Jeedom et réseau local dédié à la domotique

Bonjour à tous,
Tout d’abord, le sujet que je crée n’est pas directement lié à Jeedom, mais plus à l’aspect réseau dans lequel Jeedom évolue. J’espère que la catégorie dans laquelle je poste est la plus appropriée.

Je m’apprête à déménager et je souhaite donc en profiter pour améliorer la partie réseau local (via Wifi) de mon réseau domotique. Actuellement, tous mes devices domotique wifi (shelly, camera, la box jeedom, etc…) sont connectés à mon réseau local en utilisant le réseau wifi propagé par ma freebox (réseau local en 192.168.0.x). Mon souhait serait de rassembler tous mes devices domotiques sur un réseau dédié (genre 192.168.1.x) à l’aide d’un routeur dédié (et garder le réseau freebox pour les mobiles, PC etc). Le but étant que si ma freebox venait à cramer (ou bien que je venais à changer de FAI par exemple), mon réseau dédié à la domotique reste inchangé (et la config jeedom aussi), et j’aurai juste à rebrancher le routeur au cul de ma nouvelle box.
En contrainte, il faut que ce réseau domotique (le 192.168.1.x) ait bien évidemment accès à internet, et que je puisse exposer l’ip de mon jeedom sur internet (via redirection de IP/port, ma box jeedom étant pour l’instant accessible en https depuis l’extérieur avec une simple redirection de port).

J’ai glané par-ci par là des infos, mais j’arrive pas à trouver un tuto ou similaire pour faire ce que je veux.
Je suis en possession d’un routeur wifi TP-Link Archer C6, mais je n’ai pas l’impression qu’il puisse faire ce que je veux. Je peux soit le configurer en mode « access point » (ou il propage juste son réseau wifi, mais utilise le serveur DHCP de la freebox, donc même réseau) ou bien en mode « routeur », et là c’est à lui de se connecter au net (à la place de la freebox).
Idéalement, je voudrais simplement qu’il propage (comme en mode AP) son propre wifi, mais qu’il fasse à la fois rôle de DHCP sur le réseau wifi qu’il propage, tout en gardant le lien réseau à la freebox pour laisser passer le net (et les quelques redirections pour exposer un device sur le net).

Voici une version « schéma » de ce que je souhaite faire :

Puis-je mettre en place ce que je veux ? Avec mon routeur Archer c6 (via changement firmware ? Open WRT?) ?
Dois-je faire l’acquisition de matériel réseau supplémentaire pour mettre en place cette solution ?

J’espère avoir été clair dans mes propos, et je vous remercie d’avance pour vos retours

Bonjour
J’ai un peut le même genre de configuration, un routeur wifi dédier sous openwrt qui permet plein de chose.
En gros, avec openwrt, j’ai 3 nom wifi différent, avec un routage vers un vlan différent. Et mon routeur principal (pas la freebox) utilise les vlan pour l’affectation DHCP. Comme ça, je peux définir un réseau spécifique domotique et des règles sur le firewall liée à ce réseau particulier. Comme bloqué l’accès au net pour les shelly (qui font beaucoup trop de requètes).
Après solution sans modification du routeur wifi: avec ton C6, tu peux l’utilisé en mode routeur, avec le lien internet du routeur connecté à la freebox, et le wifi à mettre dans un autre réseau (192.168.5.x par exemple). Comme ça ta domotique sera sur un réseau différent de la freebox. Il faudra que tu ajoutes des règles firewall sur le routeur pour pouvoir passé du réseau freebox => réseau domotique
Nicocha

Merci pour ta réponse.

Entre temps, j’ai passé mon routeur C6 en mode routeur. J’ai effectivement plus d’options disponibles (routage NAT, firewall, serveur DHCP, table de routage etc).

Je n’ai quand même pas réussi à faire ce que je voulais, car la configuration du DHCP de la freebox est très très light (on peut uniquement choisir le range d’adresse, mais pas de masque ni rien) :

Et sur le C6, je n’ai pas la possibilité de sélectionner un routage VLAN pour un wifi en particulier. Et quand bien même, je ne vois/comprends pas comment configurer deux sous réseaux (192.168.1.X et 192.168.0.X) avec le C6 et/ou ma freebox.

