancien, de mon infra réseau, mais dans les grandes lignes ça n'a pas trop changé :

 

 

On voit les flux https et OpenVPN qui rentrent dans la DMZ sur les Reverse Proxy, y sont filtrés, et si autorisés, peuvent aller vers les serveurs Web eux-mêmes également en DMZ, ou bien rentrer dans le LAN pour les services perso internes (box domotique, etc).

Actuellement la redondance est assurée par une adresse IP virtuelle (protocole VRRP) entre les VM identiques qui tournent sur chaque serveur HP G7 et G8, mais ma nouvelle infrastructure serveur en haute-disponibilité sera l'occasion de faire évoluer cela. On y reviendra.

 

Au final, j'estime qu'entre la connexion Fibre et la connexion 5G de secours, le passage par les services de Cloudflare, et la fermeture des ports sur mon routeur, j'obtiendrai une infrastructure qui sera à la fois plus résiliente, mais aussi plus sécurisée.

 

 

Accès VPN à domicile

 

J'utilise principalement OpenVPN, bien que ça ne soit pas la solution la plus performante du moment (c'est WireGuard qui est à la mode), elle présente l'immense avantage de pouvoir fonctionner sur le port 443, le même que les serveurs Web HTTPS.

Sur mon serveur, j'ai un démon SSLH qui écoute sur ce port 443, et selon s'il détecte une connexion OpenVPN ou bien HTTPS, il redirige les paquets vers les démons OpenVPN ou HAProxy qui écoutent en local sur leurs ports respectifs.
La finalité d'utiliser le port 443, c'est de pouvoir passer au travers la majorité des proxy filtrants en entreprise. En effet, certaines entreprises bloquent les ports autres que 443, ce qui empêche toute connexion VPN. Étant mobile dans le cadre de mes activités professionnelles, c'était un problème important pour moi.

 

 

Passerelle SMS

 

Cette passerelle SMS est utilisée par la domotique pour les notifications critiques.

Cela fonctionne toujours avec un vieux smartphone Android, l'application JPI, et un abonnement Free Mobile à 0/2€ par mois.

Je ferai des tests quand j'aurai le modem UniFi 5G, mais si je peux envoyer des SMS avec celui-ci, alors je pourrai arrêter la passerelle SMS actuelle.

[jojo]

très  instructif tout ça ...

perso je suis FAN du PoE+ : mes AP, cameras, Doorbird.

Maintenant je commence à utiliser les ports PoE++ : J'ai  2 mini switch unifi qui sont alimentés en PoE++ et peuvent du coup à leur tout alimenter des appareils en PoE+.

[henri-allauch]

Je lis, je trouve cette présentation très instructive, mais je suis un peu largué ... on est très loin des installations des années 2000 sans parler des réseaux que nous installions et maintenons en 1970  avec les protocoles des communications de l'époque  

Merci de partager cette présentation de ton LazerLab

 

 

Modifié il y a 13 heures par henri-allauch

[Lazer]

@jojo J'ai pas précisé, mais les 2 switchs de 24 ports que j'ai sélectionné sont compatibles POE++. Je n'en ai pas l'utilité pour l'instant, mais ça sera surement utile plus tard.

Après, j'ai vu qu'il commençait même à exister du POE+++. C'est sans fin, comme l'USB-C, toujours des puissances plus importantes

 

@henri-allauch Oui c'est sûr on n'est pas du réseau classique chez un particulier là

J'aime bien l'idée du nom pour le LazerLab

 

[fredokl]

Wow! C'est du costaud tout ça! Vu le budget que ça doit représenter, c'est sur que ça nous vends du rêve.

[jojo]

il y a 43 minutes, Lazer a dit :

qu'il commençait même à exister du POE+++

et c'est quoi le POE+++ ?

[jojo]

il y a 58 minutes, Lazer a dit :

J'aime bien l'idée du nom pour le LazerLab

donc tu changes le nom du sujet du topic ?

