L'année dernière, j'ai emménagé dans un nouvel appartement. J'ai adoré l'endroit, mais j'ai découvert qu'il utilisait une solution Wi-Fi communautaire. Le complexe d'appartements gère le modem, le routage et la commutation, distribuant des points d'accès dans tous les bâtiments, à l'instar d'un réseau d'entreprise. Cette configuration est idéale pour la plupart des gens qui veulent juste un accès à l'internet, mais j'ai besoin de plus de contrôle sur mon réseau pour des choses comme la connexion à mes imprimantes 3D ou l'hébergement d'un serveur Minecraft. Avec leur configuration, ces options n'étaient pas envisageables.
J'avais un petit routeur dans mon ancien appartement, alors j'ai appelé le fournisseur d'accès pour demander si je pouvais le brancher sur l'un des ports Ethernet. Ils ont refusé et m'ont prévenu qu'ils analysaient le réseau toutes les deux semaines et déconnectaient les routeurs qu'ils trouvaient. J'ai donc fait ce qu'il y avait de mieux : j'ai installé mon routeur sans accès à l'internet. Cela m'a permis de communiquer avec mes imprimantes depuis mon PC, mais je ne pouvais rien faire qui soit lié à l'internet, comme mettre à jour Klipper ou télécharger des fichiers sur mes Raspberry Pis.
Il y a environ une semaine, j'en ai eu assez de ne pas pouvoir travailler sur des projets de réseau et j'ai décidé de trouver une solution. J'ai envisagé d'utiliser mon routeur existant, mais il n'avait pas les fonctionnalités dont j'avais besoin. J'ai donc décidé de construire mon propre routeur en utilisant un Raspberry Pi. Le défi consistait à s'assurer que mon fournisseur d'accès à Internet ne pouvait pas savoir que j'utilisais un routeur.
Maintenant que nous avons un Pi fonctionnel, nous devons installer quelques paquets pour que le routeur soit opérationnel. Le premier paquetage dont nous avons besoin est dnsmasq. dnsmasq est un serveur DHCP et DNS léger qui nous permettra d'attribuer des adresses IP aux périphériques connectés au port Ethernet du Pi (eth0) et de résoudre les noms d'hôtes sur le réseau local. Il agit également comme un transitaire DNS, accélérant la navigation sur le web en mettant en cache les recherches de noms de domaine.
sudo apt install dnsmasq -y
L'étape suivante consiste à configurer le fichier dnsmasq.conf. Ce fichier est utilisé pour gérer les paramètres DHCP et DNS sur le Pi. dnsmasq.conf est chargé avec des tonnes d'exemples, nous allons donc en faire une sauvegarde et commencer un nouveau fichier à partir de zéro.
Maintenant, nous avons techniquement un routeur. J'ai connecté mon PC et le Pi de mon imprimante 3D au même switch et j'ai pu faire du SSH entre eux. Cependant, si j'essayais d'envoyer un ping à l'internet depuis le Pi de l'imprimante 3D, il n'y avait pas d'accès. Nous devons donc activer la redirection d'IP et configurer la NAT.
La redirection IP permet de transférer des paquets d'une interface réseau à une autre. Le NAT (Network Address Translation) permet à plusieurs appareils d'un réseau privé de partager une seule adresse IP publique en modifiant l'adresse IP source des paquets envoyés du réseau privé vers le réseau public. Pour cela, nous devons installer nftables, un framework de filtrage de paquets qui nous permet de configurer les capacités de filtrage de paquets du noyau Linux. Il remplace l'ancien cadre iptables et est plus efficace et plus facile à utiliser.
Tout est maintenant installé et configuré. Le Pi est connecté au réseau Wi-Fi de l'appartement et fait office de routeur pour les appareils connectés au switch. Pour le fournisseur d'accès, il s'agit d'un seul appareil sur le réseau. Tout ce qu'il peut voir, c'est qu'il s'agit d'un Raspberry Pi, et non qu'il agit comme un routeur. Il existe des techniques avancées que le FAI pourrait utiliser pour détecter les routeurs, comme l'analyse du trafic et l'inspection approfondie des paquets (Deep packet Inspection), mais il est peu probable que la plupart des FAI les utilisent.
