Bonjour

Cet article est venu plus vite que prévu, étant donné que les limites de la licence de mon Firewall UTM Sophos ont été atteinte début avril.

Après plusieurs tests, de différentes solutions c’est la solution OPNsense qui a été retenue, pour remplacer la solution actuelle au cœur de mon réseau.

Cette migration est dans les cartons, mais lors d’un week-end avec un peu de monde à la maison et donc des équipements en wifi en plus sur le réseau, j’ai reçu une alerte de mon firewall Sophos me disant que j’avais atteinte 48 IPs gérés sur 50 maximum. Après validation du support Sophos, il n’y a pas de moyen de réinitialiser la liste des IPs sous licence avec le baux de 7 jours glissants.

Ce point a fait accélérer le remplacement, car je ne pouvais plus garder cette épée de Damoclès sur mon réseau.

La migration a été réalisée sur un week-end en utilisant la même machine (lien ici et ici) que le serveur Sophos en remplaçant juste le disque dur par un nouveau permettant un retour arrière simple rapide et complet en cas de migration partielle en fin du week-end.

Je ne vais pas détailler l’installation en elle-même j’ai tout simplement suivi la documentation officielle disponible sur le site officiel du projet OPNsense.

Par contre je vais essayer de lister les différentes fonctionnalités utilisées sur cette nouvelle solution après un mois de migration, mais avant tout voici un petit rappel sur les connectivités de ce firewall :

  • Une zone LAN, hébergeant les périphérique filaires de mon réseau (ordinateurs, imprimantes, tv etc)
  • Une zone DMZ hébergeant les services accessible aussi bien depuis la zone LAN mais surtout depuis l’extérieur (NAS / Proxmox, etc…)
  • Une zone WLAN, donnant accès à tous les périphérique wifi via une solution de point d’accès Ubiquiti diffusant deux SSID différents dont un tagué Guest.
  • Une zone WAN1 reliée au réseau K-Net Fibre
  • Une zone WAN2 reliée au réseaux Orange en ASDL

Ces deux dernières zones gèrent le multi wan en actif / backup.

Quelles sont les différentes fonctions que j’utilise et que j’ai reprise lors de la re configuration de ce nouvelle machine :

  • La gestion du multi WAN (Fibre & ADSL pour ma part)
  • Le routage
  • Les règles de filtrage entre les différentes zones
  • Le NAT très peu au final car tout passe par le réseau OpenVPN pour l’accès aux données internes depuis l’extérieur. Au final le nat ne sert que d’accès de secours en cas de soucis.
  • Les serveurs DHCP
    • Un pour la zone LAN
    • Un pour la zone WLAN Guest, pour la zone WLAN traditionnelle c’est par filtrage MAC que l’attribution des IPs se fait
  • Le service de DNS Dynamique via OVH DynHOST
  • Les services comme SNMP / Smart / NTP / WOL sont bien sûr activés et utilisés
  • La sauvegarde automatique vers Google Drive (un peu compliqué à mettre en place mais on n’y touche plus après et pour moi une sauvegarde automatique externe est indispensable, le tout bien évidemment chiffré)

De plus par rapport à mon ancien Firewalll UTM Sophos, j’utilise la fonctionnalité de client OpenVPN pour connecter mon réseau domestique à mes hébergeurs externes comme OVH et Aruba Cloud.

Cette fonctionnalité était remplie jusqu’à présent par un machine virtuelle en zone DMZ en attendant mieux, celle ci est devenu inutile à ce jour.

De plus j’ai aussi activé la fonction de Netflow interne pour avoir une vision plus fine des flux transitant par ce firewall.

Après un mois d’utilisation et configuration, je confirme l’efficacité du produit OPNsense, en tout cas il comble à ce jour tous les points de mon cahier de charge.

Il reste encore quelques paramétrages et affinages à faire, mais je suis satisfait du changement et de mon choix.

Bonne lecture

Bonjour à tous

Ce petit article pour faire un point sur mes hyperviseur Proxmox depuis le déménagement d’octobre 2017.

Depuis 2013, je virtualise uniquement via Proxmox chez moi, sur un cluster de deux serveurs HP NL54 Microserver avec chacun 6 go de ram, ce qui me suffisait pour mes besoins et me permettait de pouvoir répartir mes VM en fonction de la charge sur l’un ou l’autre serveur.

