Présentation générale¶
Le réseau du homelab repose actuellement sur une architecture simple, sans VLAN, centrée autour de la Livebox 7.
L’objectif est de maintenir un réseau stable et lisible, tout en préparant une transition future vers une segmentation avancée via un routeur Mikrotik.
1. Découpage réseau actuel¶
1.1 Routeur principal : Livebox 7¶
La Livebox assure les fonctions suivantes :
- DHCP IPv4 (réservations pour les conteneurs)
- NAT IPv4 vers Traefik (80/443) et WireGuard (51820)
- IPv6 GUA avec délégation de préfixe :
2a01:cb08:8806:1300::/56 - Firewall IPv6 ouvert vers les services exposés
- DNS interne (non utilisé par le homelab)
Rôle¶
- Fournit l’accès Internet
- Gère le préfixe IPv6
- Assure la translation NAT
- Distribue les IP fixes via DHCP
2. Topologie physique¶
2.1 Schéma ASCII¶
Internet (FTTH 8 Gbps)
│
▼
[ Livebox 7 ]
│
│
▼
[ Switch 2.5G ]
│
├─────────────── Proxmox (alpha)
│
▼
[ Switch 1G ]
│ │ │ │
▼ ▼ ▼ ▼
TV AppleTV Nintendo Switch Imprimante
3. Plan d’adressage¶
3.1 IPv4 – Découpage par zones¶
LAN principal : 10.42.1.0/20
- Livebox :
10.42.1.1 - Proxmox (alpha) :
10.42.1.10 - Conteneurs : IP fixes via DHCP (réservations)
Le réseau interne est organisé en zones logiques, chacune correspondant à un rôle fonctionnel.
La segmentation n’est pas encore VLANisée, mais le plan est déjà structuré pour faciliter la transition.
| Zone | Préfixe | Rôle |
|---|---|---|
| DYN | 10.42.0.0/24 | IP dynamiques + petits clients + postes externes (ou nouveaux) |
| Z1 – INFRA‑CORE | 10.42.1.0/24 | Cœur réseau (Proxmox, DNS, Traefik interne, WG endpoint) |
| Z2 – INFRA‑SERVICES | 10.42.2.0/24 | Services socle (NFS, apt‑cacher, CrowdSec, Wazuh, Prometheus…) |
| Z3 – APPS‑MEDIA | 10.42.3.0/24 | Jellyfin, Sonarr, Radarr, Prowlarr, Bazarr, qBittorrent, Navidrome |
| Z4 – APPS‑CLOUD | 10.42.4.0/24 | Nextcloud, Docmost, apps web |
| Z5 - AI | 10.42.5.0/24 | Pool IA |
| Z6 – DMZ / EXPOSED | 10.42.6.0/24 | Services exposés (Traefik frontaux, WireGuard, futurs services publiés) |
| Z10 – CLIENTS‑USER | 10.42.10.0/24 | PC, TV, Switch, iPhone, imprimante, balance |
| Z7-8 – RESERVE / FUTUR | 10.42.7.0/24 10.42.8.0/24 | Croissance, lab, tests |
| Z20 – VPN | 10.42.20.0/29 | Endpoint WireGuard + 4 clients |
Ce découpage servira de base à la future segmentation VLAN (Mikrotik).
3.2 IPv6¶
- Préfixe délégué :
2a01:cb08:8806:1300::/56 - Chaque conteneur reçoit une GUA stable (SLAAC)
- Services exposés accessibles en IPv6 :
- Traefik (80/443)
- WireGuard (51820)
- DNS DoH (tdns / tdns2)
4. Règles DNS internes¶
4.1 DNS primaire / secondaire¶
- tdns (101) : 10.42.1.11
- tdns2 (117) : 10.42.1.12
4.2 Attribution automatique¶
Le DNS dépend de l’ID du conteneur :
- ID pair → tdns2
- ID impair → tdns
- Exceptions :
- 100 → tdns
- 110 → tdns2
- 111 → tdns
5. Diagramme Mermaid (réseau logique)¶
6. Préparation à la segmentation VLAN¶
6.1 Objectifs¶
- Cloisonner les services
- Séparer multimédia / cloud / infra / supervision
- Isoler les services exposés
- Réduire la surface d’attaque
- Optimiser les flux internes
6.2 VLANs prévus (proposition)¶
| VLAN | Usage | Exemple |
|---|---|---|
| 10 | Infrastructure | Proxmox, DNS, NFS |
| 20 | Supervision | Prometheus, Grafana, Wazuh |
| 30 | Multimédia | Jellyfin, Sonarr, Radarr |
| 40 | Cloud | Nextcloud, Docmost |
| 60 | Services exposés | Traefik, WireGuard |
| 70 | IoT / Multimédia | TV, AppleTV, Switch |
| 50 | IA | Ollama, openwebui, etc. |
(Ces VLANs ne sont pas encore actifs.)
7. Transition future vers Mikrotik¶
7.1 Pourquoi Mikrotik ?¶
- VLANs avancés
- Firewall granulaire
- Gestion du Wi‑Fi
- Performance stable
- Prix raisonnable
7.2 Impacts prévus¶
- Migration DHCP
- Mise en place ULA IPv6
- Mise en place HA
- Mise en place des VLANs
- Mise en place firewall frontal
- Remplacement des switchs
- Séparation LAN / DMZ / IoT
8. Synthèse¶
- Réseau simple, stable, sans VLAN
- Livebox = routeur principal
- Switch 2.5G = cœur du réseau
- Switch 1G = multimédia
- IPv6 pleinement fonctionnel
- DNS interne via tdns / tdns2
- Préparation active pour une segmentation VLAN future