Quand tu dis

tu peux l’utilisé en mode routeur, avec le lien internet du routeur connecté à la freebox, et le wifi à mettre dans un autre réseau (192.168.5.x par exemple

C’est véritablement ce que je cherche à faire. Voici ce que me propose l’interface de config pour le wifi :

Autrement dit, aucun paramètrage réseau. Uniquement du paramètrage du wifi en lui même.

Un dernier truc : Je pense qu’il faudrait que je désactive le DCHP sur la freebox, que je l’active sur le C6. Que je positionne une IP static sur le routeur via cet écran avec un mask à 255.255.0.0

pour être capable d’adresser du 192.168.1.X et du 192.168.0.X, mais je ne vois pas comment faire le distingo entre un device domotique ou un PC lorsqu’il demande une attribution IP au DHCP entre les deux lan (étant donné que j’ai pas l’impression de pouvoir faire le distingo depuis le réseau wifi).

Pfiou désolé pour tout le pavé, j’ai un peu tout balancé comme ça, en espérant donner les infos pour pouvoir m’éclairer

séparer les réseaux est un bon début via vlan ou pas peu importe. ce qui compte c’est d’isoler complètement la communication entre les vlans via un firewall pour filtrer tout ce qui va de l’IoT vers ton réseau interne.

en principe on utilise un seul serveur dhcp et on propage les demandes au travers des vlans via le routeur. à mon avis celui de la freebox va être en conflit à un moment ou un autre. en toute logique tu dois tout câbler à partir du routeur et t’attacher via son wifi aussi pour la partie domicile et oublier le wifi de la freebox. le réseau free servant uniquement de passerelle vers internet et bloqué à ça sur le firewall.

C’est exactement ce que je voudrais mettre en place afin dêtre moins dépendant de la box du FAI. Je ne n’ai pas encore acheté de routeur perso, mais j’ai pas mal lu.

La configuration des box internet des FAI sont souvent assez limité. Donc, il n’est toujours possible de faire ce qu’on veux avec.

Dans ce que j’ai compris, mon idée était de placer le routeur perso dans la DMZ de la box du FAI. Il faut configurer une DMZ sur la box du FAI avec comme adresse 192.168.2.0. Ainsi, tout ce qui vient de l’extérieur est renvoyé vers le routeur perso. Les équipements branchés sur les prise LAN de la box du FAI peuvent avoir accès à internet mais on ne peut pas y accéder depuis l’extérieur. Depuis l’extérieur, on ne peut accéder qu’au routeur perso. Ensuite, sur le routeur perso, qui du coup est exposé, il faut le protégé, en configurant bien le firewall, la redirection des ports, etc afin de pouvoir juste se connecter à la box domotique.

Aussi, je pense qu’on converse la TVIP avec la box TV du FAI qui resterait branchée sur la box internet du FAI. En revanche, je ne suis pas certain que les appareils branchés sur la box du FAI puissent communiquer avec les appareils branchés sur le routeur perso et inversement. Exemple, j’ai un serveur DLNA qui serait branché sur le routeur perso, malheuresement, je ne pense pas pouvoir lire du contenu multimedia en DLNA depuis la box TV du FAI.

De plus, avec cette config, il y a peu de réglages à faire sur la box du FAI, juste la DMZ. Et sur le routeur perso, on refait une bonne fois pour toute ses petits réglages qui vont bien : IP fixes pour les serveur, DNS local, firewall, redirection de ports…

Ainsi, le réseau perso « domotique » du routeur perso devrait rester fonctionnel en local si on débranche la box internet du FAI. On est surtout indépendant du FAI qui se permet (c’est sa box en même temps) de faire des MAJ sans prévenir, de réinitaliser parfois (par exemple pour un passage en force et en douce en IPv6 avec des menus IPv4 qui disparaissent)…

Un peu de lecture ici

Pour les services freebox,

Ton histoire de DMZ sur l’IP du routeur est intéressante, ton article sur la freebox l’explique bien.

