Reprise du message précédent :
Chez moi il est sur une VM Debian dédiée.
La raison d'une VM dédiée c'est qu'elle a son VLAN propre et ses règles de routage/firewall assez stricte comme c'est la seule ayant un port ouvert depuis le WAN sur mon routeur.
Car sinon en terme de charge c'est de loin la moins chargée de mes VM, elle est à toujours à 0% de CPU.  
 
Note : c'est actuellement imparfait, je n'ouvre que le port 443 mais tous les 63 mois pour renouveler les certificats letscencrypt je dois ouvrir temporairement le port 80 en plus. J'ai vu le sujet évoqué ici ou ailleurs, avec des histoires de dns ou je ne sais quoi, pas encore pris le temps de m'en occuper. Pour l'instant ça me convient, je reçois une alerte quelques jours avant l'expiration de mes certificats, et la manip me prend 5 minutes tous les 6 mois (le plus long étant d'attendre la prise en compte de l'ouverture ou de la fermeture du port par mon routeur).

Hum, l'idée me plaît, j'ai aussi une debian adaptée pour ça. Pour la petite histoire, en googlant je suis tombé sur un thread hfr qui finit par conclure qu'il y a un tuto bien, il est sur fibaro et rédigé par.... Lazer

On t'a déjà répondu correctement, avec un reverse proxy une option relativement simple est Traefik, que j'utilise au boulot et à la maison également. La config est (à mon sens) plus simple que pour nginx/haproxy, ça tourne sous Docker sans installer quoi que ce soit (juste Docker quoi ), et ça gère tes certificats SSL automatiquement, c.f. mon post il y a quelques pages

 
Pour info j'ai fait le test rapidement et je suis (beaucoup) moins catégorique que toi sur le fait que ça fonctionne. Ca m'a mis un bordel dans mes routes Z-Wave comme jamais. C'est à mon avis une très mauvaise idée.

 
Ah, très intéressant !    
Mon test n'a pas duré bien longtemps, ni sur beaucoup de modules, ni sur autre chose que de vérifier que je pouvais utiliser tous mes modules depuis les 2 contrôleurs. Je n'ai pas vérifié l'état des routes, les latences,...
 
Ca s'est traduit comment tes soucis ?    
 

Tiens puisque ça parle Reverse Proxy, il y a quelques temps, j'avais posté ma config :
 

 
J'ai "un peu" retravaillé la chose, maintenant c'est ça
 

 
Reverse Proxy en VM, et en redondance sur 2 serveurs isolés en DMZ, avec une adresse IP virtuelle pour basculer automatiquement de l'un à l'autre (protocole VRRP, démon keepalived sous Linux)
Sachant que pour la sécurité, il y a des firewalls de partout, et en réalité dans chaque VM, il y a 2 reverse proxy : HAProxy qui fait le boulot classique avec les sous-domaines et les certificats HTTPS, et Apache avec mod_security pour faire firewall de niveau applicatif (WAF = Web Application Firewall)... il filtre toutes les requêtes à la recherche de failles, d'injections SQL, etc.
Pratique pour auto-héberger des serveurs Web (dans les 2 VM du dessus, ça remplace mon hébergement mutualisé chez OVH, quelques économies réalisées), mais aussi protéger tous les services domotiques dont les serveurs web embarqués sont potentiellement pas à jour et plein de failles.
 
Les certificats Let's Encrypt se renouvellent tout seul avec un petit script.
 
A noter que dans les VM, c'est SSLH qui écoute sur le port 443, et redirige le traffic HTTPS vers HAProxy, et le traffic OpenVPN vers OpenVPN. Le port 443 permet de passer plus facilement au travers des firewalls/proxy d'entreprise pour monter son VPN à distance.
Parce qu'on parallèle de ça, j'ai aussi le VPN L2TP/IPsec en interne sur le routeur, mais l'IPSec est souvent bloqué sur les réseaux d'entreprise.
 
(sur le schéma on voit aussi l'accès 4G de secours en cas de panne de la Fibre, et la passerelle SMS (un vieux tel Android avec JPI) pour les notifications domotiques urgentes)

   
En fait c'est un vieux tuto sur Synology que je n'utilise plus. En plus maintenant c'est intégré en natif dans DSM, ça fonctionne très bien.
Entre temps j'ai posté (juste au dessus donc) ma config, j'utilise HAProxy isolé dans une VM Debian (plus quelques bricoles )

Putain c'est le level au-dessus là

Ne pas regarder, je n'en ai pas besoin... Ne pas regarder, je n'en ai pas besoin... Ne pas regarder, je n'en ai pas besoin...      
 
