Déployer un réseau local domestique géré et sécurisé avec un raspberry pi permet de retrouver une connectivité filaire fiable lors d’une panne de box, tout en offrant un contrôle fin du pare-feu et du serveur DHCP pour le LAN domestique. Cette approche combine des services indispensables comme le DNS récursif, le routage inter-réseaux et le monitoring réseau afin d’améliorer la résilience et la sécurité réseau.
Le plan présenté suit une situation vécue où une Airbox 4G remplace temporairement une Livebox, obligeant à recréer le LAN pour les appareils câblés et à réimplanter le contrôle d’accès centralisé. La suite présente l’essentiel opérationnel et technique, A retenir :
A retenir :
- Rendre le Raspberry Pi routeur et DNS local
- Segmenter le LAN pour limiter mouvements latéraux
- Centraliser DHCP et DNS pour contrôle d’accès
- Favoriser Zero Trust et VPN pour accès externe
Raspberry Pi comme routeur et résolveur pour le LAN domestique
Cet aspect découle naturellement de l’objectif de centralisation décrit précédemment et montre comment un Raspberry Pi peut jouer plusieurs rôles simultanés sur le réseau local. Le Pi fonctionnera comme routeur, serveur DHCP et résolveur DNS récursif afin d’assurer l’accès Internet et la résolution de noms pour les équipements filaires.
Configuration des interfaces et adresses IP
Ce point se rattache directement à l’usage dual du Pi sur deux réseaux distincts afin d’éviter les conflits DHCP et d’assurer le routage. Il faut attribuer une IP fixe à eth0 sur le réseau 192.168.1.0/24 et une IP fixe à wlan0 sur le réseau 192.168.2.0/24 pour piloter la passerelle Airbox.
Équipement
Interface
IP / Rôle
DHCP
Livebox (panne)
LAN
192.168.1.1
Activé
Airbox 4G
LAN Wi‑Fi
192.168.2.1
Activé
Raspberry Pi
eth0
192.168.1.2
Client DHCP serveur
Raspberry Pi
wlan0
192.168.2.2
Passerelle
Un fichier dhcpcd.conf bien édité stabilise ces adresses et oriente les serveurs DNS locaux vers le Pi afin d’assurer la cohérence des résolutions sur le LAN domestique. Après configuration, un redémarrage du service réseau permet de valider la présence des deux IPs simultanées sur l’hôte.
Paramètres essentiels:
- IP fixes sur eth0 et wlan0 pour éviter conflit
- DNS local pointé vers 192.168.1.2 sur les clients
- Désactivation DHCP sur la box si nécessaire
« J’ai branché le Pi en quelques heures et tous mes postes filaires ont retrouvé Internet sans réinstaller rien d’autre »
Alice D.
Bind comme résolveur récursif et mise en cache
Cette sous-partie s’inscrit dans la logique de rendre le Pi autonome pour la résolution DNS et réduire les requêtes externes répétées. L’installation de bind9 et l’activation de la validation DNSSEC permettent de mettre en cache les réponses et d’améliorer la confidentialité des requêtes sur le LAN domestique.
Selon Bortzmeyer, opter pour un résolveur local réduit les fuites de requêtes et facilite le blocage côté réseau des domaines malveillants. Le test avec dig confirme que la machine répond comme résolveur principal et qu’elle met en cache les réponses pour des gains de latence mesurables.
Routage, NAT et contrôle d’accès entre VLAN pour sécurité réseau
Ce chapitre prolonge la configuration du Pi pour aborder le routage et la protection des flux, éléments indispensables pour renforcer la sécurité réseau au sein du LAN domestique. L’activation de l’IP forwarding, la règle MASQUERADE et des politiques de pare-feu permettent au Pi d’orchestrer le trafic entre réseaux tout en imposant un contrôle d’accès strict.
