Reprise du message précédent :
ok

Avec un seul certificat SSL?
Comme je l'ai dit, je galère a faire ça (SLL + reverse proxy + nginx + transmission) donc un début d'indice de tuto m'aiderai pas mal

Ben en regardant bien dans un cas il faut coller le disque USB3 au serveur, dans l'autre au desk/laptop. c'est la seule différence.
Ensuite ce n'est qu'une copie du serveur vers le disque externe, pas besoin de le copier en local sur l'intermédiaire.
Si en plus, le serveur est dans un coin du grenier/de la cave à cause du bruit, qu'il n'a pas de clavier/souris (j'ai un N40L donc pas d'ilo non plus), cette solution est même bien plus pratique.

 
Si je comprends bien (je n'ai pas définitivement choisi mon OS), OMV fonctionne un peu comme les NAS du commerce avec un système de virtualisation "workstation" et donc quand on accède au serveur, on accède au système hôte et il faut donc faire des renvois vers les VM? Du coup quand tu veux activer un nouveau service, il le fait dans une VM?  

 
De toute façon, si tu as un certif auto signé, tu vas devoir mettre une exception donc que le nom ne colle pas, n'y changera rien.
 
Par contre, un élément avec OMV m'échappe car si tu actives un serveur web, il va écouter sur les ports correspondants de l'OS en question (80, 443) donc je ne vois pas bien, sauf VM, l'intérêt d'un reverse proxy.

Les certif il faut les signer avec Let's Encrypt.
Gratuit et efficace.
Il y a plein de tutos sur le net.
 
Je fait un certificat par sous-domaine.
 
Perso j'utilise HAproxy plutôt que nginx, mais je pense que les 2 font le job de la même façon.

 
OMV c'est une base debian et les plugins fonctionne en natif mais tu peux installer virtualbox (dispo dans les plugins) si tu veux faire de la virtualisation.
 

 
Je n'ai pas compris ta 1ere phrase. L’intérêt du reverse proxy, de ce que j'en ai compris, c'est de pouvoir accéder a tout mes services (avec une adresse par service) en ouvrant qu'un ou 2 ports (443 et 80 éventuellement) et pas un port par service (9091 pour transmission, 32400 pour plex, etc...) dans mon routeur.
 

 
Oui j'ai utilisé let's encrypt pour mon certificat  . Par contre on est bien obligé d'utiliser un certificat par sous domaine? Et ces sous domaines je dois les réserver chez ddns ou c'est la machine hôte qui les gères a partir du domaine principal?
Désolé je découvre un peu tout ça depuis quelques jours. Il y a pas mal d'infos sur le forum d'omv mais il n'y a pas tout.

 
Comme évoqué plus bas, je dois manquer un truc parce que dans une Debian, et n'importe quel OS d'ailleurs, quand on ouvre un service sur un port donné il est directement accessible.
 

 
Il me manque un élément parce qu'un serveur mail sur un port 25, il ne pourra pas passer par un reverse proxy web et il faudra à un moment que tu ouvres un port 25. Et c'est valable pour de nombreux services donc il doit y avoir une spécificité liée à OMV.
 

 
Oui, un certificat par sous-domaine en principe. Et il faut en effet déclarer ces sous domaines.

Tu peux faire un certificat Wilcard pour le domaine entier, mais aux dernières nouvelles Let's Encrypt ne le supporte pas (ça a peut être évolué depuis)
Donc un certificat par sous-domaine
 
Sachant que chaque sous-domaine correspond à l'un de tes services à accéder depuis l'extérieur (NAS, domotique, etc)
 
Cela doit être faisable avec du DynDNS, mais perso j'ai un domaine payant (un ".com" c'est pas bien cher) chez OVH
Donc une fois que tu as ton domaine, il faut créer chaque sous-domaine dans la config du DNS (très simple sur la page du manager OVH)
Ensuite tu reporte tes sous-domaine dans la config de ton reverse proxy (haproxy, nginx, ...), et tu associe un certificat signé par let's encrypt à chacun d'eux.
 
Voilà pour les grandes lignes.

On est bien d'accord que le reverse proxy dont on parle ne concerne que le web, donc http et https ?
Du coup, effectivement, SMTP est exclu.
 
De toute façon, tu ne vas pas héberger un serveur SMTP chez toi, donc la question ne se pose même pas, tu ne feras jamais rentrer de SMTP port 25. C'est que en sortie, et du coup la question ne se pose plus.

