Reprise du message précédent :
Salut les gens,
 
J'ai en ce moment un pc et quelques merdouilles portables en wifi (rien de filaire, à mon grand désarroi, à part le pi), une connexion 300/300 et depuis un peu moins d'un an un pi4 qui me sert de serveur dns avec pihole et de vpn avec wireguard pour accéder à mes ressources (soit aucune) de l'extérieur. Pas d'ip fixe (Sosh), mais j'ai un nom de domaine et le dynhost d'ovh. Ça marche très bien avec ddclient sur le pi.
 
Au départ, j'ai trouvé un pi neuf dispo. J'ai pris. Me suis dit tiens, on va faire un peu de ligne de commande sous linux comme y'a vingt ans (où je ne comprenais déjà rien) et ça va m'occuper quelques jours.
 
Puis en fait, c'est cool. J'ai le vpn toujours actif sur mon téléphone (sauf quand je suis à la maison sur le wifi de la maison).
 
L'idée aussi était d'anticiper pour la future maison (cf. infra). Il va y avoir de la domotique et j'avoue ne pas avoir voulu m'y intéresser (trop de truc à faire). Ce sera legrand/myhome (je n'en sais pas plus) et l'électricien m'a dit que j'aurai un accès local ou pas le web. Ne voulant pas laisser ma maison ouverte à l'extérieur (de principe), j'ai eu l'idée du vpn. Le seul accès à ma maison, ce sera lui. Donc pas d'accès direct à ma domotique ou à mon réseau de caméras.
 
Je vais donc déménager. Toute la maison est pleine de fils (j'ai 25 prises rs45 avec du 6a sftp). Et avoir plein de matos réseau trop cool qui ne sert à rien. Surtout à moi. Surtout pour mon usage. Un NAS, des caméras ip sur un vlan séparé (là encore, pas convaincu de l'intérêt mais ça me fait marrer le côté geek), plein de domotique dans la maison (ouvrants, lumières et clim), un switch 2.5gbps (j'hésite encore avec un 10gbps j'avoue. Mais c'est tellement cher pour rien avec mon usage ... Mais bon quitte à craquer et à équipe la maison neuve ... Une fois que c'est là j'y touche plus), une connexion 2000/800 (toujours pas d'ip fixe, Orange) et tout un tas d'autres trucs auxquels, évidemment, je ne comprendrai rien et qui ne me serviront à rien ou presque.
 
La question, très importante du coup, je garde mon pi et son port 1gbps de pauvre ? Je sais que ça ne sert à rien pour un serveur dns perso d'être à 2.5, 5 ou 10. Idem pour le vpn vu que je serai limité par mes 800 d'upload. Et pire: mon 300/300 me suffit largement (mais j'ai été faible et j'ai pris plus gros. Juste pour avoir plus gros).
 
Ou je passe sur un vrai pc pour geeker encore plus avec une carte réseau 2.5gbps ? (avec la possibilité de mettre plusieurs VM, pour me permettre si ça me reprend l'envie de m'amuser un peu plus tard en plus ... Dans dix ou vingt ans ...)
 
En fait l'idée c'est surtout de tout oublier au fond de la baie. Et comme j'ai cru comprendre que les SD des pi mourraient ... Je n'ai évidemment aucun backup du mien mais j'ai quand même pris la peine de mettre log2ram pour minimiser les écritures dessus. J'ai un risque que ma SD meurent d'ici quelques mois/années ou c'est au final assez négligeable vu l'usage ?
 
Donc en gros, c'est la fiabilité. Et la possibilité plus tard d'installer quelques gadgets en plus si besoin/envie.
 
Actuellement, je suis dans l'optique "je garde le pi et je verrai si j'ai besoin de plus dans 3 jours, 3 mois ou 3 ans". Mais, sans doute un peu psychopathe, la question débile me hante souvent et surement que demain matin je me dirai "rah allez, tu lâches un sac de blé pour équiper la maison, prends une vraie machine".
 
Merci !

tu le dis toi même, tu n'as pas de besoin.

