Reprise du message précédent :

Passez sur Kea  

 
J'ai jeté un coup d'oeil à unbound, ça a l'air de fiabiliser la fonction DNS : https://docs.pi-hole.net/guides/dns/unbound/
Tu recommandes d'activer unbound? il y a un lien avec la fonction DHCP?

Non. Fin c'est dnsmasq qui va demander à ton unbound local (127.0.0.1) donc ca range rien aux enregistrement DHCP <-> DNS.

C'est pour faire ses requêtes récursives soit même. Actuellement si tu as 1.1.1.1 dans piHole tu l'utilise en redirecteur et c'est lui qui fait le récursif (avec la gestion à la sauce cloudflare)

Perso avec toutes les histoires de caches/géolocalisations etc... j'éviterais de faire moi même mon récursif sauf gros gros usage.

 
je laisse tomber donc.

 
J'avais fais ca à l'époque pour pas avoir de DNS menteur, bloqueur de quoi que ce soit.
J'veux bien des précisions sur le sujet, ça m'intéresse quand même pour le cache/géoloc ?

Dans le premier cas il s'agit de savoir dans ta conf unbound si tu respect le TTL, ou si tu mets un mini forcé (pas conseillé) ou si ta pas de cache Je sais plus si c'est facilement faisable ce dernier cas avec unbound.

Dans le deuxième cas il s'agit de s'assurer que tu as bien le chemin le plus court vers un root/tld whatever puisqu'en réalité ils sont éparpillés dans le monde.

Suite de mes aventures proxmox sur serveur Oneprovider.
 
Blague n°1 :  
impossible de faire des backups, ça se termine en erreur rsync 23. Après enquête, c'est une histoire d'ACL (ha ?), cf : https://forum.proxmox.com/threads/l [...] -1.101810/
réglée en 1 ligne :
zfs set acltype=posixacl rpool/vz
avec rpool/vz le volume zfs monté ensuite dans /var/lib/vz
Il y a peut-être moyen aussi d'éditer directement l'info dans l'association du stockage au conteneur (ACLs: Disabled au lieu de default ou un truc du genre).
 
Au passage on n'oublie pas de déplacer le dossier temporaire utilisé pendant la création du backup pour ne pas remplir le "petit" FS local (20Go dans mon cas) :
mkdir  /var/lib/vz/tmp
vi /etc/vzdump.conf
ajouter :
tmpdir = /var/lib/vz/tmp
 
Blague n°2 :
WTF, malgré le système en ZFS les backups se font en mode "suspend" et non pas snapshot.
Pour l'instant pas capté pourquoi. Si ça vous parle, n'hésitez pas à partager
 
ça sent probablement le truc que proxmox considère que c'est un stockage de type "dir" (directory) car monté en tant que /var/lib/vz (dir: local dans storage.cfg) et non pas un zfspool...

euh, je suis pas en zfs mais en thin lvm/ext4 et je fais mes backups en snapshot.
 
MAis bon j'y connais pas grand chose.

Bon ça semble bien lié à ce putain de point de montage, proxmox considère "local" comme un dossier et pas un système ZFS à proprement parler. C'est très con !
 
J'ai fait un gros hack, éditer /etc/pve/storage.cfg et ajouter un bloc pour monter au moins la racine du volume ZFS
 
zfspool: rpool
        pool rpool
        content rootdir,images,backup
        sparse 1
 
Et si je déplace le disque de mon LXC dans cet espace (que la GUI voit comme un "vrai" volume ZFS) là c'est bon, le snapshot est opérationnel.
 
C'est tordu par contre. Ca fait des points de montage un peu strange, mais ça marche.

C'est ce que j'avais fait, ça évite d'avoir à utiliser des serveurs DNS tiers car tu attaques directement les Root Servers. Mais ça c'était avant
 
Tuto : https://docs.pi-hole.net/guides/dns/unbound/

Ton lien = mon lien
Je verrai si je mets ça en place quand je m’ennuierai

Fail, désolé

kea, le successeur de isc-dhcpd

L'ami fegre a partagé ce lien sur le topic domotique : https://tteck.github.io/Proxmox/
Qu'elle est la différence entre avoir les softs proposés en LXC plutôt que dans une VM avec Docker ?

