Roadmap Infrastructure Homelab

Projet: Réseau Sécurisé et Segmenté avec pfSense

---

🎯 Vision du Projet

Construire une infrastructure réseau homelab professionnelle, sécurisée et évolutive, basée sur pfSense, permettant la segmentation par VLANs, le blocage de contenus malveillants, la surveillance réseau avancée et l’hébergement de services auto-hébergés.

Principes directeurs: - Sécurité First: Défense en profondeur (firewall + IDS + filtrage DNS) - Évolutivité: Architecture modulaire préparée pour croissance - Performance: Matériel optimisé, monitoring continu - Coût maîtrisé: Équilibre entre investissement et fonctionnalités

---

✅ Phase 1: Fondations (Terminée)

Durée: 2 semaines (Novembre 2025) Budget investi: 112€

Infrastructure de Base

Matériel Déployé

• ✅ Mini PC Zotac ZBOX CI337 nano (85€)
  • Intel N100, 8GB DDR5, 128GB SSD
  • 2x Realtek GbE optimisés (realtek-re-kmod)
  • pfSense 2.8.1 installé et opérationnel
• ✅ Access Point Afoundry EW1200 (27€)
  • WiFi AC1200 dual-band (2.4 + 5 GHz)
  • Support VLAN 802.1Q natif
  • Multiple SSID (jusqu’à 8)

Logiciels et Services

• ✅ pfSense Community Edition 2.8.1
  • Firewall stateful moderne
  • NAT, routing, DHCP server
  • DNS Resolver (Unbound)
• ✅ Packages de Sécurité Installés
  • pfBlockerNG-devel: Blocage DNS (DNSBL) + IP filtering
  • Suricata: IDS/IPS avec règles ET Open
  • WireGuard: VPN moderne (prêt à configurer)
  • ACME: Certificats Let’s Encrypt automatiques
  • ntopng: Monitoring réseau temps réel
  • iftop: Monitoring bande passante

Architecture Réseau

• ✅ Topologie simple en place: Internet → Box ISP → pfSense (WAN+LAN) → EW1200 AP → Clients WiFi

text - ✅ Segmentation préliminaire: 1 VLAN (LAN principal) - ✅ Services actifs: DHCP, DNS, Firewall, AdBlock, IDS

Sécurité Implémentée

• ✅ Blocage publicitaire actif (pfBlockerNG DNSBL)

• 500k+ domaines bloqués (ads, trackers, malware)

• Mise à jour automatique quotidienne

• Taux de blocage: 20-40% requêtes DNS

• ✅ IDS Suricata sur WAN

• Mode IPS inline (blocage actif)

• Règles ET Open activées

• Catégories: attack, dos, exploit, malware, scan

• ✅ Firewall rules: Deny by default, allow explicite

• ✅ Chiffrement WiFi: WPA2-PSK/AES

Documentation

• ✅ Guides rédigés:
• Partie 1: Installation pfSense et configuration initiale
• Partie 2: Déploiement AP WiFi et pfBlockerNG
• Roadmap (ce document)

---

🚀 Phase 2: Segmentation Réseau (Court Terme)

Durée estimée: 3-4 semaines Budget estimé: 80-150€

Objectifs

Implémenter une architecture VLAN multi-segments pour isoler les différents types de trafic: - VLAN 10 (LAN): Réseau principal (laptops, smartphones) - VLAN 30 (IoT): Objets connectés isolés (smart home, caméras) - VLAN 99 (Guest): Invités sans accès au LAN - VLAN 50 (Management): Accès admin équipements réseau

Matériel Nécessaire

Switch Manageable 8 Ports

Modèles recommandés: - TP-Link TL-SG108E (40-50€) - Budget - Netgear GS308T (60-80€) - Intermédiaire - UniFi Switch Flex Mini (70-90€) - Prosumer

Fonctionnalités requises: - Support 802.1Q VLAN tagging - Port-based VLANs - Interface web de gestion - Fanless (silent)

Configuration Réseau

pfSense VLANs

Interfaces > Assignments > VLANs: VLAN 10 (LAN): Réseau principal existant VLAN 30 (IoT): [Subnet IoT]/24 VLAN 99 (Guest): [Subnet Guest]/24 VLAN 50 (Mgmt): [Subnet Management]/24

text

Services DHCP par VLAN: - Pools IP distincts - DNS = pfSense (filtrage pfBlockerNG pour tous) - Bail DHCP: 24h (LAN), 2h (Guest)

