Découpage et isolation sur un réseau

[jdh]

Il est clair que Zentyal est une distribution avec plus encore de possibilités qu'une SME avec ses (ensembles de) modules (UTM, Infrastructure, Office, Unified Communications, Gateway).

Il ne faudrait pas la réduire à Gateway (+Infrastructure) où des distributions "firewall" excellent.
(A l'inverse, dès qu'on monte en besoin, Zentyal se fait remarquer ...)

Ici, en SUPPOSANT une dimension "3 gites avec 2 utilisateurs" (manque d'infos !), un schéma devrait comporter
- un firewall (strictement),
- un portail captif, en option,
- des access-point wifi (avec séparation).
Une Zentyal ne me semble donc pas convenir (pour ce besoin précis).


NB : Je suis persuadé (pour avoir essayé et mis en prod un serveur) que Zentyal "enfonce" SME !

[Titofe]

Je suis persuadé (pour avoir essayé et mis en prod un serveur) que Zentyal "enfonce" SME !

Ah, je l'aurais pas dit comme ça , mais je suis d'accord.

[Pyrithe]

Ici, en SUPPOSANT une dimension "3 gites avec 2 utilisateurs" (manque d'infos !), un schéma devrait comporter
- un firewall (strictement),
- un portail captif, en option,
- des access-point wifi (avec séparation).

Effectivement, un petit résumé du schéma serait une bonne chose:
Une maison possède une connexion ADSL, par le biais d'une Livebox.
3 bâtiments (gites) autour de cette maison désirent accéder à cette connexion. On peut donc imaginer, au plus fort de l'activité, qu'un équipement ou deux par bâtiment se connecte (soit "au pire" 8 utilisateurs environ simultanés). Le but est donc qu'aucun de ces utilisateurs ne puisse accéder aux éventuels partages sur les autres machines par exemple...

Par contre dans ta proposition, quel est l'intérêt de l'utilisation d'un firewall?? J'ai du mal à comprendre son utilité... (suit pas trop réveillé en même temps)...

En tous cas je vois que cette question suscite débats et avis qui divergent, et c'est vraiment intéressant!!!

[jdh]

Un firewall, par essence, sépare les éléments en "zones".
Il me semble évident qu'il faut séparer, au minimum, le réseau local de la maison des réseaux wifi !
Il y a, donc, naturellement, au minimum 3 zones : WAN + LAN (maison) + WIFI.
On peut raffiner avec une zone WIFI par bâtiment ...

Schéma :
Internet <-> box adsl <-> (WAN) pfSense
pfSense (WIFI1) <-> rtr Wifi 1/a <- (wifi) -> rtr Wifi 1/b <- eth -> rtr Wifi 2/c
pfSense (WIFI2) <-> rtr Wifi 2/a <- (wifi) -> rtr Wifi 2/b <- eth -> rtr Wifi 2/c

L'ensemble "rtr Wifi X/a <-> rtr Wifi X/b" assure un pont Wifi vers le bâtiment X, permettant une descente ethernet vers un routeur wifi à l'usage de ce bâtiment.

Personnellement, je pense qu'une petite tranchée avec un tube IRO et 1 câble ethernet double entre la maison (principale) et un bâtiment est aussi une bonne solution. Il est possible d'essayer aussi du CPL (avec le problème des phases) (ce qui interdit dans la maison l'usage du CPL).

[Pyrithe]

Un firewall, par essence, sépare les éléments en "zones".
Il me semble évident qu'il faut séparer, au minimum, le réseau local de la maison des réseaux wifi !

Je vais surement dire une $%#&!, mais si par le biais des Point d'accès, la vision des autres machines est impossible, alors je vois plus en quoi le firewall est important...

Personnellement, je pense qu'une petite tranchée avec un tube IRO et 1 câble ethernet double entre la maison (principale) et un bâtiment est aussi une bonne solution. Il est possible d'essayer aussi du CPL (avec le problème des phases) (ce qui interdit dans la maison l'usage du CPL).

Pas de CPL possible (compteur différents et éloignés).
Pour l'interdiction du CPL à la maison, en utilisant des CPL utilisant le WPS est des clés AES différentes (réseaux différents) ca aurait pu le faire, sans soucis de sécurité je penses non? (mais le débat n'est pas là, cette solution ne sera pas retenue ici).