Utiliser la techno de virtu builtin de Proxmox sans empiler les techno de virtu les unes sur les autres comme une pile d'assiettes sales ?

C'est pareil en pas pareil

Ah tiens je vais essayer vaultwarden lxc

Et Unify aussi

Et dashy

Et photoprism

vaultwarden j'ai toujours sa version docker installée, pas moyen de me connecter il ne veut pas de mon certificat let's encrypt

La fainéantise pour les mises à jour peut être.
 
Un lxc reste un OS à mettre à jour ainsi que les softs qu’il héberge. Ça peut être plus pénible et source d’erreurs qu’un docker pull et restart. Mais c’est aussi peut être plus facile à debugger
 
Docker offre un grand catalogue et une simplification de l’installation

 
Tout n'est pas dans Docker cependant.
 
Donc suivant ce que tu veux faire tu devras choisir entre LXC, VM ou Docker.
 
Exemple chez moi chez moi j'ai :
- LXC avec un serveur minecraft
- LXC avec une instance Yunohost
- LXC avec Influx
- VM avec Octopi parce que j'ai besoin de l'USB
- VMs Windows
- ..
 
À titre perso si je peux éviter du docker dans une VM je le fais . J'ai l'impression que de virtualiser dans un environnement déjà virtualisé c'est de la perte de ressources    (mais je n'ai pas envie de ré ouvrir ce débat encore une fois   ).

Avec un OS, c'est parfois galère mais tu es plus ou moins obligé de comprendre un minimum ce que tu installes et c'est plus facile de garder le contrôle. Avec docker, à la limite tu peux ne te soucier de rien et le laisser faire puisqu'il va gérer toutes les dépendances, par contre, c'est plus délicat si tu veux garder le contrôle et selon l'origine, tu peux avoir une composition assez baroque

 
Je ne sais pas si vous avez vu passer ça au fait:
https://starlabs.sg/blog/2022/12-mu [...] l-gateway/

Si on est à jour ça ne nous concerne pas  

Ce n'est pas pour ça que c'est pas intéressant de connaitre les failles.

Effectivement  

Bonjour,
 
J'ai actuellement un hyperviseur sous esxi 6 sur un HP GEN8, mais qui date un peu car pas de mise à jours.
 
Je suis en train de réfléchir à passer mon installation sous proxmox :
 
- VM OMV avec accès disque en RAW
- VM Jeedom
- Tvheadend pour les enregistrements de la TNT
 
Pensez vous que promox pourrais correspondre à mon utilité en sachant que je ne suis pas un expert sous Linux.

f*cking journée.
Tentative de mise en cluster de mes 2 serveurs dans 2 datacenters différents. C'était bien parti, je suis le tuto, j'avais juste un doute sur l'histoire du tunnel ssh sur le port 22... mon ssh étant sur un port différent + je n'avais pas encore mis de clés pour que l'un accède à l'autre, je me demandais si c'était justement mis en place par la création du cluster ou s'il fallait le faire avant.
Par contre les ports udp nécessaires sont bien ouverts
 
Je tente quand même la création du cluster : 0 erreur, je me sens confiant. Je vais sur le second node, je tente de rejoindre le cluster avec les infos qui vont bien, ça semble bien parti... puis ça timeoute ou truc du genre.
 
A partir de là j'ai le node moitié ajouté, genre il apparait dans la GUI du node 1 mais est inaccessible.
 
Je tente 2/3 trucs, ça ne marche pas mieux. Je finis par rebooter tout le monde... et là mon node 1 est crashé de chez crashé, plus rien dans /etc/pve donc pas de GUI, pas de corosync, que dalle.
 
une demi journée de sueur, je finis par ravoir le node qui tourne ouf.
 
Par contre retour à la case départ : mes 2 nodes ne se voient pas, alors qu'entre temps j'ai bien activé le ssh dans les 2 sens (via les clés root...)
 
une idée de comment avancer ?
chacun a l'air de son côté sans se voir
 

 
Edit : forcément en l'écrivant j'ai trouvé la solution : pb de configuration du firewall, j'ai autorisé les ports en entrée... mais pas en sortie, quel boulet !
 
réplication activée et fonctionnelle entre Oneprovider et OVH, cool !