Quitte à passer du temps à geeker, met plutôt en place un process de backup et de reprise d'activité pour le jour où la carte SD de ton Pi tombera en panne. Ça au moins ça a une vraie plus-value et répond à une vraie problématique.

2e pi pour le backup, mais comme ça ne se trouve pas hop un pseudo routeur diy d'origine aliexpress (n5105 ou équivalent en 2.5gbps), mais au moins 2 pour l'aspect redondance, avec proxmox en cluster (le 3e node étant le pi) et hop des heures d'amusement en vue : installation de pfsense, dégager la box si possible... On n'a qu'une vie !

Ou pas...

ou une deuxième carte SD et une extinction hebdo ou mensuelle le temps de faire une image, avec une copie des fichiers de conf importants plus régulière sur une autre machine/cloud, par exemple.

Merci pour vos réponses.
 
Je pense qu'Ivy gu est dans le vrai. Je n'ai pas besoin de plus (donc j'ai évidemment envie de plus ). Reste à savoir si je vais être raisonnable ou pas ...
 
Et pour le backup, pas bête. Je vais regarder. Mais je n'y avais ... même pas pensé ! Je m'étais dit que je rachèterais une SD si elle mourrait et que je referai, c'est pas bien compliqué.

Le truc c'est que sur un serveur dns, l'extinction c'est pas super pratique sans mettre tout en pls.
Notamment quand tu commences à avoir de la domotique qui balance des requêtes à un serveur http (même local, car https + local via son adresse ip = bordel de certificats, donc on passe par un nom de domaine même pour du local).

Et vu que l'histoire du dns1 / dns2 c'est pas "on appelle le 2 seulement si le 1 ne répond pas" c'est vite assez pénible à gérer.

On peut scripter un backup à chaud, c'est ce que je fais une fois par mois, mais le résultat n'est pas garanti (données modifiées entre le début et la fin du backup = données qui peuvent être inconsistantes).

Après si c'est vraiment juste un pihole super basique, un backup de la config via l'exporteur intégré c'est probablement suffisant !

Le jour où ca crashe tu mets a jour le champ dns du routeur vers des dns externes le temps de refaire une sd propre et c'est plié

oui c'était un exemple, le tout est d'avoir une stratégie adaptée au besoin (quelle durée d'indispo j'accepte, quelle perte de donnée j'accepte, quel cas de panne je prévois et quel cas de panne j'ignore) et qui tient la route (ie pas un script écrit une fois, mis en crontab et aussitôt oublié, que le jour où il y a besoin de la backup on se rend compte que ça fait 6 mois qu'elle ne fonctionne plus, ou qu'elle est chiffrée et qu'on a paumé la clé, etc).

Pour le 2,5/10Gig, il te faut d'abord un vrais NAS pour tes fichiers, puis un serveur où tu va mettre tout tes services. Si t'as encore du POGNON tu ajoutes des cartes 10Gig dans le NAS et le serveur, comme ça les VM sont sur le NAS, et les backup sont géré.
Ton PC principal, si besoin de transfert pour backup, une 2,5Gig fera la blague, mais vus que c'est plein de petits fichier, ça sera bien si tu dépasse le 1Gig..
 
Après si tu as + que le NAS et le serveur, il te faut un swtich.
Donc la carte intel multi gig (dual port, on est sur HFR) 200€ sur eBay (x2 si ton serveur n'est pas un serveur pro d'ocase déja équipé), des modules SFP si tu prends pas la carte en ethernet, un switch à 600/800€, la 2,5Gig, on va dire 50balles ...
 
Met déja en place une archi de matos sympa, pense tes backup et met le pognon dans les disques dures. Dans 2/3 ans suivant tes besoins/envis passe au multigig, et peut-etre que les switch vont baisser..
 
 
Regarde le matos pro d'occas aussi, il y a des bon coup.
 