Durant mon activité professionnel, j’ai pu récupérer deux nouveaux serveurs pour remplacer mes deux petits cubes qui auront fait leur temps en tant qu’hyperviseur, il est certain qu’ils auront une autre utilité dans les mois à venir (potentiellement un serveur NVR Ubiquiti)

Les nouveaux serveurs sont deux serveurs IBM x3650 M3 rackable et ne prenant qu’un seul U chacun dans la baie informatique, niveau configuration on est aussi largement mieux qu’avant :

  • CPU : 2 x  Intel(R) Xeon(R) CPU L5630 @ 2.13GHz
  • RAM : 80 Go
  • Disque
    • Un premier raid 1 avec deux disque de 68 Go en 10000 tours pour le système
    • Un second raid 5 avec 6 disques de 146 Go soit 680 Go en 10000 tours pour les machines virtuelles
  • Alimentation : 2 alimentations sur deux PDU connecté à deux groupes différents sur l’onduleur
  • Réseau : 4 interfaces gigabits

Les deux serveurs sont rackés mais uniquement le premier est allumé et héberge les machines virtuelles, le second est en backup (mais celui-ci est allumé automatique et mis à jour régulièrement pour qu’en cas de besoin il soit tout de suite opérationnel)

A ce niveau j’ai décidé de ne pas les mettre en cluster car la fonction principale de HA inter nodes est compensé par le fait que les snapshots des machines virtuelles sont disponible sur le QNAP pour les deux serveurs au besoin et que la restauration est rapide.

La migration en elle-même fût super rapide :

  • Sauvegardes des machines virtuelles des deux serveurs HP sur le QNAP
  • Arrêt des deux anciens serveurs (lors du déménagement)
  • Installation du nouveau serveur
    • Proxmox
    • Supervision
    • Automatisation via Ansible
    • Configuration du QNAP en NFS sur ce nouveau serveur pour disposer d’un espace de stockage supplémentaire ainsi que de sauvegarde
  • Restauration des machines virtuelles et démarrage de celles-ci
  • Mise en place des sauvegardes automatiques vers le QNAP

Actuellement je fais tourner sans soucis 11 machines virtuelles Debian avec une consommation des ressources plus que raisonnable :

 

A date de ce jour cette nouvelle machine remplie toutes les fonctions nécessaires à la virtualisation des mes serveurs.

Bonne lecture à tous

flashcode-thorandco.fr

Bonjour à tous

Pour faire suite au post d’avant, celui a pour but de faire l’état des lieux sur mon infrastructure dite étendue.

En plus de tout ce qui est hébergé à mon domicilie, le reste de mon infra est héberger dans sa majorité chez OVH.

  • Un serveur dédié KS2 sous Proxmox pour les petites choses que je veux hors de chez moi ou en redondance
  • Un second serveurdédié  KS2 mais non utilisé en ce moment (servait de sauvegarde distante jusqu’à peu)
  • Un VPS SSD 1 qui à lui pas mal de fonctions vitales pour le bon fonctionnement
    • HAProxy  over SSL
    • Frontal SSH
    • Serveur OpenVPN

Mais depuis peu je me suis intéressé à l’offre Cloud d’Aruba Cloud à 1€ HT qui est cohérente par rapport à ce qu’il propose pour ce tarif. Actuellement j’ai un VPS pour test chez eux, et si c’est concluant, pourquoi pas utiliser cette solution pour des tests dans un premier temps.

A venir courant de l’année dès que j’ai un peu de temps et testé deux trois solutions techniques :

  • Un second VPS chez OVH pour doubler les fonctionnalités déjà présentes sur le premier et pouvoir basculer l’IP de failover au besoin d’un VPS à l’autre et ainsi assurer une redondance des services
  • Tester la solution d’Aruba Cloud pour évaluer la possibilité de créer une solution de haute disponibilité voir de PRA

Tout ces instances sont en VPN toutes entre elles et avec l’infrastructure auto hébergé chez nous et tous les flux passent par le VPS d’OVH, d’où l’envie et le besoin de sécurisé ce point.

A bientôt pour la suite

flashcode-thorandco.fr

Bonjour à tous….

Ça fait comment dire un sacré moment que j’ai pas pris le temps d’alimenter le blog.

Je pense que je vais faire plusieurs posts pour refaire le point sur l’ensemble de ce que j’utilise et comment.

Dans ce premier post on va faire un état des lieux sur ce qui est hébergé dans la nouvelle maison.

Nous avons déménagé dans notre nouvelle construction le premier octobre 2017, une maison sur plusieurs demi niveau :

  • Un grande cave de 65 m² cloisonnées en plusieurs pièces
  • Un grand garage de 36m²
  • Un RDC de 65 m² comprenant un cellier, une entrée, un WC, un grand salon / salle à manger et enfin une cuisine ouverte
  • Le dessus du garage nous à servi à faire un bureau et une suite parentale de trois pièces (dressing / chambre / une salle de bain)
  • Et enfin l’étage séparé en 4 pièces avec une chambre pour chacune de nos deux filles, une chambre d’amis et une grande salle de bain.