 
Oui mais c'est pour cela que je ne comprends pas l'intérêt d'un reverse proxy: tous tes services http(s) peuvent tourner en namevirtualhosting sur les 2 ports de base. Mais je suppose que certains services évoqués sont en http et ne peuvent être intégrés à un serveur web donc nécessitent le reverse. Mais bon, je ne voudrait pas paumer les lecteurs, je pensais pouvoir aider mais il y a des spécificités.

 
Ok merci c'est très clair.
J'y ai pensé au domaine payant (moins de 10e/an pour certains) mais je veux d'abord me faire la main avec ddns et voir si j'arrive a mes fins.

Pour moi, l'intérêt d'un reverse proxy :
- n'ouvrir qu'un seul port HTTPS 443 sur le méchant Internet (éventuellement HTTP 80)
- sécuriser (chiffrer et authentifier en HTTPS) un service interne qui ne serait qu'en HTTP non sécurisé.
- ne permettre la connexion à un service interne que si on connait son FQDN (sous-domaine et domaine complet)... en effet, n'importe qui peut scanner ton IP publique, trouver ton port 443 ouvert, mais pas découvrir aussi facilement que ça l'URL à appeler pour se connecter au serveur interne.
- bypasser les proxy filtrants d'entreprise. En effet, la plupart filtrent les ports autres que 80 et 443, donc la solution d'ouvrir une multitude de ports chez soi ne fonctionne pas. Tandis que d'ouvrir le 443 et y accéder en https passe à tous les coups
 
En bonus, j'utilise SSLH sur le port 443 qui me permet de détecter les connexion VPN OpeenSSL. Donc le même port me permet de faire du VPN et du reverse proxy.
 

Ca doit être faisable en ddns gratuit, mais je ne saurais t'aider. Il doit bien y avoir des tutos.

 
D'un autre côté, je ne suis pas un utilisateur "privé" mais usage "entreprise" donc la liste des services qui utilisent le protocole http mais qui ne sont pas du web m'est plus ou moins inconnue.
Du coup, sur 100% de mes serveurs, j'ai le port 443 ouvert et qui me sert à presque tout complété avec le 22 et parfois le 25.
 
Qu'est-ce qu'un "service interne" si le reverse tourne sur le même système? Cela n'a d'intérêt AMHA qu'en frontal d'un réseau ou de VMs (ou plus rarement d'un daemon particulier qui serait http mais sur un port à lui).
 
Pour le 3 et le 4, je suis moins d'accord mais ce n'est pas le sujet.

Utiliser un NAS pour faire de la virtualisation est du bricolage voué à de nombreux emmerdes lors des upgrades de kernels entre autre ...
La solution propre est de virtualiser le NAS en installant d'abords un hypervisor et ajouter ensuite des VMs/containers suivant les besoins sur ce dernier.

Avec sslh tu peux utiliser le port 443 pour divers protocols. Sur mes VMs "access" j'ai https, ssh et OpenVPN qui "partagent" le 443 simultanément.

C'est la solution que j'ai choisie.  
 
ESXI 6.5, une VM OMV sur laquelle je map mon raid1 en rdm  
Toutes les autres VM accèdent aux données via des montages Samba ou NFS paramétrés dans OMV.
 
J'ai une légère perte de performance je passe de 180Mo/s sur les tests d'écriture sur OMV à 150Mo/s pour les autres VM accédant via montage NFS.  
J'ai vu que ça pouvait s'optimiser en jouant sur les tailles de bloc etc.. mais je n'ai pas cherché à le faire.

Voilà, mais j'ai pris Proxmox personnellement pour éviter le bricolage et pouvoir gratuitement faire un cluster HA de 3 nodes avec networked storage...

Pourquoi du bricolage ? J'ai l'impression que même avec une license gratuite on peut faire des choses propres sur ESXI.  
Perso je n'ai pas besoin de cluster j'ai qu'un Gen8
 
Sinon vous trouvez que ma config ci-dessus est viable ? J'ai une VM debian dédiée usage seedbox et je me demandais si je ne pouvais pas mapper également mon raid1 en RDM mais je ne sais pas si c'est très propre de donner des accès directs aux disques à plusieurs VM. J'ai fait un rdm "physique" plutôt que "virtuel" (de façon complètement arbitraire), je ne sais pas si ça a un impact sur le choix. Il y a encore une semaine je n'y connaissais rien en virtu  

Ca dépend de ce que tu appelles "system".
Ma VM Reverse Proxy est en DMZ, donc déjà sur un réseau différent.
Sur ce même serveur physique, la virtu permet de faire tourner plusieurs VM totalement étanches.
Donc mon Reverse proxy permet d'accéder aussi bien à des services situés sur d'autres VM de cette même machine physique, mais également d'autres machines sur mon réseau (box domotique, etc)
 
Donc le reverse proxy est bien en "frontal" d'un réseau (ce réseau étant constitué de VM, et de machines différentes).
 