[Lazer]

Apparemment ce serait un truc propre à Ubiquiti qui n'est pas (encore ?) normalisé :
PoE+++ = 802.3bt Type 4 (90 watts max)

[jojo]

on va teindre les limites des section des câbles réseaux ...

[Lazer]

Oui effectivement c'est un problème, c'est pour ça qu'à partir du POE++ (norme 802.3bt), le courant circule sur les 4 paires au lieu de seulement 2 pour les POE et POE+.

 

La page Wikipedia en parle :

Citation

Le standard IEEE P802.3bt, également dénommé 4PPoE (4-Pair Power over Ethernet), ou encore PoE++ par extension de appellation PoE+ du standard IEEE 802.3at, introduit deux niveaux supplémentaires de puissance maximale fournie par le switch, type 3 avec 55 W (avec une intensité maximale par paire de 600 mA) et type 4 avec 90 ou 100 W (avec une intensité maximale par paire de 960 mA) répartie sur les quatre paires du câble Ethernet.

 

Compte-tenu des pertes dans le câble par effet Joule, la puissance réellement disponible sur l'équipement alimenté est de 71,3 W en type 4 pour une puissance fournie en amont du câble de 100 W[6]. Soit des pertes dans le câble de 28,7 W, soit un rendement de 71,3 % dans ces conditions. 

 

[Lazer]

il y a 23 minutes, jojo a dit :

donc tu changes le nom du sujet du topic ?

Je ne renomme pas le topic pour l'instant, mais @henri-allauch je te pique l'idée, je l'ai mis en titre

 

Sinon, juste comme ça, si vous n'aviez jamais remarqué, prenez l'anacyclique de mon pseudo, et vous verrez que c'est le singulier du sujet dont il est question sur le topic (indice : un chacal, des chacaux... ah non.... bon enfin vous avez l'idée).

Par ailleurs, le laser (avec un s) permet d'éclairer les fibres optiques, colonne vertébrale indispensable des réseaux mondiaux.

Et là, vous devriez comprendre mon avatar, même s'il est un peu désuet car dessiné il y a bien longtemps.

[mprinfo]

Pas mal comme lazerlab

 

comme toi j'etais partie sur du cisco SG-350 au début puis je suis passé sur du UNIFI car plus simple a utilisé pour quelqu'un qui ne connais pas grand chose en réseau

 

A l'époque l'USG-Fiber n'existait pas j'ai donc choisi un UDM Pro SE

 

Comme toi je voulais absolument me passer d'un box internet j'ai donc opté pour un SFP Modifier je suis en 1g dans les 2 sens. Impossible d'avoir plus car le port SFP de l'udm ne supporte que le 1G ou 10G

 

on voit bien le cable blanc avec la prise bleu qui part du PTO vers mon UDM

j'ai récupéré le port WAN RJ45 qui est en 2.5g pour connecter mon pc dessus seul device supportant le 2.5g chez moi

 

Voila ce que cela donne sur mon udm

 

Aprés je ne vois pas trop l'interet du 10G chez un particulier a part relier les switchs entre eux

le 1g et pour moi je pense largement suffisant voir le 2.5go suffit largement

et je pense que dans 10ans cela sera encore valable

plus on prend des switchs puissant plus la consommation explose et c'est du h24 et 7/7

 

[Lazer]

Clairement le 1G est déjà plus que largement suffisant pour 99,999% des usages particuliers.
Déjà quand tu vois le nombre de gens qui ont des abonnements fibre à 1G (voire 8G) et qui n'ont pas un seul équipement branché en Ethernet, tout en Wi-Fi donc débit complètement bridé.... et ça suffit largement.

Pour rappel, le débit de certains Blu-rays 4K peut monter au max à 100 Mbit/s, tandis que du streaming en 4K sur Netflix on est plutôt autour des 15 Mbit/s. Idem sur les autres plateformes.

Alors avoir une connexion fibre à 1000 Mbit/s ou 8000 Mbit/s, c'est clair que c'est totalement surdimensionné, avec comme tu dis une consommation électrique en hausse.

8000 / 15 = les gens ont un accès 500 fois trop rapide pour leurs besoins