Dernière mise à jour : mars 2026
| Appareil |
Modèle |
Rôle |
Adresse(s) |
| Routeur principal |
UniFi UCG Fiber |
Routeur/Firewall principal, inter-VLAN routing |
192.168.13.10 (VLAN 13), 192.168.200.10 (Gestion) |
| Routeur secondaire |
MikroTik RB5009UPr+S+ |
WireGuard VPN, POE pour APs |
192.168.200.1 (Gestion) |
| Switch principal |
MikroTik CRS326 |
Switch 24 ports, accès général |
192.168.200.2 (Gestion) |
| Switch 10G |
MikroTik CRS305 |
Switch 10G, connexion fibre |
192.168.200.3 (Gestion) |
| Switch extérieur |
TP-Link SG2005P-PD |
Switch extérieur POE |
192.168.200.5 (Gestion) |
| AP 1 |
TP-Link EAP245 |
Wi-Fi 5, Omada-managed |
192.168.200.35 (Gestion) |
| AP 2 |
TP-Link EAP650-Outdoor |
Wi-Fi 6, extérieur, Omada-managed |
192.168.200.36 (Gestion) |
| AP 3 |
TP-Link EAP660 HD |
Wi-Fi 6, Omada-managed |
192.168.200.37 (Gestion) |
| AP 4 |
TP-Link EAP773 |
Wi-Fi 7 tri-band (6 GHz), Omada-managed |
192.168.200.38 (Gestion) |
| Serveur |
ZonePLEX (Arch Linux) |
Docker stack, AdGuard, services DMZ |
10.88.88.2 (VLAN 88) |
| NAS |
Synology |
Stockage, NFS vers ZonePLEX |
192.168.90.3 (VLAN 90) |
| Workstation |
ZoneMAC (Mac Studio M2 Max) |
Plex natif Apple Silicon |
VLAN 90 |
| VLAN |
Nom |
Sous-réseau |
Description |
| 10 |
Guest |
192.168.10.0/24 |
Réseau Wi-Fi invités (Wifi-Guest) |
| 13 |
VPNS Transit |
192.168.13.0/24 |
Lien transit RB5009 ↔ UCG Fiber |
| 88 |
DMZ / Servers |
10.88.88.0/24 |
Docker stack, services auto-hébergés |
| 90 |
Users |
192.168.90.0/24 |
Appareils personnels, NAS, Mac Studio |
| 101 |
IoT |
192.168.101.0/24 |
Appareils IoT |
| 102 |
IoT-TV |
192.168.102.0/24 |
Apple TVs |
| 200 |
Gestion |
192.168.200.0/24 |
Management réseau — seul VLAN dans ALLOWED_TO_ROUTER sur RB5009 |
| Hôte |
IP |
VLAN |
| UCG Fiber (gestion) |
192.168.200.10 |
200 |
| RB5009 (gestion) |
192.168.200.1 |
200 |
| UCG Fiber (transit) |
192.168.13.10 |
13 |
| ZonePLEX / AdGuard Home |
10.88.88.2 |
88 |
| Synology NAS |
192.168.90.3 |
90 |
Le routage inter-VLAN est géré par le UCG Fiber. Voici les règles clés :
- Les règles sont stateful (connection tracking actif)
- Les états Established/Related sont toujours permis implicitement
- Le blocage IoT cible uniquement les états New + Invalid (ne brise pas les connexions en cours)
| Priorité |
Source |
Destination |
Action |
Notes |
| 1 |
VLAN Gestion (200) |
Any |
Allow |
Accès total depuis le réseau de gestion |
| 2 |
Any |
VLAN Gestion (200) |
Block |
Protège le réseau de management |
| 3 |
VLAN IoT (101) |
Any |
Block (New+Invalid) |
Isole les appareils IoT — ne bloque pas Established/Related |
| 4 |
VLAN IoT-TV (102) |
Any |
Block (New+Invalid) |
Idem pour Apple TVs |
| 5 |
Any |
Any |
Allow (Established/Related) |
Règle de retour de trafic |
- Mode : Custom (répéteur mDNS manuel)
- VLANs couverts : 90 (Users), 101 (IoT), 102 (IoT-TV)
- Permet la découverte AirPlay, Bonjour, Chromecast entre VLANs autorisés
Tous les services tournent sur ZonePLEX (Arch Linux, VLAN 88 DMZ), sauf Plex qui tourne nativement sur ZoneMAC.
