ADR-0011 : MikroTik comme équipement réseau
| Statut | Accepté |
| Date | 2025-10 |
| Décideurs | Équipe Edukit (ops) |
| Périmètre | Infrastructure réseau, établissements clients |
Contexte
Chaque établissement client a besoin d’une infrastructure réseau pour héberger Edukit. Cette infrastructure doit :
- assurer le routage entre les différents segments du réseau et vers Internet ;
- permettre à l’équipe ops d’accéder à distance pour administrer les équipements sans avoir besoin de quelqu’un sur place ;
- rester dans un budget raisonnable - les établissements ne peuvent pas investir dans du matériel réseau haut de gamme.
Décision
Utiliser des équipements MikroTik (routeurs et switches) avec RouterOS dans les établissements clients.
- Le routage est assuré par les routeurs MikroTik.
- L’accès distant de l’équipe ops passe par WireGuard VPN, intégré nativement dans RouterOS - pas besoin d’un équipement VPN séparé.
- RouterOS expose une API REST (OpenRouterOS) qui permettra d’automatiser la configuration à terme. Elle n’est pas encore utilisée dans le projet.
Conséquences
Bénéfices
- Bon rapport qualité/prix : MikroTik propose des fonctionnalités de niveau professionnel (firewall, VPN, DHCP, DNS) à un prix bien inférieur aux grands équipementiers.
- Expérience d’équipe : l’équipe maîtrise déjà RouterOS, ce qui réduit le risque d’erreur et accélère les déploiements.
- WireGuard inclus : le VPN pour l’accès distant est natif dans RouterOS, sans module ou équipement supplémentaire.
- API REST disponible : OpenRouterOS ouvre la possibilité d’automatiser la configuration des équipements par script dans le futur.
- Couvre tous les besoins : routage, firewall, VPN, DHCP, DNS - un seul type d’équipement suffit pour l’infrastructure réseau complète.
Coûts et limites
- Prise en main spécifique : l’interface Winbox et la CLI RouterOS ont leur propre logique. Quelqu’un qui vient d’un autre système devra se former.
- Suivi des mises à jour de sécurité : MikroTik publie régulièrement des correctifs. Des failles critiques ont été découvertes sur des versions anciennes - il faut maintenir les équipements à jour.
- API REST pas encore exploitée : la configuration est aujourd’hui faite manuellement. L’automatisation via l’API est une évolution prévue mais pas encore en place.
Alternatives écartées
- pfSense / OPNsense : solutions open source sur matériel PC générique. Fonctionnalités étendues, mais moins adaptées à un déploiement standardisé sur plusieurs sites avec le même équipement physique dédié.
Références
- Documentation OPS client : Réseau et bastion Proxmox.
- ADR-0014 : les logs réseau des équipements MikroTik sont envoyés à Wazuh pour la surveillance de sécurité.