 
 

Lazer, ce que tu as fait c'est beau, j'aimerais bien avoir ne serait-ce que la moitié de tes protections, mais voilà quoi, j'ai pas la force. Je vais déjà mettre en place le reverse de base, ensuite je verrai pour l'histoire HTTPS.  
 
Vous m'avez embrouillé, entre Traefik, HAProxy et nginx. J'ai pas docker et j'ai une debian, du coup ça se joue entre HAProxy et Nginx?

Il y a beaucoup de fans de nginx, mais perso je suis resté sur HAProxy, c'est un logiciel qui ne fait que ça, et qui le fait bien : performant, léger, sécurisé, fiable, paramétrable à souhait.
Et on trouve plein de tutos (enfin pour nginx aussi).
 
Traefik jamais testé perso, je ne sais pas ce que ça vaut.

En IP v6 on peut pas faire ce genre de choses ?

merci à tous pour vos explications sur le dyndns et tout et tout même si j'avoue j'ai pas compris grand chose!      

Peu importe lequel des 3 tu choisis, ils sont tous de bonne facture
 
Traefik est excellent en intégration avec Docker pour découvrir tes services à la volée, mais tu n'es pas obligé de l'utiliser avec Docker. Tu peux très bien utiliser un fichier de config statique plutôt que des règles dynamiques. Tu peux essayer de jouer avec très rapidement en suivant ces instructions.
 
Les 2 premiers schémas ici résument les concepts de base :

• Les entrypoints sont tes points d'accès depuis l'extérieur
• Les backends sont les services qui tournent sur ta machine/dans une VM/des conteneurs
• Les frontends, entre les deux, sont les règles de matching des services. Tu arrives sur un frontend depuis un (ou plusieurs) entrypoint(s), et tu définis les règles nécessaires pour forwarder le traffic depuis cet entrypoint vers un (ou plusieurs) backend(s).

Pour prendre ton cas concret, tu aurais :

• 2 entrypoints, un "http" sur le port 80 et un "https" sur le port 443
• 2 backends, un pour chacune de tes VM
• 2 frontends, l'un avec une règle sur le host "serv1.dafunky.fr" qui pointe sur le backend correspondant à ta machine virtuelle 1, et le deuxième frontend avec une règle host "serv2.dafunky.fr" qui pointe sur ta machine virtuelle 2

Tu peux faire plein de choses au niveau de chaque entrypoint/frontend/backend, comme utiliser plusieus matchers (router ton trafic en fonction du host, de certains headers HTTP...), faire du load-balancing entre plusieurs VM redondées, limiter le nombre de connexions, faire de l'authentification, du whitelisting d'IP, vérifier à intervalles réguliers que tes services sont bien up, capter et forwarder du traffic venant d'un proxy, etc...
 
Un exemple de configuration très simple :
 

 
Il manque juste les règles pour tes frontends, et tu es bon la partie "acme" gèrera ton certificat Let's Encrypt en wildcard et Traefik le commandera/renouvellera automatiquement.

Sinon, si vous avez un synology, c'est directement intégré.
 
Au pire (ou quand c'est pas de l'HTTP ou pas un truc qui se proxy correctement), la version du pauvre: faire pointer toto1.dns.org et toto2.dns.org vers la meme IP, et faire que le port xx va faire IP1 et yy vers IP2.  C'est moche parce que toto1.dns.org fait pareil que toto2.dns.org, mais bon...

@shaad : Comment tu fais pour avoir des certificats valables 6 mois. C'est pas 3 mois maxi ?

Non pour moi c'est 6 mois. Ils en avaient marre que je les saoule avec mes certifs !    
 

Vous me hypez avec trafik...Je vais encore me faire avoir

C'est intéressant si tu as surtout du docker sinon go le reste.

Je crois que tu as déjà eu toutes les réponses

Moi pour l'instant pour éviter ça je ne fais pas de sous domaine, je joue avec les ports
Ma domotique sur un port, mon accès Syno sur un autre.
Et ma box internet qui redirige sur le bon équipement

Ouais ils font chier avec ce port 80, c'était pas le cas avant !
Bon par contre sur ma Bbox la prise en compte est assez rapide ça va.

Chez moi c'est mon jeedom que je charge de renouveler le certificat, puis je le pousse sur le Syno

Pareil

Principalement des associations directes qui ont sauté,  ainsi que des routes vers le contrôleur complètement loufoques. Les problèmes arrivent au moment où un des contrôleurs démarre le réseau zwave. Je pense que c'est d'autant plus flagrant que le réseau est complexe.

Est ce que vous utilisez des beacons BLE bluetooth low energy  avec Domoticz et Raspberry ?

Ça peut être une alternative moins chère que des tags RFID

Tu veux dire genre des Nut?

Si tu intègres le prix du changement de pile dans ta réflexion, pas sure que ce soit si rentable ?