| Service |
Rôle |
Notes |
| AdGuard Home |
DNS filtrant, split-horizon |
Écoute sur 10.88.88.2 — DNS pour tous les VLANs et clients WireGuard |
| Caddy |
Reverse proxy HTTPS |
Termine le TLS, route vers les services internes |
| Authelia |
Authentification 2FA |
SSO devant les services exposés via Caddy |
| Sonarr |
Gestion séries TV |
Intégré avec Prowlarr et qBittorrent |
| Radarr |
Gestion films |
Intégré avec Prowlarr et qBittorrent |
| Bazarr |
Gestion sous-titres |
Complément Sonarr/Radarr |
| Prowlarr |
Indexeur centralisé |
Fournit les sources à Sonarr/Radarr |
| qBittorrent |
Client torrent |
Téléchargements médias |
| Home Assistant |
Domotique |
Automatisations maison |
| Grafana Alloy |
Agent de métriques |
Envoie vers Grafana Cloud |
Plex tourne nativement sur le Mac Studio M2 Max pour profiter du transcodage Apple Silicon. Les fichiers média sont sur le NAS Synology, montés en NFS sur ZonePLEX.
| Dashboard |
ID Grafana |
| Node Exporter Full |
1860 |
| Docker Container |
193 / 15798 |
| Synology SNMP |
14284 |
- Agent : Grafana Alloy sur ZonePLEX
- UniFi Poller : métriques UCG (préfixe
unpoller_)
- SNMP Synology : community string
zone, timeout 60s
- LACP (IEEE 802.3ad) configuré
- Snapshots activés (protection ransomware)
- NFS monté sur ZonePLEX avec options
_netdev,nofail dans /etc/fstab
| Paramètre |
Valeur |
| Interface |
wg1 sur RB5009 |
| Sous-réseau clients |
192.168.130.0/24 |
| DNS clients |
10.88.88.2 (AdGuard Home) |
| DDNS |
drynish.synology.me |
Note : WireGuard est configuré directement sur le RB5009, ce n'est pas un VLAN. Le sous-réseau 192.168.130.0/24 est propre à l'interface wg1.
| Peer |
AllowedIPs |
Notes |
| MacBook école |
Sous-réseaux internes spécifiques |
Split tunnel — seul le trafic interne passe par le VPN |
| iPhone |
0.0.0.0/0 |
Tunnel complet — tout le trafic passe par le VPN |
| SSID |
VLAN |
Réseau |
Roaming |
Notes |
Pwel |
90 |
192.168.90.0/24 |
802.11k/v/r |
Réseau principal |
Pwel-Guest |
10 |
192.168.10.0/24 |
— |
Réseau invités |
Pwel-IOT |
101 |
192.168.101.0/24 |
— |
Appareils IoT |
Pwel-IOT-TV |
102 |
192.168.102.0/24 |
— |
Apple TVs |
¶ Bande 6 GHz (EAP773)
- Largeur de canal recommandée : 160 MHz (préféré à 320 MHz pour les contraintes réglementaires canadiennes et la compatibilité pratique)
| Appareil |
Modèle |
Wi-Fi |
Bandes |
IP Gestion |
| EAP245 |
TP-Link |
Wi-Fi 5 |
2.4 / 5 GHz |
192.168.200.35 |
| EAP650-Outdoor |
TP-Link |
Wi-Fi 6 |
2.4 / 5 GHz |
192.168.200.36 |
| EAP660 HD |
TP-Link |
Wi-Fi 6 |
2.4 / 5 GHz |
192.168.200.37 |
| EAP773 |
TP-Link |
Wi-Fi 7 |
2.4 / 5 / 6 GHz |
192.168.200.38 |