EW1200 Multiple SSID

Configuration WiFi segmenté: SSID: Homelab_Principal → VLAN 10 (WPA2-PSK) SSID: Homelab_IoT → VLAN 30 (WPA2-PSK) SSID: Homelab_Guest → VLAN 99 (WPA2-PSK, AP Isolation)

text

Sécurité par VLAN: - VLAN 30 (IoT): Client Isolation activé - VLAN 99 (Guest): Pas d’accès inter-VLAN

Règles Firewall par VLAN

VLAN 10 (LAN): Accès complet Internet + inter-VLAN mgmt VLAN 30 (IoT): - Internet: Allow ports 80/443 uniquement - Inter-VLAN: Block (sauf LAN pour contrôle devices) - Destinations clouds IoT: Whitelist explicite

VLAN 99 (Guest): - Internet: Allow - Inter-VLAN: Block ALL - Temps de session: 4 heures (Captive Portal optionnel)

VLAN 50 (Management): - Accès admin aux équipements réseau uniquement - Pas d’accès Internet (sauf updates)

Livrables Phase 2

• Switch manageable installé et câblé
• VLANs créés sur pfSense et switch
• Multiple SSID configurés sur EW1200
• Règles firewall inter-VLAN testées
• Documentation architecture VLAN mise à jour

---

🏗️ Phase 3: Infrastructure Rack (Court Terme)

Durée estimée: 1-2 semaines Budget estimé: 70-150€

Objectifs

Organiser l’infrastructure dans un rack professionnel pour améliorer câblage, refroidissement et évolutivité.

Matériel à Acquérir

Rack Mini Serveur

Taille recommandée: 9U ou 12U (19 pouces standard)

Options Tanger: - Avito.ma occasion: 250-400 dh (23-36€) - iris.ma neuf: 990 dh (90€) - DIY bois: 100-200 dh (9-18€)

Critères sélection: - Profondeur: 400-600mm (suffisant pour mini PC) - Ventilation: Perforations latérales - Portes: Avant (verre/grille) + arrière amovible - Roulettes: Mobilité (optionnel)

Multiprise Rack Parafoudre

Options: - Multiprise rack 19” 1U - 8 prises (600-900 dh / 54-81€) - Multiprise standard parafoudre 8-10 prises (150-300 dh / 14-27€)

Protection obligatoire: - Parafoudre intégré (protection surtensions) - Interrupteur avec voyant - Câble 2-3m minimum

Accessoires Rack

• Étagères fixes 1U (x2-3): 50-150 dh/pièce
  • Pour poser mini PC pfSense et EW1200
• Panneau brassage 8 ports (optionnel): 100-200 dh
  • Organisation câbles Ethernet
• Passe-câbles (x2): 30-80 dh/pièce
  • Cable management propre
• Panneaux aveugles 1U (x2-3): 20-50 dh/pièce
  • Esthétique + flux air optimisé

Organisation Rack 9U Cible

┌─────────────────────────┐ │ 1U - Multiprise 8 prises│ ← En haut (câblage facile) ├─────────────────────────┤ │ 1U - Panneau brassage 8p│ ← Patch panel (optionnel) ├─────────────────────────┤ │ 1U - Étagère: pfSense │ ← Zotac ZBOX CI337 ├─────────────────────────┤ │ 1U - Étagère: EW1200 │ ← Access Point WiFi ├─────────────────────────┤ │ 1U - Switch manageable │ ← TP-Link ou Netgear ├─────────────────────────┤ │ 2U - Espace expansion │ ← Future serveur/NAS ├─────────────────────────┤ │ 2U - Proxmox / Docker │ ← Phase 4 └─────────────────────────┘

text

Livrables Phase 3

• Rack 9U acquis (Avito Tanger ou neuf)
• Multiprise parafoudre 8 prises installée
• Équipements montés sur étagères rack
• Câblage organisé (velcro, passe-câbles)
• Étiquetage câbles et ports
• Photo documentation rack complété

---

🔐 Phase 4: Services Auto-Hébergés (Moyen Terme)

Durée estimée: 4-6 semaines Budget estimé: 0-200€ (selon matériel existant)

Objectifs

Déployer des services auto-hébergés sécurisés derrière pfSense, accessibles localement et à distance via VPN.

