Le défi de la gouvernance réseau dans un Home Lab
En tant que professionnel de la gouvernance des SI, la règle du moindre privilège doit s’appliquer même au sein d’une infrastructure domestique. Mélanger le trafic d’administration de votre hyperviseur Proxmox VE avec celui de vos objets connectés ou de vos machines virtuelles de production est une hérésie en matière de sécurité. L’objectif aujourd’hui est d’isoler hermétiquement ces flux via un Trunk VLAN 802.1Q géré par OPNsense, tout en exposant certains services via un Tunnel Cloudflare (cloudflared) pour éviter toute ouverture de port sur votre routeur externe.
Étape 1 : Configuration du Trunk VLAN sur Proxmox VE
Par défaut, Proxmox utilise un pont Linux standard (vmbr0). Pour acheminer plusieurs VLANs vers nos machines virtuelles à travers une seule interface physique, nous devons rendre ce pont « VLAN aware ». Dans l’interface de Proxmox, naviguez vers Système > Réseau, éditez le bridge principal vmbr0 et cochez la case VLAN Aware. Cela permet à Proxmox de taguer et de transmettre les trames 802.1Q directement à votre pare-feu virtuel OPNsense sans multiplier les interfaces réseau virtuelles.
Étape 2 : Segmentation et routage sous OPNsense
Sur votre VM OPNsense (qui possède une interface virtuelle connectée à vmbr0), nous allons créer nos interfaces virtuelles (VLANs). Allez dans Interfaces > Other Types > VLAN. Créez le VLAN 10 (Management / Administration) et le VLAN 20 (Zone DMZ / Services publics). Associez-les à l’interface parente physique d’OPNsense. Configurez ensuite les règles de pare-feu : le VLAN 10 peut initier des connexions vers le VLAN 20, mais l’inverse est strictement interdit. C’est la base d’une gouvernance de zone robuste.
Étape 3 : Exposition sécurisée via Cloudflare Tunnel
Pour accéder à vos applications du VLAN 20 depuis l’extérieur sans exposer l’IP publique de votre domicile ni ouvrir de ports (NAT/PAT), nous déployons un agent léger cloudflared dans une VM isolée au sein du VLAN 20. Cet agent établit une connexion sortante persistante et chiffrée vers les serveurs edge de Cloudflare. Seul le trafic légitime et pré-authentifié par vos politiques Cloudflare Zero Trust sera acheminé vers vos services du VLAN 20, bloquant ainsi d’office les scans de vulnérabilités opportunistes.
Bénéfices de gouvernance opérationnelle
En appliquant cette architecture, vous réduisez drastiquement la surface d’attaque de votre infrastructure. L’accès aux interfaces de gestion de Proxmox et d’OPNsense reste confiné au VLAN 10 (uniquement accessible via un VPN local de confiance), tandis que vos services web résident dans une DMZ étanche (VLAN 20), protégée en amont par le WAF et les règles de sécurité de Cloudflare.
Laisser un commentaire