Pour tester la configuration, j'ai connecté mon imprimante 3D au switch et je l'ai mise sous tension. J'ai pu me connecter en SSH à l'imprimante et faire un ping sur Internet. J'ai également connecté mon ordinateur portable au switch et j'ai pu accéder à l'internet. Tout a fonctionné comme prévu.
Si vous souhaitez vous connecter à distance à vos appareils, par exemple pour surveiller votre imprimante 3D, vous pouvez aller plus loin en intégrant Tailscale. Exposer votre imprimante, ou tout autre appareil, directement à Internet est une mauvaise idée. Si quelqu'un y accède, il pourrait faire chauffer votre hotend, votre lit, ou pire, créer un risque d'incendie. La création d'un réseau Tailscale vous permet d'accéder en toute sécurité à vos appareils sans les exposer à l'internet. Pour créer un compte et configurer Tailscale, suivez la documentation officielle à l'adresse Tailscale - Raspberry Pi.
Une fois votre réseau configuré, vous pouvez installer le client Tailscale sur vos appareils pour vous connecter en toute sécurité sur Internet.
Copie pour archive :
Connexion
J'ai reçu deux messages de menaces d'une société nommée Cloud Innovation, car j'avais relayé un article qui dénonçait, à juste titre, leur rôle dans les attaques contre Afrinic. Je crois utile de rendre publiques ces menaces.
Un peu de contexte : Afrinic est le RIR pour l'Afrique. Le plus petit et le moins riche des RIR, le moins doté en ressources humaines et en appuis politiques, il est aussi le seul à avoir encore beaucoup d'adresses IPv4, ce qui aiguise des convoitises. Une entreprise chinoise, Cloud Innovation (elle utilise d'autres noms comme Larus ou Number Resource Society) a ainsi obtenu des adresses IP via une société-écran aux Seychelles, adresses ensuite utilisées pour des activités sans lien avec l'Afrique. Afrinic a tenté de récupérer au moins une partie de ces adresses, ce à quoi Cloud Innovation a réagi par une série de procès. Afrinic, victime de décisions mal réfléchies de la justice du pays de son siège social, a été privé des moyens de se défendre et est entré, depuis plusieurs années, dans une crise dont on ne voit pas le bout. (Le registre n'a, actuellement, ni directeur, ni conseil d'administration, les dernières élections, en juin 2025, ont été annulées.)
Tout ceci est bien décrit dans un excellent article d'Emmanuel Vitus (en anglais). Et c'est la cause immédiate des messages que j'ai reçus de Cloud Innovation. J'ai tweeté sur cet article. Je reçois donc, sur une adresse personnelle et une professionnelle un message en anglais signé de Cloud Innovation, m'enjoignant de « IMMEDIATELY remove and cease and desist from further sharing, disseminating, or promoting the Article through your X (formerly known as Twitter) profile, which disparage Cloud Innovation Limited and its officers, and further invite and open the floodgate for defamatory commentary regarding the same ». Et le message me donne 24 heures et se termine par d'autres menaces, citant par exemple un procès en cours au Ghana (pourquoi le Ghana ???). Quelques jours après, un autre message de menace me relance.
J'ai hésité à partager cette information car je craignais d'aider Cloud Innovation dans leur politique d'intimidation (certaines personnes ont cédé mais en relançant publiquement la diffusion de l'information). Mais il me semble qu'il serait pire de ne pas faire connaitre les méthodes de cette entreprise. Comme vous le voyez, je n'ai pas supprimé mon tweet, que j'assume totalement.
(Notez que j'ai cité Wikipédia, comme je le fais souvent sur ce blog, mais ne vous fiez pas à son contenu : sans doute modifié par Cloud Innovation, Wikipédia - francophone et anglophone - reprend des accusations mensongères contre Afrinic. Le compte à l'l'origine de ces modifications a d'ailleurs été bloqué.)