 
Ps: les back-up, hormis la première, en diff/incrémentiel, c'est pas énorme les data à transférer, limite c'est le scan des disques/ssd qui est le plus long (sur mon PC taff avec SSD pourtant en M2 Pcie4, la couche McAffe plombe tout, et sur mon perso, c'est des petits fichiers/photo)

Tu trouves des cartes SFP+ Mellanox à 20-30 €, j'utilise ça dans un Synology sans soucis. Idem avec des clones d'Intel (type X520-DA2), ça se trouve à 40-50 €.

Y'a des gens qui arrivent à faire une intégration propre des retention policies d'InfluxDB dans Grafana ? J'ai mis le duo en place il y a 3 ans sans customiser de retention policy, donc c'était simple mais au bout d'un moment ça commence à prendre de la place donc je voudrais optimiser ça  
La partie influxDB c'est bon j'ai paramétré mes retention policies et continuous queries ça a l'air de fonctionner, par contre côté grafana je n'y arrive pas Tout ce que je trouve c'est soit des hacks bien dégueu, soit une définition de variable pour laisser choisir manuellement dans quel RP piocher, ce qui est fonctionne mais fait double saisie avec la fenêtre de temps qu'on renseigne déjà.
Je ne pensais pas que ce genre de truc puisse être un obstacle vu que même RRD gère ça très bien, donc ça me surprend un peu
 
Grafana 9.2.1 et InfluxDB 1.6.7 (versions dans debian stable).

M'sieur-dames, vous connaissez une distribution Linux "toute prête" qui offre une webui pour accéder à mes appareils réseau en remote (RDP, SSH, VNC etc...)
Habituellement je passe par mon serveur VPN pour être "comme à la maison", mais parfois, j'ai des clients un peu plus exigeants et qui ne laissent passer que le port 80/443 dans leur réseau d'entreprise...

sans hésiter : https://guacamole.apache.org/
C'est pas lourd, ca juste marche, et si besoin, ca s'installe facile en contanier (voire K8S pour les gourmands ... )

edit: t vu que multipost ... qui dit docker dit potentiellement compat Syno ?

Contournement de protection c'est pas bien.

 
Oui effectivement, j'ai pensé passer par le Syno à un moment donné, vu que j'y accède de dehors (Quickconnect)...
 

 
Oui pour ça aussi... à un détail près : c'est ma sécurité à moi que je brise, pas la leur, puisque ça sera un flux unidirectionnel, par le port 443 uniquement, et "enveloppé" par mon point d'entrée (une VM avec un distrib dédiée, ou le Syno)

J’utilise ShellinABox pour le SSH. Ou le tethering 4G pour le VPN... C'est de plus en plus rare que j'utilise les accès internet des clients, c'est devenu n'importe quoi.

C'est ce que je faisais jusque maintenant à vrai dire, mais la latence parfois ça pique...

Tu peux faire passer toute sorte de VPN via TCP/443.
N'importe quel VPN SSL, du zerotier, etc..

Autre petite question qui n'a pas (trop) de rapport
 
Y a-t'il parmi vous des experts en FreeNAS / TrueNAS ?
Vous savez si TrueNAS (en version Core) dispose d'une fonction à la quickconnecte chez Sonylogy pour autoriser les connexions aux utilisateurs depuis l'extérieur ?

Autre question tiens, il y a des gens qui ont monté une PKI ? C'est chiant comment à mettre en place / à gérer ?
 
Les use cases ça serait pour du VPN nomade ou l'accès à des services web par exemple.

J'ai pas bien compris ta question, par contre InfluxDB 1.6 c'est plus supporté...
 
InfluxData fournit un dépôt APT avec les versions 1.8 / 2.x : https://docs.influxdata.com/influxd [...] n/install/
Et c'est encore plus simple à faire tourner avec Docker
 
Si tu veux passer de 1.x à 2.x, il y a une procédure de migration : https://docs.influxdata.com/influxd [...] /v1-to-v2/
 

Je suis en train de migrer de Guacamole vers Teleport : https://goteleport.com
 
En plus de SSH et RDP, ça gère justement l'accès à des clusters K8s, et à différentes bases de données.
Le produit est top (MFA par défaut), et bien documenté.
 

