1. Présentation du projet

Démarré durant ma première année de BTS SIO, mon homelab constitue mon environnement principal d’apprentissage et d’expérimentation. Il en est aujourd’hui à sa troisième version.

Objectifs :

  • Mettre en pratique et approfondir les notions abordées en BTS SIO,
  • Mettre en place des solutions centralisées pour fonctionner en mode client léger, indépendamment de l’OS du poste utilisé (Fedora sur le portable, Windows sur le fixe),
  • Disposer d’un lab pour créer les différentes VM et outils nécessaires à la réalisation de mes TP dans le cadre du BTS SIO,
  • Assurer les sauvegardes de mes documents de cours, gestionnaire de mots de passe et documents importants de façon centralisée,
  • Permettre une connexion à distance sécurisée via un VPN,
  • Documenter l’infrastructure et maintenir un schéma à jour.

Environnement technologique :

  • Routeur Mikrotik
  • Hyperviseur Proxmox VE
  • NAS Ugreen
  • Raspberry pi
  • VM Debian
  • Docker

Compétences mobilisées :

  • Gérer le patrimoine informatique
  • Développer la présence en ligne de l’organisation
  • Mettre à disposition des utilisateurs un service informatique
  • Organiser son développement professionnel

Il est hébergé à domicile et repose sur une infrastructure mixte associant des équipements physiques (routeur, NAS, Raspberry Pi, Mini PC) et virtualisés (VM sous Proxmox VE).

L’infrastructure est segmentée en plusieurs VLAN afin d’isoler les différents usages :

  • clients,
  • serveurs de production non exposés,
  • DMZ,
  • environnements de laboratoire,
  • serveurs de production exposés.

Cette approche reproduit, à petite échelle, les bonnes pratiques d’un réseau d’entreprise. Vous pouvez trouver le schéma d’infrastructure ci-dessous :

Schéma de l’infrastructure homelab

2. Architecture générale

L’accès à Internet est assuré par une Livebox Orange. Le routage et la segmentation VLAN sont délégués à un routeur Mikrotik, qui constitue le cœur du réseau. La Livebox est placée en amont et fournit la connectivité WAN ainsi que le service DNS. Le routeur Mikrotik sert de relais DNS, serveur DHCP et serveur NTP.

Flux principaux :

  • Le Mikrotik porte les VLAN, assure le DHCP et le relais DNS pour le réseau interne.
  • Le serveur Proxmox héberge l’ensemble des VM, réparties dans les VLAN via des interfaces réseau taguées (802.1Q).
  • Le Raspberry Pi en DMZ porte le reverse proxy SRV-RPROXY1 qui expose les services publiables sur Internet à l’aide d’un serveur Caddy.
  • Un second reverse proxy SRV-RPROXY2 est déployé côté VLAN-SRV pour l’accès interne aux services via SSL/TLS.
  • Le NAS Ugreen est relié au Proxmox pour fournir un stockage partagé aux VM et assure le stockage des sauvegardes.

3. Plan d’adressage et segmentation VLAN

Plages d’adressage anonymisées

VLANAdressageUsage
10.X.X.0/24Liaison Livebox ↔ Mikrotik
VLAN-CLT10.X.10.0/24Réseau utilisateurs (Wi-Fi + filaire)
VLAN-SRV10.X.20.0/24Nextcloud, supervision, Docker, reverse proxy interne
VLAN-DMZ10.X.40.0/24Reverse proxy public (Raspberry Pi)
VLAN-LAB110.X.50.0/24pfSense virtualisé (routeur vers LAB2 et LAB3)
VLAN-LAB210.X.60.0/24Réseau de test 1
VLAN-LAB310.X.70.0/24Réseau de test 2
VLAN-EXP10.X.80.0/24Réseau pour les services exposés sur Internet

Principe de segmentation :

  • Les clients (VLAN-CLT) n’ont accès aux services que via les reverse proxy.
  • Le VLAN-SRV héberge la production personnelle (Nextcloud, monitoring…).
  • La DMZ n’expose que le reverse proxy public, point unique d’entrée des services Internet.
  • Les VLAN-LAB1/2/3 forment un environnement cloisonné, routé par VM PFSENSE, pour tester des architectures (AD, clients joints au domaine, etc.) sans impacter la production.

4. Sécurité et exposition des services

Plusieurs mesures sont mises en place pour limiter la surface d’attaque :

  • Cloisonnement par VLAN : chaque environnement est isolé, les flux inter-VLAN sont filtrés.
  • DMZ dédiée au reverse proxy public : aucune machine interne n’est directement exposée sur Internet. Seul le Raspberry Pi, durci et à rôle unique, reçoit le trafic entrant.
  • Reverse proxy avec TLS : chiffrement systématique des services exposés.
  • Comptes séparés entre environnement de production et environnement de laboratoire.
  • Principe du moindre privilège sur les règles de pare-feu.

5. Accès distant

L’accès distant est assuré par un tunnel VPN avec authentification par clés publiques/privées. Une fois connecté, l’utilisateur distant est considéré comme un client interne et accède aux ressources selon les règles de filtrage inter-VLAN définies.

6. Sauvegarde et stockage

Le NAS joue un double rôle dans l’infrastructure :

  • Stockage partagé des VM Proxmox via le réseau de stockage dédié.
  • Cible de sauvegarde pour les snapshots Proxmox et les données importantes (documents personnels, configurations).

Cette double fonction permet de centraliser à la fois la production et les sauvegardes sur un équipement unique, tout en conservant des copies externalisées pour les données les plus critiques.

7. Bilan et perspectives

Ce projet m’a permis d’aborder concrètement et en autonomie plusieurs compétences : segmentation réseau, virtualisation, reverse proxy, gestion de certificats TLS, VPN, sauvegarde, supervision et documentation d’infrastructure.

Au-delà des compétences techniques, ce homelab a nourri ma capacité à concevoir une architecture cohérente, à documenter mes choix et à les faire évoluer. Il constitue également un terrain d’expérimentation pour mettre en pratique les sujets abordés au cours de ma formation.