Infrastructure Serveurs

Option A: Réutiliser Serveur Proxmox Existant

Migration réseau Proxmox: - Reconfigurer interfaces réseau Proxmox vers nouveau subnet - Intégrer Proxmox au VLAN 10 (LAN) ou VLAN 50 (Management) - Tester connectivité VMs/Containers après migration

Option B: Serveur Docker Dédié

Mini PC supplémentaire (occasion): - Beelink, Intel NUC, ou similaire (100-200€) - Docker + Docker Compose - Services containerisés légers

Services à Déployer

Gestion Réseau et Monitoring

• Uptime Kuma: Monitoring uptime services
• Grafana + Prometheus: Dashboards métriques
• LibreNMS: Monitoring SNMP équipements réseau
• Netdata: Monitoring temps réel serveurs

Productivité et Collaboration

• Nextcloud: Cloud personnel (fichiers, calendrier, contacts)
• OnlyOffice ou Collabora: Suite bureautique en ligne
• Bookstack: Wiki/documentation interne
• Vaultwarden: Gestionnaire mots de passe (Bitwarden)

Multimédia

• Jellyfin ou Plex: Serveur média (films, séries, musique)
• Photoprism: Galerie photos intelligente
• Audiobookshelf: Bibliothèque livres audio

Automatisation et IoT

• Home Assistant: Domotique centralisée (VLAN IoT)
• Node-RED: Automatisations workflows
• Mosquitto MQTT: Broker IoT

Reverse Proxy et Sécurité

• Nginx Proxy Manager: Reverse proxy + SSL automatique
• Authelia ou Authentik: SSO (Single Sign-On)
• Fail2Ban: Protection brute-force

Accès Sécurisé

WireGuard VPN

Configuration road warrior: - Clients nomades (laptop, smartphone) - Accès sécurisé aux services internes depuis Internet - Split tunneling (seulement trafic LAN via VPN)

Configuration: VPN > WireGuard > Tunnels > Add Listen Port: 51820 Tunnel Address: [Subnet VPN]/24 Peers: Laptop, Smartphone, Tablette

text

Règles Firewall WireGuard: - Allow WireGuard → LAN services - Block WireGuard → VLAN IoT (sauf Home Assistant) - Allow WireGuard → Internet (optionnel)

Livrables Phase 4

• Proxmox migré vers nouveau subnet
• 5-8 services containerisés déployés
• Reverse proxy configuré (HTTPS interne)
• WireGuard VPN opérationnel
• Accès distant testé depuis 4G/externe
• Backup automatique services (Proxmox Backup Server)

---

📊 Phase 5: Monitoring Avancé (Moyen Terme)

Durée estimée: 2-3 semaines Budget estimé: 0-50€

Objectifs

Implémenter une stack de monitoring complète avec dashboards centralisés, alertes automatiques et métriques de performance.

Stack Monitoring

Grafana + Prometheus

Métriques collectées: - pfSense: CPU, RAM, débit WAN/LAN, états firewall - Serveurs: Uptime, CPU, RAM, disque, réseau - Services: Disponibilité, temps de réponse - Réseau: Latence, packet loss, bande passante

Dashboards préconfigurés: - pfSense Dashboard (community template) - Node Exporter Dashboard (Linux servers) - Docker Containers Dashboard

Loki + Promtail

Agrégation logs centralisée: - Logs pfSense (firewall, IDS Suricata, pfBlockerNG) - Logs serveurs Linux (syslog, auth, kernel) - Logs containers Docker

Recherche et analyse: - Query language LogQL - Filtres temporels - Corrélation événements

Alerting

Alertmanager + Ntfy.sh: - Alertes Slack/Discord/Email - Notifications push mobile - Seuils configurables (CPU >80%, disque >90%, service down)

Livrables Phase 5

• Grafana opérationnel avec 5+ dashboards
• Prometheus scraping pfSense + serveurs
• Loki collectant logs pfSense + Docker
• 10+ alertes configurées et testées
• Documentation dashboards personnalisés

---

🌐 Phase 6: Haute Disponibilité (Long Terme)