Je suis tombé sur ça : Opening...
c’est un émulateur de mon routeur, pour montrer à tout le monde ce qu’il est possible de configurer avec.
Aussi, j’ai appris l’existence d’une option réseau « multi-ssid », qui permet justement d’attribuer un réseau wifi à un subnet en particulier. En l’occurrence mon routeur Archer C6 ne le permet pas…

Donc la solution la plus viable serait de passer la freebox en mode bridge, créer un VLAN100 sur le routeur (pour retrouver certains services sur la freebox perdu au passage du mode bridge, notamment la connexion du boitier player), et configurer toute la partie réseau sur le routeur (DHCP, firewall, redirection de ports etc).

Pour ma part j’utilise pfSense depuis 4 ans maintenant, j’en suis pleinement satisfait. J’ai des réseaux séparés avec VLAN attribués pour différentes utilisations : Management, Trusted (LAN), Guest, Virtualisation, IoT.
Chaque interface a ses propres règles de pare-feu, son propre serveur DHCP, son résolveur DNS, etc…

Mon pare-feu vient se placer derrière ma BBox Proximus, en PPPoE (mon pare-feu a ainsi sa propre IP publique, je cours-circuite les éventuels problèmes relatifs au double NAT). La DMZ est une bonne méthode aussi pour argumenter les propos de @Domatizer (Attention dans une DMZ on met juste un périphérique, pas un réseau).

Dans le cas d’IoT, j’y ai intégré mes périphériques IP liés à la domotique, je n’en ai pas beaucoup : la clé TubeZB CC2652P2, mon pont Philips Hue, on peut également y ajouter des caméras IP par exemple, etc…

Mon Jeedom reste sur le réseau Trusted, ainsi que ZwaveJS2MQTT et ZigBee2MQTT. Concernant les périphériques sur le réseau IoT :

• Ils ne peuvent pas discuter entre eux
• Leurs requêtes DNS sont redirigées mon résolveur DNS via de l’outbound NAT (seul moyen de contrer les DNS codés en dur sur les périphériques)
• Ils peuvent accéder à Internet
• Ils n’accèdent à aucun autre réseau de la maison

Pour le wifi, mes bornes Unifi diffusent un SSID par interface sur pfSense (sauf Management), elles sont taggées sur les VLAN correspondant, ainsi un périphérique IoT connecté en wifi recevra une IP du sous-réseau correspondant.

La solution réseau que décrit @shadowking est un peu overkill pour mon besoin (surtout en terme de budget).

J’ai parcouru encore pas mal le net, et je pense converger vers une solution techniquement abordable (mais sur laquelle on puisse faire de l’admin réseau avancée tout de même, style réseau home lab voire petite entreprise) avec un budget restreint (ici 160€ pour le routeur + AP wifi).

La solution que j’ai trouvé : la gamme Omada de chez TP-link. C’est une gamme de devices réseaux grand public mais pour utilisation avancée. Les devices sont administrables via une interface web limitée, ou bien via un outil d’administration complet à installer sur son PC (Omada controller).

En prenant le routeur ER605 (capable de gérer la partie wan, interface, vlan etc) et un access-point wifi EAP610 (Wifi 6, AX610, PoE+, mesh etc…), je peux faire tout ce que je voulais => déployer plusieurs wifi sur différentes interfaces/vlan pour à peine 160€, et administrer le tout sur une interface utilisateur

Sur cette première vidéo, on voit comment administrer une solution omada (ici juste un AP610) via le web browser ou bien le « Omada controller » : TP-Link EAP - First Time Setup - YouTube

Sur cette deuxième vidéo, on a une explication complète d’une mise en place d’un multi-ssid (il utilise le combo ER605 + AP610 avec un switch en plus, switch qui n’est pas obligatoire si le routeur suffit pour câbler juste l’AP et 2 ou 3 autres devices en wired) : Creating VLANS, Wifi Networks And Bandwidth Control With TP-Link Omada - YouTube

Avant de lancer la commande, je vais encore bien étudier la question, mais je pense que je suis sur la bonne voie

C’est aussi une solution, après on peut trouver d’occasion du très bon matériel type OpenWRT, DD-WRT, etc…

Sur la box SFR, le mode bridge a été supprimé. Donc, il faut faire sans. Pour SFR, il y a un tuto ici.

