Reprise du message précédent :

Pour masquer ses infos du whois il faut payer en + (2.88€/an)
Vous êtes du genre à filer des infos pas exactement correctes ?

Non, pas de firewall.
Par contre, souvent des switchs ont des fonctions L3 (routeur donc), et permettent donc de faire communiquer des vlans entre eux.

oui mais le switch ne fera pas de stateful donc c'est limité.

ho d'accord, alors si j'utilise ce que j'ai comme ça :
 
internet> Freebox qui fait NAT et firewall > LAN exposé > routeur Synology (oui j'ai ça aussi en plus du switch) qui fait NAT et firewall > LAN domestique
 
Genre en pratique je branche la machine exposée sur un port de la Freebox en DMZ et je branche mon réseau domestique sur un autre port ?
 
edit : mon switch manageable serait un smart switch, donc pas un "vrai" switch manageable j'ai plein d'options qui sont pas là quand je regarde différents tutos VLAN.
 
édit : j'ai trouvé un truc pour faire des diagrammes réseau, c'est magnifique
 

Y'a pas de port dmz.
La dmz s'applique à une IP

On a pas le modèle/lien du routeur. il ne faut surtout pas qu'il soit en point d'accès, mais bien en mode routeur (tu auras des IP type 192.168.1.0 pour le réseau box, et 192.168.2.0 pour le réseau domestique).

On a pas le modèle/lien des switch. Le terme français est administrable, et il ne veut rien dire à par "possède une interface de gestion par web" (ce qu'un switch normal n'a pas), et donc une IP (les switch communiquent par adresses mac). Les vrais termes pour un switch dont on peut jouer avec les vlan sont L2 et L2+ (qui ne veut rien dire en rapport aux vlan, mais c'est le jargon). Les L2 offriront un basique VLAN, là où tu auras quasiment toutes les fonctionnes VLAN avec un L2+

> si tu prends des switch "manageables" sur amazon, comme :
https://www.amazon.fr/TP-Link-TL-SG [...] B00N0OHEMA
https://www.amazon.fr/Netgear-GS105 [...] B00GWKN1Q2

alors tu pourras faire des vlan simples de séparation.
Cependant, si tu as un routeur/parfeu entre ton serveur et ton domestique, ça n'a aucun intérêt pour ton projet, à mon sens

Merci beaucoup spence.

Je me suis mal exprimé par raccourci pour la DMZ, je sais que c'est l'IP locale et pas un port de la Freebox, ça c'est bon.
Sur l'image il n'y a pas le switch  
Le switch (NetGear GS116Ev2) semble être du L2 simple, acheté dans l'optique de faire des VLAN pour séparer les choses, que je n'ai jamais mis en place parce que je n'ai pas eu le temps d'apprendre (imprimante qui doit être partagée, NAS accessible par tous etc). Il est actuellement après mon routeur Synology pour multiplier le nombre de ports et faire un peu de QoS à cause des caméras. Y a aussi un switch non administrable (pardon pour l'anglicisme) en PoE d'ailleurs.
Actuellement je suis avec un réseau où 2 routeurs cohabitent, la Freebox (qui distribue du DHCP 192.168.2.x) et un Synology RT2600AC (qui distribue en 192168.1.x). Le Freebox ne supporte aucun autre périphérique, ni câblé ni wifi.

Donc je suis bon sans autre configuration si j'ai bien compris   Est-ce que la DMZ est utile pour brancher la machine qui fait serveur ?

non, du tout

Parfait,
j'ai plus qu'à rebasculer les quelques bricoles qui sont en wifi sur la Freebox, voire à m'équiper d'un routeur wifi dédié pour la domotique d'ailleurs (très peu de choses en wifi dans la maison, genre 3 smartphones et une Switch).

tu peux les laisser sur le wifi/reseau de la FB

non j'ai peur
il y a des objets connectés pour la domotique en wifi dessus, je suis pas persuadé que c'est safe...

ça ne change rien en termes de sécu

si un pirate utilises le serveur comme pivot...

Hello le topoc
 
J'ai sur mon réseau local une machine qui me sert de serveur NAS, Jellyfin et autres joyeusetés, et qui fait tourner WireGuard. La machine s'éteint régulièrement à heures fixes (je ne veux pas qu'elle tourne tt le temps). Puisque le serveur est un peu relou d'accès, j'ai aussi le Wake-on-Lan activé dessus.
 