J'ai fait le choix d'isoler le reverse proxy sur une VM isolée dédiée à cet usage, mais ce n'est pas obligatoire, au tout début mon reverse proxy étant sur mon NAS (ce NAS étant en réalité une VM du serveur)
 
Bref, les possibilités sont multiples, je ne sais pas quel est exactement ton besoin, on a parlé de Reverse proxy pour je ne sais pas trop quelle raison, ça rend bien service, mais ce n'est pas la solution à toutes les problématiques.
 

Sauf à utiliser un file-system en cluster type GFS ou Spetrum Scale, c'est très dangereux.
Monter un FS normal (FAT, NTFS, ext, etc) sur 2 OS simultanément va amener une corruption très rapide des données et un crash total du FS.

 
C'est exactement ce que je cherche a faire, et pour les mêmes raisons. Toi par contre tu as tout virtualisé? C'est plus chaud a configurer avec OMV également virtualisé et tout les accès aux différents disques non?
 

 
Oui peut-être je ne fait pas de virtualisation. Sinon il y a docker qui semble pas mal comme compromis

Qu'appelles tu "tout virtualiser" ?
La VM ReverseProxy, comme indiqué, est virtualisée.
Tout comme la VM NAS, et un certain nombre d'autres VM (à la louche, je dirais une 10zaine).
 
Sur le 2nd serveur, une autre VM NAS qui sert de réplication/sauvegarde au premier NAS.
 
L''hyperviseur est ESXi.
 
Après j'ai aussi tout un tas d'autres éléments physiques sur le réseau.
 
J'ai pas compté, mais j'ai une 50aine d'adresses IP présentes en permanence sur le réseau.

Oui c’est ce que j’étendais par tout virtualiser, exsi avec plein de VM.
 
C’est pas trop gourmand en ressources sur un Gen8? J’ai juste changé le proc pour un 1265L mais j’ai toujours 4go de ram... Et Il y avait pas un souci de ventilo avec exsi (qui reste pas à 6 ou 9%)?

ESXi (la virtualisation en général) fait perdre un peu en performance par rapport à du natif, mais on gagne tellement en souplesse avec la gestion de différentes VM.
 
J'ai un E3 1265L v2 et 16 Go de RAM, les 2 datastores sont sur un SSD Samsung 840 Pro et une carte PCI-E Fusion I/O.
Donc niveau performance c'est tout à fait satisfaisant.
Par contre la RAM est totalement pleine et je suis à court (ESXi commence à swaper), ma prochaine machine sera home-made avec 64Go.... quand les prix seront calmés.
 
Pas de souci de ventilo, au contraire avec ESXi (l'image customisée par HPE), c'est bien 6%.
Avec les autres OS c'est plus aléatoire, remonte le topic et tu verras que certains arrivent à 6% avec Windows/Linux en natif, tandis que d'autres ont un ventilo > 12%
 
Cela dit, depuis que j'ai mis la Fusion I/O, qui n'est pas reconnue par ILO, mon ventilo tourne plus vite... ça ne me dérange pas, le serveur n'est pas dans une pièce de vie. Seul inconvénient, il prend plus vite la poussière (et non je ne l'ai pas recouvert d'un collant de femme)

Ok merci pour les infos. Effectivement je peux aller me brosser avec mes 4go...
 
Je vais d’abord me faire la main sous omv et je verrai plus tard pour un upgrade de ram et passer sur esxi. Je pense que 8 ou 16go me suffiront pour mes besoins : OMV, plex, torrent, cloud perso. Et j’aimerai bien rendre tout ça accessible via un mini-site web avec quelques icônes pour lancer le service voulu. Ça doit pas être bien compliqué mais il faut que j’apprenne un peu de code...

 
Tout est dit. C'est dans le cas d'un OMV natif sur le microserver (physique) que l'intérêt d'un reverse me semble beaucoup plus discutable.
Mais ce n'était pas moi qui posait la question.

