Infrastructure homelab sobre et maîtrisée : gateway logique, DNS centralisé et observabilité réseau

Sur un réseau domestique, les fonctions critiques comme le DNS, le DHCP, la gateway ou la visibilité sur le trafic restent souvent dispersées, peu documentées et difficiles à reprendre en main. Le projet cherche à redonner de la lisibilité à ces briques sans ajouter une couche de complexité disproportionnée.

L'architecture s'appuie sur une gateway logique portée par un NanoPi R5S sous Debian ARM, avec un LAN sur br-lan et une entrée WAN sur end0. Pi-hole centralise DNS et DHCP, tandis que ntopng apporte une lecture opérationnelle du trafic. L'accès principal passe par la fibre Orange, avec un secours manuel via un routeur 4G TP-Link MR600.

Le projet écarte volontairement plusieurs pistes souvent séduisantes mais coûteuses à maintenir dans ce contexte : pas de pfSense ou OPNsense, pas de VLAN imposés sans matériel adapté, pas de DPI, pas de proxy MITM. La logique est de comprendre d'abord, d'observer ensuite, puis d'ajouter une brique seulement quand le besoin est réel.

La couche de contrôle repose sur firewalld avec backend nftables pour le NAT, le masquerading et le forwarding LAN vers WAN. Le filtrage de contenu reste volontairement DNS-based via Pi-hole. Ce niveau de contrôle est grossier par rapport à une inspection applicative avancée, mais il reste lisible, rapide à maintenir et cohérent avec les capacités du matériel et le périmètre du homelab.

ntopng est utilisé comme outil d'observation plutôt que comme mécanisme de blocage. L'intérêt est de pouvoir identifier les top talkers, repérer des variations de trafic, détecter des équipements inattendus ou des comportements anormaux, et disposer d'un point d'appui concret avant toute décision de filtrage supplémentaire.

Le projet est documenté sous forme de runbooks et de règles d'exploitation, avec une approche dry-run par défaut sur les opérations sensibles. Les mutations de configuration s'appuient sur des sources de vérité locales, des exports préalables, des sauvegardes automatiques et une validation post-application. Cette discipline donne au homelab une qualité d'exploitation inhabituelle pour un environnement personnel.

La continuité d'accès Internet repose sur une bascule manuelle vers un secours 4G, ce qui reste simple à opérer tout en répondant au besoin réel. Le projet assume qu'une haute disponibilité sophistiquée serait disproportionnée ici, mais documente néanmoins clairement les conditions de bascule et les points de vigilance, notamment sur la consommation data du lien de secours.

La partie sauvegarde ne se limite pas au stockage sur NAS. Le projet distingue explicitement le NAS d'une vraie stratégie de backup et prévoit des exports de configuration, une routine minimale de sauvegarde et un runbook de restauration pour certaines briques critiques, notamment autour du DNS. Cela renforce la réversibilité du système en cas d'erreur ou de changement mal maîtrisé.

L'infrastructure ne cherche pas à couvrir tous les usages d'un réseau segmenté ou d'une sécurité avancée. Il n'y a pas de DPI, pas de filtrage URL fin, pas de VLAN ni de séparation complexe des zones. Ces limites sont conscientes et cohérentes avec la volonté de garder un système sobre, compréhensible et réellement maintenable.