Depuis le passage en force en IPv6 by SFR , mon adresse IPv4 est partagée entre plusieurs clients.

Par conséquent, je ne peux plus accéder en IPv4 depuis l’extérieur. Il faut passer par l’IPv6. De plus, la DMZ est aussi en IPv6 (celle en IPv4 n’existe plus)

Ce point là n’est pas très clair pour moi. Dans le menu DMZ, j’ai ceci

Dans Subnet, c’est le préfixe IPv6 de la box du FAI aaaa:bbbb:cccc:dddd::/64
Dans Adress IP si on coche l’option Passerelle c’est une adresse IPv6 complète aaaa:bbbb:cccc:dddd:0011:2233:4455:ffff avec 4 « f » à la fin. J’imagine que c’est l’adresse IPv6 de la box afin que le routeur placé en DMZ puisse se connecter à la box du FAI ou alors c’est l’adresse IPv6 du routeur dans la DMZ. Comme il n’y aucune doc nulle part, il faut essayer pour comprendre qui fait quoi…

C’est marrant, t’as recherché le même matos que moi. Sur ce routeur TP-Link, on peut avoir 2 WAN et donc mettre un routeur 4G en plus pour obtenir une connexion de secours.

Sinon, pour les furieux, il reste la solution de se passer de la box du fournisseur voire même du boitier ONT pour la fibre sur ce forum https://lafibre.info/routeurs/

Je pense que la DMZ devra pointer vers ton routeur, et idéalement en SLAAC et pas DHCPv6, ou alors il te faudra fixer l’IP attribuée au routeur par réservation dans ta box. L’avantage de SLAAC c’est que l’IP ne bouge que si le préfixe bouge, vu que le reste de l’adresse est basée sur la MAC.

Je pense que la passerelle est là dans le cadre du Router Advertisment (RA) qui permet aux routeurs de s’annoncer sur un réseau IPv6.

En revanche ce qui m’interpelle c’est que ton préfixe est un /64 ? Normalement le FAI délègue a minima un /56, et la box ou ton routeur choisir un /64 parmi ce /56 pour délivrer des adresses IPv6 aux périphériques demandeurs, voire plusieurs /64 si justement on veut créer plusieurs réseaux chez soi. Il faudrait vérifier que dans le TP-Link tu puisses stipuler la taille du préfixe délivré par le FAI, et celui qu’il peut utiliser pour ses propres clients.

Oui, c’est ça, d’où le réseau du routeur perso dans la DMZ

Sur la box SFR, c’est configuré en SLAAC par défaut, et le DHCPv6 est désactivé.

Et le préfixe de la box ne devrait pas trop bouger pas.

Sur la page info générale, le préfixe IPv6 est bien avec un /56. Pour la DMZ, je peux changer le /64 (par défaut)

Je n’ai pas encore de routeur. Tout est réflexion pour le moment. Mais il va falloir passr à l’action pour expérimenter tout ça. Merci @shadowking

Salut
un détail, n’utilisez pas 192.168.1.x car c’est utilisé comme lan sur d’autres box (Orange par ex) donc posera pb si vous changez de fai. Ce qui est dans votre cahier des charges.

Mieux vaut changer radicalement : 192.168.5.x ou mieux 10.x.x.x

Bonjour sauf erreur tous les routeurs ont le DHCP et permettent de changer l’IP

Un petit update sur l’avancement de la « refonte » de mon network perso.

J’ai donc commandé, installé et configuré le couple TP-link ER605 (le routeur)/EAP610 (l’AP Wifi) derrière ma freebox (passée en mode bridge pour l’occasion).

