Configurer les VLANs et le Zero Trust avec OPNsense : guide complet

Votre réseau domestique ou professionnel n'est pas segmenté ? Tous vos appareils — PC de travail, caméras IoT, télévision connectée, invités — cohabitent sur le même réseau plat ? C'est une bombe à retardement sécuritaire. Les VLANs sont la solution.

Dans ce billet, je vous explique comment configurer 4 VLANs dans OPNsense avec des règles Zero Trust inter-VLAN. Suite directe du Billet 1 — Installer OPNsense dans Proxmox.

Pourquoi les VLANs ? Sécurité par segmentation

Un réseau plat où tous les appareils coexistent est une faille de sécurité majeure. Un seul appareil compromis (caméra IoT, TV connectée, PC invité) peut potentiellement atteindre tous les autres.

• Isolation des appareils IoT — une caméra hackée ne peut pas atteindre vos serveurs
• Protection des invités — le réseau Guest ne voit pas votre réseau interne
• DMZ pour les services publics — les serveurs exposés sont isolés du LAN
• Zero Trust inter-VLAN — tout trafic entre zones est refusé par défaut
• Audit simplifié — vous savez exactement quel trafic circule où

Prérequis

• OPNsense installé et opérationnel (voir Billet 1)
• Switch manageable supportant le 802.1Q (TP-Link TL-SG108E ~$30)
• Interface LAN sur bridge Proxmox avec "VLAN aware" activé

Créer les VLANs dans OPNsense

Dans OPNsense, les VLANs sont créés comme des sous-interfaces sur l'interface LAN existante : Interfaces > Other Types > VLAN

VLAN 10 — IoT  : vtnet1.10 → 192.168.10.1/24
VLAN 20 — Work : vtnet1.20 → 192.168.20.1/24
VLAN 30 — Guest: vtnet1.30 → 192.168.30.1/24
VLAN 40 — DMZ  : vtnet1.40 → 192.168.40.1/24

4 VLANs : IoT, Work, Guest, DMZ

VLAN 10 — IoT (192.168.10.0/24)

Internet only — zéro accès aux autres VLANs. Caméras, thermostats, TV connectées.

VLAN 20 — Work (192.168.20.0/24)

Accès complet aux services internes. Postes de travail et serveurs internes.

VLAN 30 — Guest (192.168.30.0/24)

Internet only, débit limité (10 Mbps), DNS filtré. Visiteurs et appareils temporaires.

VLAN 40 — DMZ (192.168.40.0/24)

Services exposés, entrant uniquement. Serveurs web, mail, API publiques.

Règles firewall inter-VLAN (Zero Trust)

Le principe Zero Trust : deny all par défaut, allow explicite uniquement.

# IoT — bloquer RFC1918, autoriser Internet
Block IoT net → 192.168.0.0/16  (deny-all inter-VLAN)
Pass  IoT net → any              (Internet OK)

# Work — services internes autorisés
Block Work net → IoT/Guest
Pass  Work net → LAN:443,80,22
Pass  Work net → any

# Guest — Internet only, throttled
Block Guest net → 192.168.0.0/16
Pass  Guest net → any (10 Mbps limiter)

DHCP par VLAN

IoT   : 192.168.10.100-200, DNS: 1.1.1.1
Work  : 192.168.20.100-200, DNS: 192.168.20.1
Guest : 192.168.30.100-200, DNS: 1.1.1.3 (filtered)
DMZ   : 192.168.40.100-150, DNS: 192.168.40.1

Tester la segmentation

# Depuis IoT (192.168.10.x) :
ping 192.168.10.1  → OK (gateway)
ping 192.168.20.1  → timeout ✓ (Work bloqué)
ping 1.1.1.1       → OK (Internet accessible)

Prochaines étapes

→ Billet 3 : WireGuard VPN — site-à-site + remote workers

Téléchargez le guide PDF complet : Guide PDF — VLANs & Zero Trust avec OPNsense