J'ai activé DynDNS sur mon routeur et je redirige je trafic entrant sur 51820 vers ledit serveur, ce qui me permet, quand le serveur tourne, de me connecter à mon réseau avec le tunnel Wireguard.  Mais évidemment, dans l'hypothèse où le serveur est éteint, Wireguard ne tourne pas et je ne peux pas envoyer de requête WoL depuis l'extérieur.
 
Du coup je me demandais s'il était possible de faire une redirection de port supplémentaire pour qu'une requête WoL adressée à mon adresse DynDNS aboutisse sur mon serveur pour le réveiller. Si c'est possible, de quel port parle-t-on, y-a-t'il une app Android pour envoyer la dite requête WoL et est-ce que ça ouvre mon réseau à des soucis particuliers?
 
Sinon, y-a-t'il une alternative? Celle que je considère c'est un Pi que je pourrais laisser tourner 24/24 et qui lui ferait tourner WG. Mais ça serait en gros sa seule utilité à moins que j'en trouve une autre, ce qui me paraît un peu con con.
 
Merci

Le WoL ça fonctionne avec l'adresse mac, pas l'IP, comment tu espères qu'en ouvrant un port (couche 4 donc, au dessus d'IP), tu arrives à quelque chose ?

il y as des fois ou ca marche  
mais ca demande de sacrement bricoler, de fabriquer des magic paquet "falsifié" avec l'IP publique du routeur et qui embarque la bonne MAC,  
espérer que le routeur vas accepter de router un paquet vers une machine eteinte etc etc

J'envoie les requêtes WoL depuis l'interface de mon routeur.
 
Théoriquement, si j'envoie le paquet magique + adresse MAC (au bon format) à mon IP publique sur le port redirigé, ça une chance de marcher?
 
Je peux ptêt faire un petit script python qui fait ça, les utilitaires Android que j'ai trouvés exigent en effet une adresse MAC donc si je veux tester je vais devoir bricoler.
 
Ou alors, j'achète mon premier Pi

La solution généralement constatée pour réveiller une machine sur un LAN derrière un routeur internet c'est de passer par une app dédiée avec le plus souvent une interface graphique pour ça. Home Assistant, Pfsense, Openwrt, pour ne citer qu'eux, proposent des plugins dédiés au WoL.

Mais du coup, ton routeur, il reçoit un paquet avec son IP en dest, il DNAT l'ip, il fait une résolution ARP et... Ha bah non.
Y'a des solutions, faut du soft custom sur le routeur. Ou broadcast.

J'sais pas, réfléchis aux résolutions ARP, aux tables, aux DNAT, au port (tcp ou udp ? Oh wait...) utilisé par le wake on lan...
Soit t'a un truc built in sur ton routeur avec une appli dédiée, soit tu te co à ton routeur a distance, soit tu bricole un truc.
Sinon, le mot clé, c'est Wake on Wan.

La Freebox aussi permet d'envoyer des paquets WOL depuis l'interface d'admin .
Elle fait aussi serveur wireguard , ce qui est plus simple .

WOL j'ai bidouillé de l'ouverture de port 9.
Il fallait la table ARP, sinon passer par le broadcast (192.168.x.255)

Genre open port 7890 et redirection vers port 9 192.168.x.255, en UDP

Fondamentalement, osef du port, la nic attend juste de voir un pattern particulier : 6 octets de ff suivi de sa mac répétée 16x (et potentiellement un mot de passe).
En soit,  redirection d'un random port vers l'ip de broadcast, en envoyant un paquet udp avec le contenu au dessus,  ça peut le faire, mais je trouve ça moyennement propre.
Et encore,  c'est si ton routeur accepte de rediriger vers une ip broadcast, et c'est pas gagné

Avec le vpn sinon

Un VPN pour allumer la machine qui fait serveur VPN  

oups, j'avais zappé
xD

J'étais complètement à côté de la plaque moi hier soir. Évidemment que ça fonctionne si tu redirige du trafic udp ou icmp vers l'ip de broadcast du réseau.
Par contre, ça veut dire exposer tous les équipements du réseau sur ce port udp (ou globalement en icmp) à n'importe quoi qui arrives d'internet.

De toute façon mon routeur ne permet pas de rediriger vers le broadcast. Vu que c'est aussi ma box, je n'ai pas forcément envie d'essayer de bidouiller la table ARP (en supposant que ça serait possible).  
 
Du coup je vais effectivement rajouter une machine basse conso pour servir de relai WireGuard. Je trouverai des trucs à lui faire faire, genre PiHole ou je ne sais quoi.

