Le réseau sécurisé et haut de gamme dans la maison individuelle

Alors, UDM Pro est commandé. En tant que retour SAV apparemment neuf pour 325€. Je me suis un peu occupé. Apparemment, sur cet appareil, on peut configurer la désactivation du NAT et un script via cronjob empêche la réinitialisation au redémarrage. Je suis curieux. Le plan est maintenant : DSL Telekom, Fritzbox avec son propre réseau et une route statique vers l'UMD Pro, téléphonie et Magenta sur la Fritzbox, UMD Pro derrière, et le reste segmenté en VLANs. Je suis curieux de savoir si cela fonctionnera comme souhaité.

Alors voilà, UDM Pro est commandé. Apparemment comme retour produit neuf pour 325€.
Je me suis un peu penché dessus. Apparemment, on peut configurer cet appareil pour que le NAT soit désactivé et un script via cronjob empêche la réinitialisation au redémarrage. Je suis curieux.
Le plan maintenant : DSL Telekom, Fritzbox avec son propre réseau et une route statique vers l’UDM Pro, téléphonie et Magenta sur la Fritzbox, UDM Pro derrière et le reste segmenté en VLANs.
J’ai hâte de voir si ça fonctionne comme prévu.

Ça devrait fonctionner comme ça.

Parce qu’on a demandé des conseils généraux.

Mon avis :
Surtout dans le domaine du réseau, il faut parfois se plonger dans 1000 protocoles pour réussir à faire fonctionner VoIP, IPTV ou d’autres sujets dans son réseau. Il faut quand même un peu d’enthousiasme ou être prêt à souffrir un peu.

Donc, comme Tarnari. Si possible, garder des choses comme MagentaTV et VoIP en dehors du réseau « complexe ». Pour IPTV, on peut encore avoir de la chance en choisissant des composants qui supportent IGMPv3, mais pour VoIP tu es comme en pleine mer, livré à Dieu. J’ai été témoin en direct quand 4 techniciens T essaient désespérément et au bord des larmes de faire fonctionner le SIP-Trunk comme remplacement PMX sur une passerelle Cisco. Au final, sur ma proposition, ils ont pris une Digitalisierungsbox quelque part en stock et 10 minutes après ça fonctionnait.

Toujours garder les réseaux aussi simples que possible, sauf si c’est ton hobby.

Pour le Wi-Fi, je pense pareil. Le matériel « pro » ne rend pas tout meilleur, juste plus compliqué. Faites attention aux points comme DFS, TPC et Band Steering (quand ce n’est pas le client qui décide du meilleur réseau pour lui) pour les points d’accès. Ubiquiti est un bon choix, peu importe les AP, mais c’est plus complexe à configurer et sujet à plus d’erreurs que, par exemple, AVM.

En règle générale : plus un fournisseur est présent sur le marché allemand, plus il y aura des adaptations pour des fournisseurs allemands comme Telekom dans le domaine VoIP ou au moins des guides ou une communauté pouvant aider.

Pour ceux qui veulent bricoler : informez-vous avant. Comment mon fournisseur gère-t-il le multicast, quels codecs sont utilisés pour la VoIP, quels ports, etc. Cela évite des achats inutiles quand on détecte à l’avance où ça va coincer.

Cela devrait fonctionner ainsi.

Parce qu’on a demandé des conseils généraux.

Mon avis :
Surtout dans le domaine du réseau, il faut en cas de doute se plonger dans 1000 protocoles pour finalement faire fonctionner la VoIP, l’IPTV ou d’autres sujets dans son propre réseau. Il faut un peu d’enthousiasme ou une certaine tolérance à la douleur.

Donc, comme chez Tarnari. Si possible, il faut éviter d’intégrer des choses comme MagentaTV et VoIP dans le réseau « complexe ». Pour l’IPTV, on peut avoir de la chance en choisissant des composants qui supportent IGMPv3, pour la VoIP, on est comme en haute mer, à la merci de Dieu. J’étais présent lorsque 4 techniciens T ont essayé désespérément et à bout de nerfs de faire fonctionner le SIP-Trunk en remplacement du PMX sur une passerelle Cisco. Au final, ils ont suivi ma suggestion, ont pris un Digitalisierungsbox quelconque dans le stock et après 10 minutes cela fonctionnait.

Il faut toujours concevoir les réseaux aussi simplement que possible, sauf si c’est ton hobby.

Pour le WLAN, c’est à peu près la même chose pour moi. Le matériel « pro » ne rend pas tout meilleur, seulement plus difficile. Faites attention aux points comme le DFS, le TPC et le Band Steering (où ce n’est pas seulement le client qui décide du réseau le plus adapté pour lui) pour les points d’accès. Ubiquiti est un bon choix, peu importe quels AP, mais c’est plus complexe à configurer et plus facile à mal configurer que par exemple chez AVM.

En principe, plus un fournisseur est présent sur le marché en Allemagne, plus il y a d’adaptations pour les fournisseurs allemands comme Telekom dans le domaine VoIP ou du moins des guides ou une communauté qui peut aider.