Bonjour,  
 
Actuellement possesseur d'un DS413j, il est beaucoup trop lent par rapport à mon utilisation. Par conséquent, j'aimerais changer. J'ai regardé du côté des nouveau (en particulier le DS418) seulement les applications ne sont pas encore compatibles (SynoCommunity). Je réfléchis de plus en plus à partir sur un Proliant seulement j'ai quelques questions :
 
- Quel OS me conseillez-vous pour utilisation NAS ?
- La consommation et le bruit sont importants pour moi. Est ce vraiment plus important qu'un Synology ?
- Au vue de mes critères, plutôt un Gen7 ou un Gen8 ?
- Si je switche, vais-je perdre toutes mes données sachant que je suis actuellement en SHR.  
 
Merci pour votre aide   je

-os : omv
-conso : ça consomme plus mais c'est pas non plus monstrueux
-G7 plus vendu depuis longtemps, G8 plus vendu mais encore trouvable
- faudra faire un backup car oui les disques seronts formattés

Quelle est ton utilisation en détail ? Car pour du simple partage de fichiers NFS/SMB le 413J même si c'est une brouette doit pouvoir faire le boulot sans trop de problème. Par contre si c'est les packages communautaires qui posent problème y'a tout et n'importe quoi là dedans, donc faut vraiment détailler pour pouvoir te conseiller.

 
J'utilise plusieurs PVR pour les newsgroups, je n'en dirai pas plus car c'est hors charte. J'aimerais pouvoir utiliser Docker en plus. Puis après du partage Samba/NFS, j'aimerais mettre en place une GED aussi.

 
Et donc quelle serait la solution pour arriver a mes fins en restant sous omv? C-a-d un sous domaine par service le tout en ssl et en n’ouvrant que les ports 80 et 443

sudo apt-get install nginx

Puis partir à la recherche d'un tuto !

bonjour à tous
 
merci à tous ceux qui m'ont aidé, j'ai réussi à obtenir quelque chose qui fonctionne
 
du coup, j'aimerais vérifier que mes disques sont bien en RDM : comment faire ?
 
je n'arrive toujours pas à installer les vmtools sur ma VM d'OMV3 : j'ai l'impression qu'esxi cherche à installer l'image  /usr/lib/vmware/isoimages/linuxPreGlibc25.iso alors qu'elle se nomme  /usr/lib/vmware/isoimages/linux.iso > chez vous c'est comment
 
et j'ai toujours un probleme avec CIM : "Le démon Small Footprint CIM Broker Daemon (SFCBD) est en cours d'exécution, mais aucune donnée n'a été signalée. Vous devrez peut-être installer un fournisseur CIM pour votre adaptateur de stockage" (mais c'est un message différent maintenant que j'ai basculé en AHCI )
 
au cas où : vous savez comment supprimer une VM quand les options sont inaccessibles ? (mon passage du controleur RAID en AHCI de mon datastore a rendu mon disque illisible mais esxi garde trace de mon ancienne VM...)
 
oui, beaucoup de questions  

Pour les vm tools sur omv passe directement par le package debian : apt-get install open-vm-tools
 
Pour des vieilles entrées de VM qui pointent nul part je n'ai pas réussi a les virer via le client web il faut le faire en console / ssh sur l'host.

 
C’est a dire?
J’utilise deja nginx mais uniquement pour pydio. Je voulais utiliser des sous domaines pour différents services qui n’utilisent pas tous nginx (notamment transmission et plex)

Le but est d'utiliser le reverse proxy de apache ou nginx pour accéder à tous tes web serveurs, quelque soit le host, le port ou l'engine.

ok, merci pour les pistes

bonjour,
 
je voudrais votre avis, j'ai actuellement un G8 avec un xeon 1265L mais seulement 4go de ram. je voudrais passer en 16Go et je voudrais savoir si le fait que la ram soit ECC apporte vraiment un plus. j'utilise mon G8 comme NAS avec une vm pour ma domotique JEEDOM.
 
Merci de vos réponse

 
Faudrait lister les services que tu veux ouvrir sur l'extérieur. Déjà, tu ne pourras que proxyfier ceux qui causent web.    
Et si tu ouvres 2 ports, tu auras a priori le choix entre http et https.

La RAM ECC apporte la correction d'erreur par rapport à la RAM standard.
Donc moins de risque de corruption de données, donc moins de plantage.
Cela dit, sur les barrettes RAM "standard" récentes depuis quelques années, les corruptions sont devenues plutôt rares.
De toute façon, sur le Gen8 tu n'as pas le choix, c'est RAM ECC obligatoire.

Ok mais pourquoi sur la 1er page il note que la Kingston HyperX KHX16C10B1BK2/16X non ecc est compatible ?
 
La ram ecc et clairement plus cher