 
Pourquoi rediriger vers le broadcast ?
Il suffit de rediriger vers la machine qu'on veut WOL.

Hm.
Vers son IP donc ?
Vas-y, explique avec le doigt comment ça va fonctionner. Genre la résolution ARP que va faire le routeur.

Heink ?
 
Ta carte réseau attend un paquet précis.
Qu'elle le reçoive via broacast ou unicast, c'est pareil pour elle.
Il suffit que le paquet soit forgé correctement avec l'adresse MAC de l'interface réseau qui doit lancer le WOL.

Je paie rien de spécial en plus de ce que j'ai indiqué et mon whois affiche des infos Infomaniak, rien qui ne m'identifie.
 
Extraits:

 
Ou peut-être que leur modèle économique a changé et qu'ils oublient de faire payer une option aux anciens clients.

 
Ben non.
 
Car quand la machine est éteinte, elle n’a pas d’IP, donc elle ne recevra que dalle en unicast.

Si tu n'es pas opposé à des services cloud tiers, tu pourrais utiliser un Shelly 1PM (ou autre prise connectée) et le commander à distance pour allumer/éteindre ta machine sans utiliser wake on lan. Bonus: tu peux surveiller la conso ou redémarrer en hardware en cas de gros plantage quand tu es à distance.
 
Pour que ça marche il faut que ton serveur puisse être paramétré pour démarrer automatiquement en cas de rétablissement du courant. C'est le cas chez moi pour mon serveur et mon PC fixe il y a cette possibilité par défaut ou dans le bios.

Ouai.
Et pour le recevoir en unicast, il faut que le routeur ai fait une résolution ARP sur l'ip destination du paquet pour le shooter.
Sinon il faut qu'il ai une entrée en dur dans sa table ARP (bonne chance sur un routeur random).

 
Mes excuses. Je procédai ainsi par le passé mais effectivement j'avais placé une entrée ARP persistante sur ma passerelle d'alors (IPFIRE).

Ah pas con ça. J'ai rien de connecté pour l'instant chez moi mais j'y songe (lumières, radiateurs). Je pensais faire ça avec une interface sur mon serveur (ce qui le supposerait allumé ) mais évidemment pour cette prise devra être gérée autrement.

je crois que ça dépend des domaines : il y a (avait ?) une obligation de le proposer aux particuliers sur le .fr
je suis chez Gandi, et anonymisé ou pas c'est le même prix. juste une case à cocher.

Si on part sur cette voie, il y a l'option piKVM qui est franchement top. Pour en avoir 2, c'est bien classe de jouer avec le bios de ses machines du lan depuis son tel de n'importe où.

Il me faut un Pi c'est sûr, mais par contre pour du kvm je ne pense pas - je dois toucher le bios une fois tous les six mois. J'ai googlé rapidement, le surcoût pour l'interface est quand même significatif.

Je vais commander un kit ce WE. Je mettrai ptet un senseur pour les températures au passage, ça me permettra de surveiller ce qui se passe dans mon armoire de brassage.

Et je mettrai pihole dessus.

Cross topic app android :
 
Je cherche le meilleur moyen de :
- uploader automatiquement les photos que je prends sur mon smartphone vers mon compte nextcloud auto hébergé @home. Ca c'est facile.
- au bout d'un certain quota (ou temps, ou autre donnée arbitraire) supprimer les photos du stockage local du smartphone MAIS les conserver facilement accessibles.
 
Le truc tip top (dans ma tête) ça serait par exemple un réglage "garder seulement les 12 derniers mois en local" MAIS les vignettes resteraient visibles dans la galerie, et quand je clique dessus ça chargerait automatiquement les images en grand depuis nextcloud.
 
L'idée c'est de limiter le besoin de stockage (dans le smartphone) pour des vieilles photos mais permettre facilement leur visualisation si besoin. Je vais peut-être migrer sur un google pixel sous graphene dans l'année, mais les capacités de stockage (non extensibles) sont totalement incompatibles avec mon historique de photos, les mp3 que je stocke actuellement sur une microSD...
 
Qu'est-ce qui pourrait s'en approcher le plus ?

- uploader automatiquement les photos que je prends sur mon smartphone vers mon compte nextcloud auto hébergé @home. Ca c'est facile.  
 
--> C'est tellement facile que sur mon téléphone, malgré tous mes efforts ça ne se déclenche pas si je ne lance pas l'app nextcloud manuellement
 
Et sur le téléphone de madame je ne sais plus ce qui merde mais il y a également un truc qui oblige à intervenir à la main.