Merci a tous ceux qui ont contribués suite a ma question , apres donc des heures perdues devant Isc-dhcp-server (ne marchait qu'avec un range super chelou) , j'ai tenté kea mais j'ai rien trouvé niveau explication,  l'équivalent pfSense etant overkill , j'ai jeté mon devolu sur pihole et impeccable ! Maintenant que ma VM Syno est online , je peux la passer en IP statique et supprimer pihole  

Mais du coup , leger HS , question a ceux qui connaissent NextDNS , est ce que pihole peut fournir les même services que NextDNS ?

Un cluster a 2 hôtes n'est pas la configuration conseillé par Proxmox il en faut 3 mini. Tout dépend de ce que tu souhaites faire après (ha, migration, etc...)

 
Oui c'est clair que c'est pas optimal.
Mon objectif c'est d'avoir un PRA rapide en cas de crash quelconque sur le node principal. Je visualise vraiment le truc comme master->slave plutôt qu'un vrai cluster.
De toute façon avec ce genre de petite infra, 1 seule ip publique... typiquement j'ai le nom de domaine qui pointe vers l'ip publique du node1, donc on est loin de la HA avec bascule automatique & compagnie.
Là si le node1 disparait, je modifie le DNS pour qu'il pointe vers le node2, je me logue sur le node2, force le quorum à 1 (pvecm expected 1), je déplace à la barbare les fichiers de conf du LXC qui tournait sur le node1 vers le dossier du node2 (dans /etc/pve/nodes) et normalement je peux démarrer le LXC sur le node2.
 
Après si un jour l'appli que j'héberge décolle vraiment et que j'ai plus d'utilisateurs (et plus de moyens financiers) je ferai un système avec 3 vrais nodes, dont 2 proches et dans le même datacenter.
 
J'ai aussi 2 autres petits kimsufi chez ovh encore en bare metal, peut-être que j'en passerai un sur proxmox pour l'ajouter au cluster.
 
Après sans ip "flottante", load balancer et compagnie, je me demande si on peut faire un cluster du pauvre juste en mettant par exemple les 2 ip publiques des 2 nodes associées au nom de domaine principal et partir sur le principe que ça fait du round-robin avec les ip qui répondent, et comme l'ip du node 2 ne répond jamais sauf si le LXC est "promu" sur ce node ?

Euh, t'a configuré comment le stockage ? Parceque dans un cluster proxmox, c'est pas redondé by design, ça s'appuis sur un san ou un stockage externe du genre...
Pense aussi a baisser le ttl de tes entrées dns.

Le souci c'est qu'il faut surtout avoir un 3eme device pour servir de quorum, SURTOUT avec un stretched cluster sous peine d'avoir un split brain à la moindre coupure ou gigue.
Aussi mettre un poids sur le noeud principal pour que ce soit toujours lui qui heberge le service en cas de coupure de connexjon non prévue.

Comment tu répliques tes VM ? Replication en mode snapshots vers le second node ? Tu as bien pensé à nommer les stockages de la même façon des 2 cotés ?

 
ZFS + réplication tous les quarts d'heure (enfin c'est ce que je suis en train de tester).
@home j'ai réplication 1x par jour sur un node qui est éteint tout le reste du temps (wol+réplic+extinction auto quand la répli est finie) et j'avais testé la migration, c'était passé sans souci.
Bonne remarque pour le TTL, j'ai un truc de l'ordre de 5 ou 10 minutes.
 