Qui dit nouveau lieu de vie, dit forcément mise à jour de mon infrastructure réseaux.

Déjà lors de la construction, nous avons disposé 48 prises réseaux en Cat 6A dans l’ensemble de la maison et quelques unes extérieures.

L’ensemble des prises arrive dans la cave point central de l’informatique de la maison.

Je vais profiter de ce post pour lister l’ensemble du matériel racké dans la baie 42U de type serveur :

  • Les deux bandeaux de 24 prises RJ45 Cat 6A
  • Une premier switch administrable 48 ports full Giga
  • Une second switch administrable 24 ports full Giga
  • Et enfin un troisième Uniquiti switch 24 ports full Giga POE
  • Une Ubiquiti Cloud Key alimentée en POE
  • Deux APC 8 ports pour gérer l’alimentation de l’ensemble des périphérique de la baie à distance
  • L’arrivée ADSL Orange en backup
  • L’arrivée Fibre 1G actuellement chez K-Net
  • 1 Raspberry pour la gestion des consoles des équipements réseaux
  • Un firewall Sophos UTM avec une licence gratuite, mais qui commence à arriver au limite de la licence entre nombres IP (50 IP gérées sur une durée de 7 jours)
  • Un écran / clavier / souris de chez IBM le tout ne prenant qu’un seul U de la baie
  • Un NAS QNAP TS-453 Pro
  • Un NAS Synology backup du QNAP
  • Deux serveurs HP Proliant MicroServer N54L sous Proxmox actuellement éteint car remplacé par un serveurs IBM x3650 M3
  • Un premier serveur IBM x3650 sous Proxmox me servant à héberger l’ensemble des machines virtuelles
  • Un second serveur IBM x3650 M3 sous Proxmox, lui étant juste en standby au besoin
  • Et enfin un ondueur Eaton 5PX 2200 Netpack pour onduler l’ensemble de la baie
  • Sans oublier des balais passe câbles, des bagues d’identifications pour les tous les câbles, et une multitude des scratchs pour faire ça proprement

En plus de tout ça nous avons dans la maison réparti dans maison :

  • 3 Ubiquiti Networks UAP-AC-PRO répartis dans toute la maison pour la gestion du wifi
  • Un imac 27 mid 2011 mais qui est encore au top avec deux écrans Iiyama G-MASTER G2730HSU-B1 et d’un kit Logitech Z906 – 5.1 pour le son
  • Un ancien écran Dell 24″ qui me sert les jours ou je suis en télétravail
  • Une imprimante Lexmark multifonctions couleur – CX510DE
  • Une seconde imprimante HP OfficeJet 6230
  • Une TV Samsung UE65MU6405 4K UHD dans le salon
  • Une TV Samsung UE46D6530 dans la chambre d’amis

Les évolutions à venir :

  • 1 Ubiquiti Networks UAP-AC-PRO au niveau de la future maison de jardin pour couvrir l’ensemble du jardin en wifi
  • 3 UniFi Video Camera G3 UVC‑G3 à l’extérieure autour de la maison
  • 1 UniFi Video Camera G3 UVC‑G3 dans le garage
  • 1 UniFi Video Camera G3 UVC‑G3 au niveau de la future maison de jardin
  • 1 enceinte Bose SoundTouch 30 Series III pour le RDC
  • Le changement du firewall est aussi à prévoir pour une question de capacitaire.

J’ai essayé d’être aussi exhaustif que possible.

A très vite pour la suite

Bonjour à tous

Un rapide petit article pour vous faire part de la dernière évolution de mon plan de sauvegarde.

Depuis samedi, j’ai décidé de ne pas continuer l’aventure avec Owncloud et cela malgré le cluster actif / passif que j’avais monté.

Je base donc la synchronisation de mes fichiers uniquement sur hubiC actuellement une 10aine de giga sur le 50 Go disponible suite aux parrainages.

Dropbox me sert toujours à l’envoi des photos & vidéos depuis nos téléphones et nos tablettes pour pouvoir les sauvegarder et les rapatrier facilement et rapidement sur mon iMac.

Owncloud n’est pas totalement exclu de mon infrastructure mais reste actuellement en arrière plan, je reste à l’écoute des évolutions à venir.