Durée estimée: 4-6 semaines Budget estimé: 150-300€

Objectifs

Implémenter redondance sur composants critiques pour éliminer SPOF (Single Point of Failure).

pfSense Haute Disponibilité (CARP)

Matériel Nécessaire

• Second mini PC identique ou similaire (100-200€)
  • Beelink, HUNSN, Topton N5105/N100
  • 2x NIC Ethernet minimum

Configuration CARP

Fonctionnement: - 2 pfSense en master/backup - IP virtuelle (VIP) partagée via CARP - Synchronisation config temps réel (xmlrpc) - Failover automatique <2 secondes

Architecture HA: Internet → Box ISP → [VIP pfSense] ↓ ┌──────┴──────┐ pfSense1 pfSense2 (Master) (Backup) └──────┬──────┘ Switch

text

Switch Manageable Redondant

Stack switches ou LACP: - 2x switches avec port aggregation - Lien redondant entre switches (stack ou LAG) - Uplink redondant vers pfSense (LACP)

Stockage Redondant

NAS avec RAID: - Synology, QNAP, ou TrueNAS (DIY) - RAID 1 minimum (2 disques miroir) - Backup 3-2-1: 3 copies, 2 supports, 1 off-site

UPS (Onduleur)

Modèle recommandé: 600-1000VA - Protection coupure électrique - Autonomie 10-20 minutes (shutdown propre) - USB monitoring via NUT (Network UPS Tools)

Budget: 80-150€

Livrables Phase 6

• Second pfSense déployé en CARP
• Failover testé (débranchement primaire)
• Switches en redondance
• NAS avec RAID opérationnel
• UPS installé avec monitoring NUT
• Plan de reprise après sinistre (DRP) documenté

---

🚀 Phase 7: Optimisations Avancées (Long Terme)

Durée estimée: En continu Budget estimé: Variable

Sécurité Avancée

Authentification Multi-Facteurs (MFA)

• pfSense WebGUI: Authentification 2FA (TOTP)
• Services: SSO avec Authelia/Authentik + 2FA obligatoire
• VPN WireGuard: Certificats + pre-shared keys

Certificate Authority Interne

• Step-CA ou OpenSSL CA maison
• Certificats SSL internes signés localement
• Révocation certificats compromise

Threat Intelligence

• Feeds IP reputation dans pfBlockerNG
• GeoIP blocking: Bloquer pays non pertinents
• CrowdSec: Threat intel community-driven

Performance

Offloading Matériel

• Netmap pour Suricata (si CPU bottleneck)
• Hardware offloading activé après validation Suricata
• Multi-queue NIC si upgrade hardware

Cache DNS

• Unbound cache optimisé: TTL, prefetch
• DNS over TLS (DoT) vers upstream (Cloudflare, Quad9)

QoS (Quality of Service)

• Traffic shaping par VLAN
• Priorité VoIP/vidéo si applicable
• Bandwidth limits par client/VLAN

Automatisation

Infrastructure as Code (IaC)

• Ansible playbooks: Configuration automatique serveurs
• Terraform: Provisionning Proxmox VMs
• Git: Versioning configurations

CI/CD Pipeline

• Gitea ou GitLab: Git server interne
• Drone CI: Build/test/deploy automatique
• Watchtower: Auto-update containers Docker

Livrables Phase 7

• 2FA activé sur tous services critiques
• CA interne opérationnelle
• QoS configuré et testé
• Playbooks Ansible pour 5+ services
• CI/CD pipeline fonctionnel

---

📈 Métriques de Succès

KPIs Techniques

Disponibilité

• Uptime pfSense: >99.5% (objectif: 99.9%)
• Uptime services critiques: >99% (Nextcloud, VPN)
• MTTR (Mean Time To Repair): <1 heure

Performance

• Latence WAN: <30ms (vers 8.8.8.8)
• Latence LAN: <5ms (WiFi vers pfSense)
• Débit WiFi 5GHz: >300 Mbps réel
• Blocage publicitaire: >20% requêtes DNS

Sécurité

• Tentatives intrusion bloquées: Monitoring Suricata
• Mises à jour: <7 jours après release
• Backups testés: Restore test mensuel
• Vulnérabilités: 0 critique non patchée >30 jours