Pour ceux qui veulent bricoler : informez-vous avant. Comment mon fournisseur gère le Multicast, quel codec est utilisé en VoIP, quels ports, etc. Cela évite des achats inutiles en reconnaissant à l’avance où il y aura des problèmes.

Bien dit.
Pour moi, c’est un peu comme un hobby. Pourtant, je veux juste que ça fonctionne et un peu plus encore. Je ne veux pas devoir travailler aussi à la maison. Ce que cela signifie, je le vis en ce moment au travail. Déménagement dans un nouveau bâtiment. Passage d’Internet via le câble Vodafone à la fibre optique avec Netcologne vers le DFN. Comme mon formateur le disait souvent : « C’est vraiment une douleur dans le derrière. »
Passer d’Asterisk de l’ISDN au SIP-Trunk.
Tout cela ne peut se faire qu’avec des prestataires externes très coûteux, tant que l’expertise spécifique n’est pas disponible en interne.
Je n’en ai pas besoin à la maison.
Je veux dire, si jamais je ne suis plus là un jour, ma femme/ma fille doit pouvoir continuer cela d’une manière ou d’une autre.

Alors je gère une UDM-Pro.

Connexion DSL --> Modem Zyxel --> UDM-Pro --> Switch (compatible Poe, unify).
Depuis l'UDM-Pro et le switch, ça continue.
- Entre autres vers une FritzBox, qui ne sert que de base DECT. (J'aime les fonctionnalités téléphoniques de la Fritz)
- 2 caméras Unify et une NanoHD, alimentées en PoE.

Le double NAT peut être évité, il existe des guides sur Internet à ce sujet. Cependant, il faut noter que MagentaTV ne fonctionne pas avec l'UDM (IGMPv3 n'est pas supporté). Et j'ai dû un peu bidouiller les réglages, au début j'avais des coupures de connexion au téléphone toutes les 15 minutes.
Bien sûr, si on n'a aucune connaissance ni affinité pour le logiciel / IT, ce n'est vraiment pas recommandé. Dans ce cas, une simple FritzBox, et c'est tout. Mais les possibilités avec cette combinaison sont quand même très sympas (VLAN, caméras, pare-feu,...). Une interface pour tout (presque) configurer est aussi agréable.

Voici une mise à jour…
UDMPro est arrivé vendredi et a été installé pendant ce long week-end.

OK, ce n’est pas très esthétique mais ça viendra :



De plus, un petit bureau de travail a trouvé sa place. Cela rend un peu plus confortable les quelques fois par an où il faut intervenir directement sur place et que le travail à distance ne suffit pas.



Les décodeurs Magenta ainsi que la boîte GigaSet Go, ainsi que le fax fonctionnent sur un vieux switch Netgear branché sur la Fritzbox.
L’UDM est également connectée à la Fritzbox via le port WAN, derrière laquelle se trouve le switch Cisco en 10 Gbit, puis tout le reste derrière.
Le NAT de l’UDM a été désactivé. Un script vérifie toutes les 15 minutes via un cron job que c’est toujours le cas, et le désactive à nouveau si un redémarrage ou un changement de pare-feu le réactive. Une route statique sur la Fritzbox vers le réseau de l’UDM dirige le trafic extérieur vers l’intérieur.
Conclusion : tout fonctionne à merveille.
Enfin, presque.
Je bataille d’une part avec le Sunny Homemanager et l’onduleur photovoltaïque. Ils font encore des siennes.
Je rencontre aussi des difficultés avec le pare-feu de l’UDM. Je dois faire une erreur quelque part. Un accès depuis le réseau Fritzbox vers celui de l’UDM ne fonctionne pas encore.
En outre, le DNS me cause problème. Jusqu’à présent, c’était mon serveur Windows qui s’en chargeait. La Fritzbox était le second DNS. Maintenant, je ne sais pas comment indiquer au DNS que tout se passe dans un nouveau réseau. Les recherches forward comme reverse ne fonctionnent pas encore via le serveur Windows. Mais ça viendra.
Si quelqu’un a des conseils, je suis preneur.

Néanmoins, je peux déjà recommander cette configuration au moins ! Indépendamment des fonctionnalités, je remarque vraiment une nette amélioration de la réactivité. Cela montre que mon réseau surchargait la Fritzbox et que l’UDM s’en sort bien mieux.
De plus, je peux maintenant segmenter le réseau via VLAN. Ce sera la prochaine étape quand tout sera opérationnel.

Pour 325 €, c’était un vrai « bon plan » au passage.

Le truc avec le DNS est vraiment de la merde.
Quelqu’un a une idée de comment expliquer au contrôleur de domaine qu’il doit s’il vous plaît résoudre dans le nouveau réseau ? J’ai déjà créé une nouvelle zone de recherche directe et inversée, mais ça ne fonctionne pas.
J’ai maintenant deux zones, l’ancienne qui ne se met pas à jour et la nouvelle qui ne se remplit pas.

De plus, je ne comprends pas encore tout à fait le concept de FW de l’UDM. Quelle règle dois-je définir pour accéder du réseau de la FB au réseau de l’UDM ?
NAT est désactivé sur l’UDM et la FB a une route statique vers le réseau de l’UDM pro…