Bonne journée et bonne lecture

 

Bonjour à tous

Suite à l’article précédent, j’ai reçu mes deux cartes réseaux dual lan full giga ce samedi.


Carte Dual Lan Giga

Les cartes ont été vite installées dans le nouveau serveur, suivi d’une rapide installation de Sophos.

Puis une simple restauration de la configuration de l’ancienne machine a suffit à rendre le nouveau Firewall totalement opérationnel.

Maintenant mon réseau domestique est enfin entièrement en giga.

Bonne journée à tous

 

Bonjour à tous

Mon projet de nouvelle baie réseau arrive quasi à sa fin. Il ne reste plus qu’à changer mon serveur hébergeant mon Firewall Sophos, pour une machine plus puissante et plus récente, et surtout full giga.

J’ai trouvé une machine qui fera très bien l’affaire aussi bien d’un point de vue matérielle, que taille pour rentrer dans ma baie : un Dell Optiplex 380.

Dell Optiplex 380

 

Reste à rajouter deux cartes dual lan full giga, commandé sur DX.com le 7 juillet donc un brin de patience pour pouvoir remplacer définitivement mon firewall.

Winyao WY546T2Ces cartes ont déjà été testé sous Sophos et sont reconnus sans aucun soucis.

Je vous referais un article pour la migration.

 

Bonjour

Ce mois ci Orange faisait une belle offre sur le Parrot Flower Power, au final avec toutes les réductions on arrivait à un prix de 10 euros.

Parrot Flower Power

Il permettra de vous alerter lorsque votre plantes manqueront d’eau, de soleil, ou d’engrais :

  • Pour les mesures d’humidité du sol, le Parrot Flower Power mesure simplement la permittivité diélectrique du sol.
  • Pour ce qui est de l’engrais, la mesure se fait en calculant la conductivité du sol.
  • Concernant la lumière, la mesure est faite par la quantité de photons de longueur d’onde des 510 nm ce qui est une bonne moyenne pour l’ensemble des plantes.
  • Pour finir la température est simplement mesuré par un sonde classique.

Au final j’en ai pris deux :

  • Un pour mes tomates cerises que j’ai aussi associé aux pieds de framboisiers juste à côté :  PFP - Tomates Cerises
  • Et surtout un pour le basilic et la coriandre qui ont une fâcheuse tendance à ne pas se plaire dans mon jardin :

PFP - Basilic

Et pour l’instant les remontées semble fonctionner assez bien, je suis assez étonnée par la périodicité d’arrosage, qui pour l’instant semble convenir à mes plantes.

Je vous ferais un retour plus approfondi après quelques temps d’utilisation.

 

Bonsoir

Un petit update de mon projet de changement de baie de réseau, j’ai enfin remplacé de jour mon switch 48 ports 10/100 par un tout nouveau switch full giga 48 ports le tout bien sur comme avant administrable niveau 3.

Que du bonheur, lors des transferts intra-zone, reste encore à modifier les interfaces réseaux de mon firewall Sophos pour passer le tout en full giga.

J’ai déjà repérer les cartes dual giga que je vais mettre en place dès que j’en aurais le temps.

A très vite

 

Bonjour à tous

Hélas ce week-end mon NAS Qnap TS-439 Pro a rendu son dernier souffle après 11 ans de loyaux et bon services.

Les données sont sauvegarder automatiquement sur des simples volumes annexes, donc aucune perte de données.

Reste à lui trouver un remplacement, vu la longévité de ce NAS, me suis tourné vers les nouveau boitier Qnap tout en regardant ce qu’il se faisait côté Synology.

Ayant déjà une solution Synology en place chez moi j’ai décidé de pas confier toutes mes données à un seul constructeur.

Mon choix c’est donc fait vers un Qnap TS-453 Pro 2G remplaçant actuel de mon ancien NAS, avec différent avantages majeurs :

  • Niveau processeur : Intel® Celeron® 2.0GHz quad-core
  • RAM – Passage de 1 à 2 Go
  • Ajout de port USB 3.0
  • Ajout de deux interfaces Ethernet gigabit passant de 2 à 4 ports possibilité de faire de trunk de deux ports pour la partie LAN & DMZ
  • Modification du port VGA pour un port HDMI

D’un point de vue stockage, j’avais 4 disques de 2To de chez Seagate, vu que ces disques ne sont plus sous garantie, j’ai décider de les remplacer par 4 disques de 3To toujours de chez Seagate.

Le tout sera acheté chez MacWay ce soir en rentrant.

Reste à tout remettre d’équerre, et espérer avoir la même longévité.

Bonne journée à tous