KPIs Opérationnels

Coûts

• OPEX électricité: <10€/mois
• ROI matériel: <2 ans vs solutions cloud équivalentes
• Budget annuel: <200€ (maintenance + upgrades)

Productivité

• Temps gestion quotidien: <15 min/jour
• Incidents majeurs: <1 par trimestre
• Downtime planifié: <2 heures/mois

---

🎓 Compétences Acquises

Réseaux

• ✅ Protocoles TCP/IP, routing, NAT
• ✅ VLANs 802.1Q, trunking
• ✅ DNS, DHCP, services réseau fondamentaux
• 🔄 QoS, traffic shaping
• 🔄 Protocoles routage avancés (BGP, OSPF - futur)

Sécurité

• ✅ Firewall stateful, règles avancées
• ✅ IDS/IPS (Suricata)
• ✅ Filtrage DNS (pfBlockerNG)
• ✅ VPN (WireGuard)
• 🔄 Certificate management
• 🔄 Threat intelligence

Systèmes

• ✅ Linux system administration
• ✅ FreeBSD (pfSense)
• ✅ Virtualisation (Proxmox)
• ✅ Containerisation (Docker)
• 🔄 Ansible automation
• 🔄 Infrastructure as Code

Monitoring

• ✅ ntopng, iftop
• 🔄 Grafana, Prometheus
• 🔄 Loki, Promtail
• 🔄 Alerting

Légende: ✅ Acquis | 🔄 En cours | ⏳ Planifié

---

💰 Budget Prévisionnel Global

Dépenses Réalisées (Phase 1)

Zotac ZBOX CI337 nano: 85€ Afoundry EW1200: 27€ Total Phase 1: 112€

text

Dépenses Prévues Court Terme (Phases 2-3)

Switch manageable 8p: 40-80€ Rack 9U: 25-40€ Multiprise parafoudre: 15-30€ Accessoires rack: 10-30€ Total Court Terme: 90-180€

text

Dépenses Prévues Moyen Terme (Phases 4-5)

Mini PC serveur (opt): 0-200€ Disques stockage: 50-100€ Total Moyen Terme: 50-300€

text

Dépenses Prévues Long Terme (Phases 6-7)

Second pfSense (HA): 100-200€ NAS/Disques RAID: 150-400€ UPS onduleur: 80-150€ Total Long Terme: 330-750€

text

Budget Total Projet (3 ans)

Minimum (basique): 252€ (Phase 1+2+3 minimal) Moyen (complet): 642€ (Phases 1-5 complet) Maximum (HA + pro): 1,492€ (Toutes phases maximal)

text

Coût mensuel moyen sur 3 ans: 7-41€/mois selon ambition

Comparaison cloud équivalent: - Firewall managé: 20-50€/mois - VPN: 10€/mois - Cloud storage 1TB: 10€/mois - Serveurs VPS: 20-50€/mois - Total cloud: 60-120€/mois = 2,160-4,320€ sur 3 ans

ROI homelab: 3-10x moins cher que cloud sur 3 ans

---

📅 Timeline Récapitulatif

Nov 2025 ━━━━━━━━━━━━━━━━━━━━━━━━━━ Phase 1 ✅ │ └─ Installation pfSense └─ Déploiement EW1200 └─ Configuration pfBlockerNG

Déc 2025 ━━━━━━━━━━━━━━━━━━━━━━━━━━ Phase 2 🔄 │ └─ Switch manageable └─ VLANs multi-segments └─ Multiple SSID WiFi

Jan 2026 ━━━━━━━━━━━━━━━━━━━━━━━━━━ Phase 3 ⏳ │ └─ Rack 9U + accessoires └─ Organisation physique └─ Cable management

Fév-Mar 2026 ━━━━━━━━━━━━━━━━━━━━━━ Phase 4 ⏳ │ └─ Migration Proxmox └─ Services containerisés └─ WireGuard VPN

Avr-Mai 2026 ━━━━━━━━━━━━━━━━━━━━━━ Phase 5 ⏳ │ └─ Stack monitoring └─ Grafana dashboards └─ Alerting automatisé

Jun-Sep 2026 ━━━━━━━━━━━━━━━━━━━━━━ Phase 6 ⏳ │ └─ pfSense HA (CARP) └─ NAS RAID └─ UPS onduleur