Ce que j’ai réussi à faire :

• Créer deux subnet (VLAN 10 sur 192.168.10/24 et VLAN 20 sur 192.168.20/24), l’un dédié aux devices persos (mobiles, PC etc) et l’autre aux Iot domotique
• Créer deux wifi distinct l’un câblé sur le VLAN 10 et l’autre VLAN 20
• Connecter tous mes devices domotiques sur le wifi VLAN 20
• Configurer une règle NAT sur les ports 80/443 sur l’IP (static) attribuée à mon jeedom
• Configurer un certificat pour l’accès extérieur à mon jeedom en HTTPS (via un nom de domaine perso OVH redirigé vers l’IP internet (IPV4 full stack) de ma freebox)

Jusque là je suis content.
Cependant, j’ai encore deux soucis que je n’arrive pas à régler :

• La « configuration réseau externe » est toujours NOK sur jeedom
• Lorque je tente d’accéder à mon url (on dira « www.monjeedomperso.com », sur lequel j’ai créé mon certificat pour https) depuis mon PC connecté à mon réseau local, impossible d’afficher la page (temps d’attente dépassée). Alors que quand je tente d’y accéder depuis l’extérieur (via partage de connexion via mon tel par exemple), j’arrive bien sur mon jeedom avec un certificat valide.

J’ai l’impression que les deux points problématiques sont liés. Pourquoi je ne peux pas joindre mon www.monjeedomperso.com quand je suis positionné derrière mon routeur ? (et j’imagine que le « accès externe » reste à NOK pour la même raison, car le jeedom n’arrive pas à accéder non plus à www.monjeedomperso.com). Est-ce que j’ai loupé un truc dans la conf réseau ?

Merci d’avance pour votre aide

Salut

Comment sont configurés la/les gateway? Les dns? aux différents niveaux du reseau.

Sur les appareils du vlan10, du vlan20 et sur le routeur tplink.

la requête http(s) vers le domaine perso depuis les 2 vlan n’arrivent pas à faire l’aller-retour (pour schématiser) vers les serveurs ovh puis redescendre vers la box.

Etant donné que de l’extérieur ça fonctionne, mon petit doigt me dit que c’est la sortie de la requête de l’intérieur vers ovh qui n’aboutit pas. D’où probablement un pb de conf dns entre le tplink>box free>internet

J’utilise aussi depuis des années le couple Pfsense / Wifi Unifi / Proxmox

Ma freebox est en mode bridge et Pfsense est mon coeur de réseau.
J’ai Plusieurs réseaux portés par des VLANs différents

• LAN (ex:VM Jeedom, OMV, Docker, …)
• DMZ INTERNE (equipment IOT)
• DMZ PUBLIQUE (REverse Proxy Web pour accéder à Jeedom par Exemple)

Pfsense me permet de regler finement les matrice de flux de toutes mes DMZ
Par exemple les équipement IOT n’ont pas accès au LAN

Le Wifi Unifi est tout bonnement génial, digne des pros… multiples SSID, multiple VLAN, tout ca sur un controleur virtuel

Ca me semble évident .
Il faut faire du split DNS

En interne ton www.monjeedomperso.com doit etre résolu par tes DNS internes avec l’ip locale

En externe ton www.monjeedomperso.com doit etre résolu par les dns publiques avec l’ip publique

JE fais cela pour tous mes services …

Le plus ergonomique est d’avoir un reverse proxy (exemple NPM sous docker) qui serait un point d’entrée unique depuis l’extérieur

Merci à @bartounet et @Nicoca-ine pour vos réponses.

Bon je vais paraître idiot, mais il se trouve qu’entre temps, tout est rentré dans l’ordre, sans rien que je ne touche ! Je pense tout simplement que la propagation DNS (de ma redirection A ovh) n’était pas encore totale. J’imagine que la propagation DNS était OK via ma co du smartphone, mais pas encore opérationnel sur les DNS free. Bref, tout fonctionne !

