Bonjour
Je suis en train de regarder pour installer des caméras IP à la maison mais j'aimerais les utiliser uniquement en local. En regardant à droite à gauche je vois que le seul moyen de bloquer leur accès Internet est sur le routeur.
Je n'ai qu'une Box SFR 8 et à priori il n'est pas possible de bloquer l'accès à Internet pour certains périphériques.
J'aimerais donc trouver un moyen de pouvoir les connecter en LAN et qu'elles ne puissent pas accéder à Internet.
Vous auriez une solution pour cas ?
A part remplacer la box par un routeur mais ça fait beaucoup pour seulement ça.
Merci !

Bonjour,
 
A part remplacer la box SFR 8 si celle-ci ne permet pas de configurer de filtrage / pare-feu, il est possible :
 
- d'ajouter un routeur à ton réseau, sur lequel tu feras le filtrage. On en trouve d'occasion à moins de 30 € qui fonctionnent en 100 Mbps et ont été passés sur le firmware OpenWRT. Ou alors du Mikrotik HEX.
 
- d'utiliser un switch manageable "niveau 3" avec des ACL (Liste de Contrôle d'Accès) . Ces ACL, concrètement, c'est un pare-feu de base. Par exemple avec un TP-Link T1500G-8T ou un Cisco SG250-08 d'occasion. C'est moins simple à mettre en œuvre que la première possibilité et dur à trouver pour moins de 100 €
 
Quoiqu'il arrive, il faut que tu sois prêt à bricoler.

Merci pour ces éléments.
 
Pour le routeur, il vient s'intercaler à quel endroit ? Il ne va pas perturber le reste du réseau ?
 
Pour le switch manageable le mien est assez basique (TP Link 24 ports TL-SG1024DE). A part faire des VLAN ou de la QoS pas sûr de pouvoir faire plus.
 
J'ai aussi un kit mesh Mercusys H80X qui fait routeur mais que j'ai passé en mode AP,  peut-être que je pourrais changer de mode. Par contre j'ai une machine avec du NAT configuré sur ma box SFR, ça ne va pas changer quelque chose ?
 
Merci !

J'ai oublié de demander :
 
Les caméras IP, elles sont connectées en filaire / Ethernet ou en sans-fil / WiFi ? Ou avec l'un et l'autre au choix ?

Pour l'instant j'en ai pris une pour tester et elle est uniquement en WiFi, par la suite il y en aura peut-être en RJ45 avec ou sans injecteur PoE. Idéalement l'un et l'autre, si c'est plus simple en WiFi uniquement WiFi. Merci

Solution plus simple : les mettre sur un autre sous-réseau (donc sans passerelle).
Elles doivent pouvoir accéder à quoi en local ou quoi doit pouvoir y accéder ?

Ou plus simplement encore les configurer en fixe sans passerelle et DNS ou des fakes.

Merci, j'aimerais les gérer sur HA donc juste accès à mon HA qui est sur mon LAN. Sans passerelle et avec des fake DNS elles devraient rester accessible en LAN mais ne pas pouvoir sortir sur Internet ?

S'il faut bricoler avec un routeur OpenWRT ce n'est pas un souci si ça peut solutionner le problème tant que ça n'impacte pas le reste du réseau...
Ou l'histoire de la passerelle / DNS si ça pourrait être fonctionnel tout en restant accessible en local

J'ai du mal à saisir qu'on puisse "bricoler avec un routeur OpenWRT ... sans soucis" et se poser la question de savoir si un périphérique réseau sans passerelle ni DNS peut sortir sur Internet ?
 
Donc non sans passerelle un périphérique ne peut pas communiquer avec Internet puisque c'est la passerelle qui permet cela.
 
Et si on est parano, on met ce périphérique sur une plage IP à part et on configure le contrôleur pour communiquer sur les deux réseaux (celui avec passerelle et celui sans).
Après je ne sais pas ce qu'est un "HA". Chez moi cela veut dire "High Availability".

Je n'ai jamais touché à OpenWRT, le réseau ce n'est clairement pas ma passion mais s'il faut se lancer dans le bricolage dessus ce n'est pas un souci  
HA c'est Home Assistant pour la gestion de la domotique, donc intégration des caméras dans cette solution

OK mais ça c'est un logiciel.
Du coup il tourne sur un ordi qui devra avoir :
 
- deux interfaces réseaux, chacune sur une plage
- ou alors une seule interface mais avec deux IPs sur deux plages différentes
- ou alors une seule IP mais avec un masque qui inclut les deux plages.