Oct 2026+ ━━━━━━━━━━━━━━━━━━━━━━━━━ Phase 7 ⏳ │ └─ Optimisations continues └─ Sécurité avancée └─ Automatisation IaC

text

---

🎯 Objectifs Projet (Vision 3 ans)

Technique

• Infrastructure 99.9% uptime (avec HA)
• 15+ services auto-hébergés opérationnels
• 4 VLANs segmentés et sécurisés
• Monitoring centralisé avec 20+ dashboards
• Backups automatisés 3-2-1 compliant
• 0 data breach sur 3 ans

Apprentissage

• Maîtrise avancée pfSense/FreeBSD
• Compétence professionnelle networking
• Expertise Docker/Kubernetes
• Compétence IaC (Ansible/Terraform)
• Certification réseau/sécurité (CCNA/CompTIA)

Communauté

• Documentation publique (GitHub/Blog)
• Contributions open-source (pfSense, tools)
• Tutoriels YouTube/articles techniques
• Aide communauté homelab (Reddit, forums)

---

🔗 Ressources et Références

Documentation Officielle

• pfSense Official Docs
• pfBlockerNG GitHub
• Suricata User Guide
• WireGuard Documentation

Communautés

• Reddit: r/PFSENSE, r/homelab, r/selfhosted
• Forums: Netgate Forum, ServeTheHome
• Discord: Homelab Community, pfSense Unofficial

Outils

• pfSense Subreddit Wiki
• Awesome Selfhosted
• HomelabOS

---

📝 Notes et Leçons Apprises

Succès

• ✅ Budget maîtrisé: Matériel occasion + mini PC = coût optimal
• ✅ pfBlockerNG remarquable: Bloque 30%+ requêtes sans config complexe
• ✅ EW1200 excellent choix: VLAN natif + dual-band performant
• ✅ Documentation assidue: Gain temps énorme pour troubleshooting

Défis Rencontrés

• ⚠️ Cartes Realtek: Driver generique instable → Solution: realtek-re-kmod
• ⚠️ WiFi Intel CNVi: Non exploitable FreeBSD → Fallback: AP externe
• ⚠️ Règles firewall: Blocage initial WAN → Solution: Désactiver blockpriv temporairement

À Améliorer

• 🔧 Backup régulier: Automatiser snapshots config hebdomadaires
• 🔧 Tests failover: Simuler pannes régulièrement
• 🔧 Documentation live: Wiki interne (BookStack) au lieu de Markdown statique

---

🚀 Innovation et Projets Futurs

Court Terme (6 mois)

• Captive Portal Guest: Page login stylée pour invités
• Pi-hole DNS secondaire: Redondance DNS avec synchronisation listes
• Tailscale mesh VPN: Alternative/complément WireGuard

Moyen Terme (1-2 ans)

• Kubernetes cluster: Migration Docker → K3s/MicroK8s
• GitOps: ArgoCD pour déploiements automatisés
• Observability: Traces (Tempo), métriques (Prometheus), logs (Loki)
• Homelab YouTube/Blog: Partage expérience communauté

Long Terme (2-3 ans)

• Multi-site VPN: Connecter homelab à site distant (famille/amis)
• Edge computing: Raspberry Pi edge nodes
• AI/ML services: LLMs locaux (Ollama), reconnaissance image
• Ham Radio integration: APRS, Meshtastic, LoRa

---

✅ Checklist Maintenance Régulière

Quotidien (5 min)

• Vérifier dashboards Grafana (uptime, alertes)
• Consulter pfBlockerNG Reports (menaces détectées)

Hebdomadaire (20 min)

• Vérifier mises à jour pfSense disponibles
• Consulter logs Suricata (alertes IDS)
• Vérifier espace disque serveurs
• Tester backup restoration (1 service aléatoire)

Mensuel (1-2h)

• Mettre à jour pfSense (après lecture changelog)
• Mettre à jour packages pfSense
• Mettre à jour firmware EW1200 si disponible
• Review règles firewall (optimiser/nettoyer)
• Tester failover (si HA déployé)
• Audit sécurité (scan vulnérabilités Nmap <!– NAMING CONVENTION:
• For English articles: your-article-title.md
• For French articles: your-article-title-fr.md

The workflow will automatically: - Detect language from filename - Generate title from filename - Add current date - Clean YAML for Pandoc processing –>