donc oui le stockage a le même nom (je me souviens avoir fait cette erreur au début sur mon cluster@home).
Pour le split brain, ouais ça fait un peu peur en cas de problème moins "franc".
Par exemple si le SSD du node1 pète et que Oneprovider me fait sa réponse traditionnelle (allez vous faire voir, louez un nouveau serveur), c'est assez propre à gérer, on se logue sur le node 2, on définit que le quorum c'est un et hop on lance la VM avec à jour avec le dernier snapshot qui a eu lieu. On dégage le node 1 (pvecm delnode 1 ou truc du genre) et on en rajoutera un par la suite quand on aura récupéré un nouveau serveur.
Par contre en cas de problème plus flou où le node 1 "risque" de revenir (genre alim HS sur le node 1, le sav met 24h a la changer, pendant ce temps là tu déplace la VM sur le node 2, quand le node 1 revient ça peut être un peu bordélique, genre il lance direct la VM au boot + la réplication vers le node2 car ça fait + de 15 minutes qu'elle n'a pa eu lieu... ça peut être délicat.
Après je n'ai jamais expérimenté, donc peut-être qu'il est assez intelligent pour voir à son retour qu'il y a déjà un autre node qui fait tourner la VM que d'habitude il gère... vous avez de l'expérience là dessus ?
J'imagine qu'avec un 3è node c'est plus propre et qu'à son retour en prod, le node 1 voit direct qu'il a perdu le droit de gérer la vm car le cluster lui a piqué.
 
Honnêtement je pourrai migrer un des kimsufi restant rapidement, mais il a genre 5 ans de conf dans tous les sens, ça me fatigue à l'avance de devoir tout réinstaller dans un conteneur (serveurs web avec un paquet de petits sites, serveur de mail complet avec antispam & tout le bordel, ...)
Ca serait top un script "bare-metal to LXC"

Hello
 
J'ai dans l'idée de monter une VM pfsense sur proxmox
 
Auriez vous des cartes réseau à conseiller svp ?
 
J'ai pour le moment ressorti des Intel 82574L, pour faire l'install et des test
mais je voudrais regarder du côté des cartes au delà du 1Gbe si je décide de basculer "en prod"
 
D'avance merci

intel X550-t2. Ca marche nickel

hum 400€ ça pique
mais ça a eu le mérite de me proposer des x540-t2 à 130€, à creuser, merci

Après même si ça "marche mieux" (ce qui reste à définir), il me semble que pfsense accepte sans broncher tout un tas de cartes, même à base de realtek, des nic intégrés de carte mère de toutes origines...
OPNSense est souvent plus à jour sur le matos récent (genre intel 226 en 2.5G par exemple) qui demande un pilote supplémentaire "manuel" dans pfsense (enfin il y a quelques mois encore).
Par exemple j'ai une carte Asus (chip Aquantia) 10Gbe à bas prix dans mon petit serveur, reconnue sans souci par proxmox (et probablement par pfsense, même si je n'ai pas testé). Honnêtement ça fait parfaitement le job pour du @home.

Après pour du > 1GB, regarder les options "fibre" est souvent pertinent, mais il faut voir et budgetter l'ensemble de ce qu'on veut faire.

Dans mon cas j'ai juste un lien direct entre mon pc principal et mon serveur en 10G, j'avais déjà le câble réseau en place, c'était plus logique de mettre 1 carte 10GBe à chaque bout (157€ les 2 cartes livrées, en promo sur amazon.es en 2020).
Pour d'autres, un switch mikrotik avec des cages SFP et des DAC et/ou des modules optiques seront plus pertinents, donc à étudier dans son ensemble et pas juste "une carte".

Carte à 75€ ici : https://www.amazon.com.be/dp/B071JR2ZW8/
La version SFP+ : https://www.amazon.fr/dp/B07MFQX4VT/ ou un clone de Intel 520 : https://www.amazon.fr/ipolex-X520-D [...] 079QXCMK7/
Et après en 2.5G tu as une pléthore de cartes pas chères qui fonctionneront probablement très bien aussi. Et au pire si tu n'es pas satisfait tu renvoies.
Sachant que proxmox est très open en terme de drivers (base debian), tu peux aussi passer un nic virtualisé. Ca limite certaines fonctions d'analyse du trafic (de mémoire) mais ça ne doit pas être super bloquant.

D'ailleurs, Wireguard est revenu dans pfsense ou pas ?
On a un pfsense coincé en 2.5.2 car wireguard est installé et il demande à desinstaller wireguard pour se mettre à jour

Merci beaucoup @depart pour ces conseils et propositions, je vais regarder ça

Qui utilise encore pfsense ?    
 
Joke. Je l'ai utilisé pendant 2 ans avant de switcher sur openwrt.