Du coup, pour répondre à mon topic initial, à savoir : comment établir un réseau local (avec une configuration avancée, dédiée à la domotique) sur un budget accessible (de 170 à 350€), je répond donc à moi même :

TP-Link possède une gamme de matériel réseau semi-pro, relativement abordable : La gamme « Omada SDN »
Pour le besoin évoqué, vous aurez besoin de :

• Le routeur/gateway ER605 à venir positionner derrière la box/modem de l’opérateur. C’est lui qui s’occupe de la partie L2/L3 : il intègre un DCHP, VPN, Firewall, gestion VLAN, routing, NAT etc… Il remplace totalement la partie « routeur » de la box du FAI. Cela nécessite donc de passer la box du FAI en mode « bridge » (ou modem simple). Si pas possible, possibilité aussi de positionner le routeur TPLink sur la DMZ de la box du FAI. Enfin, aussi possible de configurer le ER605 en tant que modem directement (et donc se passer totalement de la box du FAI), mais la configuration est assez touchy et dépendant du FAI (donc je déconseille au simple « amateur », pltût réservé aux sys admin chevronnés). Le routeur ER605 coûte environ 70€ actuellement
• Un access point Wifi (au choix, y’a par exemple le EAP225, EAP235, EAP245, EAP610 etc…) : Le modèle sera surtout dépendant de vos besoins en terme de couverture (puissance, indoor, outdoor etc) et de débit (Wifi6 ou pas, etc…). Les budgets vont de 80 à 120€. Perso j’ai pris le 610 à 100€, parfaitement adapté pour une maison, techno Wifi-6, mesh, PoE etc…
• (Optionnel) Le switch TL-SG2008P. Le switch n’est pas obligatoire pour faire tourner l’installation sous Omada, cela dépend surtout si vous avez beaucoup de devices en RJ45 (par exemple si votre maison/appart dispose de prise RJ45 dans toutes les pièces). Il faut compter ~90€
• (Optionnel mais recommandé) Le controller OC200 : Il s’agit d’un boîtier qui intègre une OS qui permet de manager tout le réseau avec une belle interface et qui intègre tout au même endroit. On peut se passer de ce controller via un controller dit « software » (qu’on installe sur son PC qui doit être connecté sur le VLAN « manager »). L’OC200 permet ne se passer de ce software, on s’y connecte simplement via une interface web sur son IP locale. Aussi, l’OC200 permet de « cloudifier » la partie management (accessible depuis n’importe où sur le net via son compte TPLink-ID). Pour avoir démarré mon infra réseau avec simplement le routeur ER605 et un AP wifi, j’ai très vite ressenti le besoin d’avoir ce controller, car la gestion via le software est assez contraignante, je le recommande donc. Après vous pouvez « commencer sans », et le rajouter après dans votre archi si le besoin s’en fait resssentir. Il faut compter 110€.

Avec cette configuration réseau, vous serez capable de :

• Monter plusieurs subnets avec leur VLAN associé
• Gérer l’attribution des IPs DHCP, via subnet, groupes etc
• Déployer plusieurs Wifi en fonction des VLAN, guest wifi, portail d’accès, choix de la fréquence, puissance, channel etc
• QoS (limitation de bande passante par profiles, VLAN, session limit, etc)
• Routing, NAT, Firewall, VPN (client & serveur)
• Logs et visualisation de stats avancée : graph capacité réseau, trafic, distribution wifi etc

Il faut donc compter un budget de 170€ minimum à 300-350€ idéalement. Pas la peine de posséder une baie à serveur, les périphériques ne sont pas sur rack, juste avoir un petit placard.

Vous trouverez grosso-modo la présentation que je viens faire ci-dessous dans cette vidéo.

Enjoy !

Merci pour ce retour d’expérience.
Quitte à partir sur du tout intégré et du contrôleur, je serai plutôt parti sur Unifi pour a partie Switch et Wifi.
Le controlleur Unifi est gratuit et est ultra performant et mis à jour régulièrement

Pour la partie routeur, je n’en démord pas, un Pfsense dans un boitier dédié.
64€ le routeur ca me parait vraiment peu, j’ai peur que la qualité et les perfs s’en ressentent.

De nos jours les connexions fibres ont tendance à être très rapide, et j’ai déjà vu de petits routeurs ne pas suivre en terme de débit.
Assure toi quand meme que tu sature ta connexion fibre avec ton routeur sur un seul flux TCP

Après du moment que cela correspond à ton besoin, c’est l’essentiel