Il tourne sur une VM dédiée sous Hyper-V

Et ben du coup avoir deux interfaces réseaux distinctes est d'autant plus simple.

Merci, donc je crée une 2ème carte réseau sur ma VM, je lui attribue une autre plage IP et je mets les caméras sur le plan d'adressage de la 2ème carte ?

Voilà, c'est ça.
Et tu places tes caméras sur cette même plage IP.
Sans passerelle et sans routage avec le réseau de ta box, elles pourront toujours s'accrocher pour accéder à Internet.

Merci, je vais tester ça

La plupart des caméras de surveillance ne disposent plus d'une interface web permettant de configurer leur adresse IP manuellement. Alors la question risque d'être vite réglée.

Bah suffit alors de lancer un serveur DHCP qui écoute et délivre des IPs sur la seule interface dédiée aux caméras.

Je suis parti sur des Tapo pour le moment, je n'ai pas encore installé. Je suis en train de regarder les Reolink aussi qui sont en RJ45 ou WiFi.

Il y a bien une vidéo "How to Set a Static IP Address for Your Tapo Camera" sur YouTube mais à en croire les commentaires, ce n'est pas forcément gagné.
 
Par contre, il se vend un routeur / point d'accès WiFi / switch Mikrotik HAP AC2 sur leboncoin à 55 € frais de port compris et ça semble être un matériel tout à fait adapté au problème. Sous l'intitulé "Routeur Wifi MIKROTIK" :
 
- interface web hyper facile à utiliser. Encore plus avec winbox
 
- peut servir de point d'accès WiFi avec filtrage intégré pour y connecter directement une ou plusieurs caméras
 
- intègre un serveur DHCP pour assigner une adresse IP sans "passerelle" aux caméras
 
- CPU un peu costaud, avec des performances correctes en réseau
 
C'est adapté pour tester l'ensemble des propositions de ce thread. Perso, je sauterais dessus.

Merci, je viens de le voir mais par contre je vois écrit AC lite sur le côté, c'est la même chose que AC2 ?
 
C'est plus simple qu'un routeur sous OpenWRT ?

Par exemple un Archer C6 flashé en OpenWRT pourrait faire l'affaire par rapport à un Mikrotik ?

Au temps pour moi, il s'agit effectivement d'un Mikrotik hAP ac lite TC , moins intéressant.
 
Sinon, pour un habitant de la région parisienne, il y en a un appelé "Routeur Mikrotik" qui est à venir chercher sur place.
 
Oui, l'interface est bien plus facile que OpenWRT, même si cela dépend des fonctionnalités. Par exemple sur la partie WiFi je préfère OpenWRT.
On pourrait passer des heures à les comparer.
 
Le Archer C6 existe en plusieurs versions matérielles, mais pourquoi pas.

Merci
J'ai pris le Archer C6 mais pourquoi pas un autre, la version matérielle a une importance sur la compatibilité OpenWRT ou sur les perfs ? Il y a une version à privilégier si tu sais ?
Et sur le principe je connecte le routeur OpenWRT ou Mikrotik sur ma box opérateur et je connecte les périphériques pour lesquels je veux bloquer l'accès Internet (RJ45 ou WiFi) sur ce routeur ? Merci
Édit : J'ai vu des Archer C7 pas trop cher aussi si c'est mieux

Pour OpenWRT, je ne connais pas l'étendue de tes connaissances mais il faut acquérir les bases avant d'aller plus loin :
 
- commencer par apprendre comment se connecter à son adresse IP par défaut, 192.168.1.1
 
- aller voir dans le menu Network / Interfaces, essayer de comprendre que l'onglet Devices concerne l'aspect matériel du réseau et l'onglet Interfaces concerne l'aspect IP (v4 / v6). Bien comprendre qu'un bridge n'est rien d'autre qu'un switch virtuel
 
- aller dans le menu Network / Firewall, l'onglet General Settings et étudier la logique de fonctionnement avec les zones
 
- essayer d'utiliser le OpenWRT comme un simple point d'accès WiFi, juste en mettant l'interface WiFi dans le bridge "br-lan"
 
- ou mettre en place un réseau IP avec une plage IP différente sur "br-lan", même sans service DHCP, permettre aux machines connectées sur ce réseau à joindre Internet via la box SFR en utilisant une interface "wan" avec du "masquerading" / SNAT

Merci, je vais essayer de me trouver un petit routeur pour regarder comment ça fonctionne, au pire ça me fera faire un peu de réseau basique