schéma réseau
Après plusieurs discussions et beaucoup de lectures, j’ai mis à jour mon schéma réseau et j’espère que ce que j’ai en tête fonctionnera. Mais j’ai encore quelques questions :
1- découverte du LAN de l’imprimante en Lan et la possibilité de scanner vers un ordinateur sur le LAN domestique ? Je ne sais pas comment c’est possible si le trafic n’était pas autorisé dans les deux sens (je prévois d’autoriser le trafic du domicile vers l’amusement (LAN de l’imprimante), mais pas l’inverse)
2- d’après ce que je comprends, si j’ai une connexion VPN tierce active, je ne peux pas avoir la protection familiale ou les bloqueurs de pubs. Existe-t-il une solution de contournement ? Je prévois d’avoir un VPN toujours actif sur le réseau domestique via NordVPN et je souhaite des bloqueurs de pubs pour tout le réseau, ainsi que le filtre familial et la recherche sécurisée activés pour un groupe d’appareils pour les enfants. Est-ce possible ? Et comment ?
3- juste par curiosité, si un appareil est connecté directement par Ethernet à la FWG ou à l’un des commutateurs, est-il automatiquement ajouté au groupe de quarantaine ? Ma question concerne une connexion Ethernet, pas une connexion sans fil ? (Cela peut être une question idiote après tout)
Il serait aussi très utile d’entendre des recommandations et des modifications à mon installation pour un bénéfice accru. Merci
Je peux répondre à 2 et 3 pour vous tout de suite..
-
- Toute connexion VPN chiffrera vos données ce qui bloquera le FWG d’accéder à ces informations, il ne pourra donc pas intercepter les paquets ni appliquer la protection familiale ou tout autre traitement basé sur DNS. Si vous utilisez un VPN toujours actif avec Nord, il se situe en amont du pare-feu et le FWG se déclenche en premier lieu. Le FWG transmettra uniquement à Nord lorsqu’il aura eu la chance d’appliquer ses politiques. Assurez-vous que si vous utilisez la version bêta de Firewalla (ou à l’avenir sa version officielle), de ne pas utiliser DNS sur HTTPS car cela chiffre aussi et bloquera Nord dans ses opérations.
-
- L’activation de la fonction de quarantaine fonctionne pour tout ce qui est détecté sur le réseau, quel que soit le niveau 1. Gardez à l’esprit qu’elle est basée sur l’adresse MAC, donc les appareils supportant la randomisation d’adresse MAC (comme certains iPhones récents) seront mis en quarantaine à chaque nouvelle session. Typiquement, vous pouvez désactiver cette option ou la désactiver pour des connexions réseaux spécifiques. Si vous avez ces fonctionnalités activées, je recommande de désactiver pour les appareils sûrs connus de votre réseau domestique.
Quels sont ces appareils blancs dans le schéma ? Vos commutateurs non gérés sont-ils VLAN-aware ?
MISE À JOUR : Pour la découverte des imprimantes, cela fonctionne généralement via un paquet broadcast pour découvrir les imprimantes sur le réseau. Les paquets broadcast ne traversent jamais d’autres sous-réseaux et puisque les VLAN ont pour but principal de segmenter les « domaines de broadcast », la découverte n’est pas possible. Pouvez-vous utiliser l’impression IP à la place (se connecter à l’aide de l’adresse IP ?)
Je pense que certains protocoles comme AirPrint d’Apple utilisent du multicast qui traverse les sous-réseaux, alors, tant que le pare-feu le supporte, mais je ne peux pas en dire plus, car je ne me souviens pas si Firewalla le fait ou pas.
Vous pouvez utiliser des protocoles d’impression comme AirPrint à travers des sous-réseaux en utilisant le réflecteur mDNS de Firewalla.
Il n’est pas recommandé d’utiliser un commutateur non géré pour faire passer le trafic pour plusieurs VLAN, mais un VLAN non tagué unique ne pose pas de problème.
D’accord, juste pour clarifier, si j’utilise NordVPN toujours actif sur FWG avec VPN tiers, cela signifie que le FWG pourra intercepter et appliquer des politiques au trafic avant qu’il ne soit routé vers Nord ? Ou cela n’est vrai que si je n’ai pas opté pour DNS sur VPN ?
Les appareils blancs sont les dispositifs Orbi WiFi 6 Pro SXK80 en mode point d’accès, complètement en backhaul filaire.
Désolé, je n’avais pas vu le dernier commentaire. Je ne pense pas que les commutateurs non gérés soient VLAN-aware, mais je suppose qu’étant donné qu’un seul VLAN passe, ils le passeront simplement tel quel. J’espère ne pas me tromper.
C’est exact. Le FWG utilisera Nord comme résolveur DNS en amont. Le FWG conserve son propre cache, donc si un appareil demande quelque chose qu’il connaît déjà, il y répondra. Ce n’est que lorsqu’il ne peut pas fournir la réponse qu’il interrogera Nord (requête itérative) et bien sûr Nord utilisera tout ce qu’on lui aura configuré. En dehors de ça, tout le trafic sortant passera par Nord.
Cela peut fonctionner, ou non. Cela dépend des capacités des commutateurs. Certains commutateurs non intelligents rejetteront tout paquet marqué. Savez-vous si votre commutateur géré est configuré en trunk ou en port d’accès ?
Je ne les ai pas encore configurés. C’est un travail en cours, mais je n’ai qu’un seul commutateur géré que je suppose que je vais configurer pour que le port allant vers le wifi en mesh (avec 5 VLAN) soit en trunk, et le reste comme port d’accès (un seul VLAN passe). Ai-je raison dans ma compréhension ?
Et le port que j’utilise pour le wifi en mesh sera aussi un port d’accès (un seul VLAN passe).
Lorsque des appareils envoient des paquets au commutateur géré, ils envoient des paquets non marqués, et c’est au commutateur gestionnaire de déterminer comment transférer ce paquet. Parfois, les commutateurs non gérés, selon le fournisseur/les capacités, peuvent rejeter les paquets venant du commutateur géré. Ce n’est pas parce que le paquet est marqué, mais parce qu’ajouter une balise au cadre augmente le MTU de 4 bytes, soit 1504, et les commutateurs non intelligents sont généralement limités à 1500.
Je ne suis pas expert dans ce domaine, mais je pense qu’avec un commutateur moderne, cela devrait aller. Peut-être qu’un autre expert en réseautage pourra intervenir lol.
Ça me paraît correct. Port Trunk = balisé (peut gérer plusieurs VLANs) Port d’accès = non balisé (fonctionne avec un seul VLAN).