En ce qui concerne le câble double par contre, entre la maison et un des gites, je ne vois pas l'intérêt? Pourquoi un cable double? J'étais parti sur un câble Cat 6a SSTP 500 Mhz monobrin double blindage...

[Franck78]

Hello,

attention avec une liaison 'data' ou autres entre deux batiments éloignés. Il est impératif de savoir comment ils sont reliés entre-eux par rapport à la terre. Sinon beaucoup de courants parasites, parfois destructeurs... A éviter aussi, boucler la boucle (de masse) en faisant passer 'la tranchée' par un autre chemin que celui existant.

La fibre optique élimine d'un coup ces problèmes.
Franck

[Pyrithe]

Il est impératif de savoir comment ils sont reliés entre-eux par rapport à la terre. Sinon beaucoup de courants parasites, parfois destructeurs... A éviter aussi, boucler la boucle (de masse) en faisant passer 'la tranchée' par un autre chemin que celui existant.

La fibre optique élimine d'un coup ces problèmes.
Franck

La fibre optique ne passe pas dans le budget...
Quand tu dis "Il est impératif de savoir comment ils sont reliés entre-eux par rapport à la terre"... Il s'agit de la mise à la terre du réseau électrique de chaque installation?
S'il s'agit des bâtiments en eux-mêmes, il s'agit de vieux bâtiments en pierre, mais je ne vois pas trop ou tu veux en venir...

"A éviter aussi, boucler la boucle (de masse) en faisant passer 'la tranchée' par un autre chemin que celui existant"
Un autre chemin que celui existant??? Alors je suis carrément largué...

[Franck78]

je ne connais pas ton site, pas lu en détail le post. Le genre de raccourci qui fait la boucle, c'est la cable tiré à la volée en aérien par exemple. Si bien sur il n'y a qu'un batiment, il n'y a plus de problème.

[Pyrithe]

J'avoue que je comprend pas vraiment de quelle boucle tu parles...

Mais dans mon cas: Un premier bâtiment est relié à deux autres par deux câbles ethernet distincts...

[Franck78]

tu fais une boucle quand le courant peut aller d'un point à un autre par deux chemins ou plus. Un tortueux par le fil de terre par exemple et un direct par le blindage d'un cable réseau qui pour bien faire est relié aussi à la terre. Cherche pas à appliquer ça dans ton cas, c'est juste une erreur à ne pas faire en cablage.

Tout champ magnétique variable crée une ddp induite dans une boucle conductrice. Il en résulte un courant parasite circulant dans cette boucle.

. Tu as donc fabriqué une bonne antenne pour récupérer la pollution alentour. Et si un éclair choisit malencontreusement de tomber en plein milieu de cette surface, pschitt tout le long de la boucle.

[Pyrithe]

tu fais une boucle quand le courant peut aller d'un point à un autre par deux chemins ou plus. Un tortueux par le fil de terre par exemple et un direct par le blindage d'un cable réseau qui pour bien faire est relié aussi à la terre. Cherche pas à appliquer ça dans ton cas, c'est juste une erreur à ne pas faire en cablage.

Tout champ magnétique variable crée une ddp induite dans une boucle conductrice. Il en résulte un courant parasite circulant dans cette boucle.

. Tu as donc fabriqué une bonne antenne pour récupérer la pollution alentour. Et si un éclair choisit malencontreusement de tomber en plein milieu de cette surface, pschitt tout le long de la boucle.

Ok, donc pour le coup, si je comprend bien, en reliant mes bâtiments, ca serait mieux d'oublier de relier le blindage de mes câbles à la terre? Ca permettrait d'éviter de créer une boucle accidentellement et d'avoir des soucis.
En gros, en pensant éviter une pollution magnétique en reliant le blindage à la terre, on peut dans ce genre de cas réaliser le contraire, et s'attirer toute la pollution électromagnétique du lieux???

[Franck78]

en gros oui, ne pas relier les deux extrémités à la fois d'un blindage (mais une seule), c'est la théorie.
Affine en recherchant de la littérature sur internet.