Pour avoir un nut mini (pas encore installé avec Home assistant ceci dit), je confirme que c’est clairement un mangeur de piles.. Mais quand j’étais sur Jeedom, j’avais pas trouvé plus pratique que ça.  
A voir si le Bluetooth iphone peut se substituer..
 
Après, le Nut 2 semble avoir beaucoup plus d’autonomie que le mini.
 
Sinon passer sur des piles boutons rechargeables ? Ça doit se trouver ça non ?  

 
 
il y a aussi l’alternative bracelet xiaomi mi band

Sauf que si cela n'a pas changé, il faut une version "vieille" du firmware pour qu'il soit utilisable par le plugin BLEA il me semble (perso les 3 que nous possédons n'ont jamais été détecté).

 
alors que le mien fonctionne parfaitement

J'attends toujours que sarakha nous integre les Amazfit Stratos moi

Oh putain, en traînant sur son site je viens de voir qu'il a enfin réussi à permettre de contrôler l'aspi Xiaomi à coup de "nettoie telle zone", enfin je vais pouvoir lui faire passer tout les jours devant la litière du fauve ou dans la cuisine tout les jours sans m'emmerder à l'avoir dans les pattes quand je suis ailleurs

Édit : par contre le tuto est velu

 
J'utilise une version perso de ce tutoriel: https://easydomoticz.com/beacon/
Le truc pour les NUT, c'est de bien couper l'app iOS (je suppose que c'est pareil pour Android). En gros:
 
- si on n'ajoute pas le NUT à l'appli iOS, il va être en mode interrogation et la pile durera 4 à 6 semaines si tout va bien.
- si on ajoute le NUT à l'appli iOS, la pile dure longtemps (j'en suis à 5 mois), mais elle est pas détectée par le script tant que l'appli iOS tourne.
 
Il faut donc: 1. ajouter le nut à l'appli, 2 arrêter l'appli.
 
J'ai 2 pis + mon mini pc sous linux qui gère domoticz avec des modules BLE (j'ai pas réussi à faire grand chose avec la puce intégrée), et depuis que j'ai trouvé le truc de l'appli ça marche nickel !
 

Thx, je vais tester ton astuce parce que j’en ai marre de changer les piles des nuts 1 fois / mois

Bon, vous avez été très généreux en détails pour le reverse proxy, je vais faire ça lundi, merci à tous. J'ai quand même une dernière question, sur ma debian j'ai déjà un pihole qui tourne (port tcp 80 pour l'admin et en principe TCP 53 pour les requêtes dns), est-ce ça ne va pas gêner le paramétrage ?

Le port 80 je peux le changer facilement. Le port 53 je dois dire au reverse de le garder sur la machine locale. Bref, ça doit être jouable.

le 53 tu laisses ça sur ton ip locale, le 80 tu l'ajoutes dans ta config pour que ton port 443 pointe sur le 80 de ta machine pihole.
Et hop ton pihole ne https.
 
Je vous remercie pas je viens de perdre une heure a passer de haproxy sous traefik.
Et là tout content tout passe nickel
Mme : - t'as fait quoi là ?
Moi : - changé de reverse proxy  
Mme : - ah et ça apporte quoi ?
Moi : -  

Tellement vrai  

Toi :      
 
Hfr :      
 
Ta femme :    

 
C'est l'idéal d'utiliser un bracelet mifit et ils sont détectés peu importe la version. On parle juste de remonter l'information "présent". Je l'utilise aussi par exemple sur ma TV. Le plugin BLEA detecte si le bluetooth de la TV est allumé et donc que la TVB est allumée.
Donc ça devrait marcher pour la détection de présence avec une stratos

oui
 

C'est indiqué 6 mois pour la pile, c'est plutot correct si c'est ca.
Puis meme sans parler de l'aspect financier, je trouve le principe de la détection bluetooth intéressant car ca permet de désactiver l'alarme par exemple avant de rentrer dans la maison, à la différence d'un tag qu'il faut passer devant un boitier se trouvant dans la maison..
 
 

C'est chiant ca s'il faut l'associer à une appli. J'aimerai un truc autonome, indépendant de toute application en fait si possible.

 
Si j’ai bien suivi l’association n’est nécessaire qu’une seule fois, pour que le nut « vierge » se mette en mode « associé » et non plus « recherche »

Normalement... Mais je suis pas sûr qu'elle soit détectable en Permanence une fois appairée, comme les mi band avant une certaine mise à jour parce que j'ai beau faire des scans avec la montre allumée/éteinte/en mode avion/en recherche bluetooth rien ne correspond... Au moins si sarakha essayait de l'intégrer on serait fixé mais je crois qu'il en avait pas à dispo pour l'analyser