Skip to main content

Réseau Documentations

Documentation sur mon réseau interne.

En plus du système standard WAN et LAN, il y a un Tunnel WireGuard entre ce réseau et le réseau de perrin-transport.ch

Adresses

  • WAN : address IP Dynamique
  • LAN : 10.10.10.0/24
  • Passerelle LAN (routeur) : 10.10.10.1
  • Bridge LAN : bridge
  • Nom de domaine : lepag.ch

Tunnel WireGuard avec servernas.perrin-transport.ch :

  • IP Tunnel côté lepag.ch : 192.168.32.1/32
  • IP Tunnel côté perrin-transport.ch : 192.168.32.2/32
  • IPs LAN côté perrin-transport.ch : 10.10.20.0/24

Utilisation

Accès au routeur

Par Winbox

Le firewall est configuré pour accéder au routeur avec le programme WinBox seulement par l'adresse 10.10.10.102 du LAN.

Par le Web

L'accès se fait par le port 82 : lepag.ch:82 Mais il faut avant faire du port knocking avec une séquence qui est écrite dans le keepPass, ceci permettra l'accès au port 82. Il est possible de l'atteindre depuis l'internet et le LAN

Ping

Le routeur est Pingable depuis le Tunnel WireGuard et depuis le LAN

OpenVpn

Il est possible de se connecter au réseau par OpenVpn sur le serveur synology. Mais il faut avant faire du port knocking avec une séquence qui est écrite dans le keepPass, ceci permettra l'accès au port 1194

Documentation des règles Firewall MikroTik

🧱 Chaîne INPUT (trafic à destination du routeur)

Règle 1 --- Block Port-Scanners

Bloque les IP détectées comme scanneurs de ports.

Règle 2 --- Accept ICMP depuis WireGuard

Autorise les pings sur le routeur A via le tunnel WireGuard.

Règles 3--5 --- Port-Knocking (3 étapes)

Séquence de ports permettant d'ajouter une IP à la liste "Allowed".

Règle 6 --- Port Scanner Detector (PSD)

Détecte un scan rapide et blacklist l'adresse.

Règle 7 --- Accept WireGuard Port

Autorise le trafic UDP du tunnel WireGuard.

Règle 8 --- Accept Winbox depuis LAN autorisé

Permet Winbox uniquement depuis vos adresses personnelles.

Règles 9--10 --- Accès webadmin (port 82)

Autorisé uniquement pour les IP "Allowed" d'accéder soit depuis le tunnel WireGuard soit depuis le bridge à l'administration du serveur par http mais sur le port 82

Règle 11 --- Accept established/related

Indispensable pour laisser passer les retours de connexions.

Règle 12 --- Drop invalid

Supprime les paquets corrompus.

Règle 13 --- Accept ICMP LAN

Autorise ping depuis le LAN local.

Règle 16 --- Drop everything else

Sécurise totalement l'accès au routeur.

🔁 Chaîne FORWARD (trafic traversant le routeur)

Règle 17 --- FastTrack

Accélère les connexions établies.

Règle 18 --- Accept established/related

Autorise les paquets de réponse, essentiel pour laisser passer les retours de connexions.

Règle 19 --- Drop NEW

Empêche les connexions non sollicitées

Règle 20 --- Accept LAN A -> LAN B via WireGuard

Permet de utiliser le lan B du routeur B par le tunnel WireGard

Règle 22 --- Accept RSync from WireGuard

Accept RSync par le tunnel WireGard

Règle 24 --- DROP all WG traffic vers le routeur

Bloque tout accès au routeur via WireGuard.

Règles 25--26 --- IPsec

Compatibilité IPsec.

Règle 27 --- Drop WAN not dst-nat

Bloque tout trafic entrant non redirigé depuis Internet. SAUF celles qui ont une règle de redirection (NAT)

NAT

Le serveur interne 10.10.10.100 est exposé vers Internet sur les ports suivants :

  • 80/TCP → HTTP (site web)
  • 443/TCP → HTTPS (site web sécurisé)
  • 1935/TCP → RTMP (streaming vidéo)
  • 25/TCP → SMTP (serveur de mail entrant)
  • 1194/UDP → OpenVPN (pour IP sources dans Allowed)