Activation du routage et règles NAT
Ce point explique comment autoriser le transfert inter‑réseaux et masquer les adresses privées pour l’accès Internet via l’Airbox. Il suffit d’activer net.ipv4.ip_forward et d’ajouter une règle iptables POSTROUTING en MASQUERADE sur wlan0 afin de permettre la communication sortante des clients filaires.
Règles pare‑feu recommandées:
- Politique par défaut Refuser pour limiter surface d’attaque
- Autoriser established et related pour fonctionnement normal
- Bloquer l’accès IoT vers les plages privées sensibles
Selon Framboise314, documenter les règles et les rendre persistantes évite les régressions après un redémarrage impromptu, surtout sur des Pi utilisés comme routeurs maison. Il est aussi utile d’inscrire les règles critiques dans rc.local ou via un service systemd pour la durabilité.
« J’ai perdu des heures à cause d’une règle iptables non persistée, maintenant tout démarre proprement »
Marc L.
Segmentation VLAN et gestion réseau avancée
Ce volet se relie au contrôle d’accès pour proposer une organisation par VLAN, utile pour limiter les déplacements latéraux et protéger les services critiques du laboratoire domestique. La création de VLAN distincts pour IoT, Invités, Homelab et DMZ simplifie la définition de règles spécifiques et la surveillance réseau.
VLAN
Subnet
Usage
Accès Internet
10
10.10.10.0/24
Par défaut famille
Oui
20
10.10.20.0/24
IoT appareils non fiables
Oui contrôlé
30
10.10.30.0/24
Invités isolés
Internet uniquement
40
10.10.40.0/24
Homelab services
Oui sécurisé
Selon les bonnes pratiques de segmentation, ce schéma limite l’exposition des services sensibles et facilite l’application de politiques Zero Trust sur le LAN domestique. Documenter la correspondance VLAN/Vid et les ports physiques simplifie le dépannage et réduit les erreurs humaines.
Sécurisation des accès distants, VPN et monitoring réseau
Après avoir segmenté et routé le réseau, la prochaine étape consiste à sécuriser les accès distants et à mettre en place un monitoring réseau pour détecter les anomalies rapides. Les solutions Zero Trust comme Tailscale et Cloudflare Tunnel limitent l’exposition des services et facilitent l’accès chiffré sans ouvrir des ports publics.
Zero Trust, VPN et accès administrateur
Ce point découle naturellement de la volonté de restreindre l’administration aux seules consoles sécurisées, et de réduire l’utilisation de mots de passe simples. Il est recommandé d’imposer SSH par clé, d’ajouter un second facteur pour les consoles web et d’autoriser les accès administratifs uniquement depuis un sous‑réseau de confiance.
« L’usage de Tailscale m’a permis d’accéder à mes services sans ouvrir de ports, et la gestion est devenue plus sûre »
Clara P.
Monitoring réseau et durcissement des services
La surveillance active complète le dispositif en alertant sur des comportements anormaux avant qu’ils ne deviennent critiques pour le LAN domestique ou le homelab. Installer Prometheus, Grafana ou un outil léger de monitoring réseau permet de suivre la latence, l’usage des interfaces et les tentatives d’accès non autorisées.
Actions de surveillance:
- Exporter métriques interfaces et latence régulièrement
- Activer alertes sur chute de débit ou erreurs CRC
- Conserver journaux centralisés pour audits
Selon Linuxtricks et guides Debian, la sauvegarde régulière des configurations et la rotatation des logs facilitent la reprise après incident et l’analyse forensique. Un reboot final vérifie la persistance des règles et la cohérence de la table de routage.
« Le dispositif m’a évité plusieurs interruptions de télétravail et m’a rendu plus autonome face aux pannes »
Paul N.
Source : Bortzmeyer, « Resolveur DNS », bortzmeyer.org ; Framboise314, « Partage d’une connexion 4G avec Raspberry », framboise314.fr ; LinuxTricks, « Debian installer un serveur DHCP », linuxtricks.fr.