Pour du VPN (IPsec / IKEv2), je me sers de la PKI intégrée à pfSense.
 
Très rapide à mettre en place en suivant un des nombreux tutos, c'est top de pouvoir se connecter depuis un iPhone / Mac sans avoir à installer quoi que ce soit dessus.

 
J'en ai une, à une seule AC (offline). Je suis seul à l'utiliser donc c'est relativement simple à gérer.

Pour du VPN maintenant avec wiregaurd autant partir sur Tailscale ou son implementation open-source Headscale.
Parfait pour gérer la distribution des clés etc.

C'est la folie ce qu'ils ont réussi à faire avec wireguard franchement...

yes WG est assez simple a mettre en place, léger et "rapide".
Je l'utilise avec ma freebox.

Idem, le nombre de setup échoués pour OpenVPN, alors qu'avec Wireguard, que ça soit via l'image Docker ou via la Freebox ça prends 10 secondes. Et l'ajout de client est tout aussi aisée.

Et ça bombarde niveau performances aussi Wireguard.

Tiens justement pendant que ça parle wireguard... (j'hésite où poser la question, mais ici ça me semble le plus pertinent car en terme de besoin on n'est pas loin du @home).
 
J'ai un serveur web (kimsufi ovh) avec proxmox + un conteneur qui fait office de serveur web LAMP.
 
Typiquement j'ai phpmyadmin en accès libre (pas très compliqué de trouver comment y accéder).
Dans l'idéal j'aimerai bien restreindre cet accès mais comme d'habitude, c'est pas avec une restriction par ip que je peux le faire car @home j'ai une ip dynamique et je veux aussi pouvoir y accéder depuis un peu n'importe où en vadrouille (4G...)
 
Donc l'approche VPN me semblerait pas mal.
Mais j'aimerai bien trouver des cas concrets pour savoir où je fais tourner le VPN (hôte proxmox vs conteneur)
Comment ça gère le bordel que par exemple mon conteneur il a une IP en 192.168.1.x et que tout mon LAN actuel @home est aussi en 192.168.1.x
Il se passe quoi quand je veux me connecter à 192.168.1.2 qui est l'ip du conteneur distant ET que c'est aussi l'ip de mon pihole local ?
 
Ensuite en terme de config d'Apache, ça va être quoi l'approche à avoir pour n'autoriser que ce qui arrive par le VPN et non pas le monde entier ?
 
...
 
Bref si certains ont mis en place ce genre de solutions, je suis preneur d'infos/tutos.

Sinon, tu l'exposes derrière un reverse proxy comme Traefik, qui peut utiliser quelque chose comme Authelia / Keycloack pour faire authentification et MFA.
 
J'utilise Traefik + Authelia avec MFA, ça marche bien.

Tu peux prendre un host dynamique, mettre a jour ton IP
et sur ton host apache faire :  

 
Et mettre a jour ton adresse dynamic de chez toi.
Ensuite le VPN depuis l'extérieur restera nécessaire.
(mettre l'ip dynamique sur CO 4g ou autre c'est pas trop secure)

 
C'est assez élégant ça pour les trucs en accès web, je ne connaissais pas !
Rien besoin d'installer sur les ordis/smartphones, juste une bête authentification.
 
Dans le cas d'une petite machine (KS1 ou 2), avec donc 1 proxmox + 1 conteneur avec déjà Apache qui tourne dessus ça serait logique de faire tourner traefik + authelia directement sur l'hôte non ?
Après faut faire vachement gaffe aux ports (1 seule ip pour tout le monde c'est déjà le bordel) parce que justement j'ai déjà du NAT pour mapper les ports 80 et 443 vers le conteneur. En gros IP:443 -> hôte proxmox -> NAT vers le conteneur
 
Donc traefik entre les deux ça veut probablement dire faire sauter le NAT et forcément faire passer par traefik 100% du trafic http(s) non ?
 
 

 
Je ne pensais pas qu'on pouvait faire ça. C'est intéressant car j'ai déjà maison.mondomaine.com en permanence à jour avec l'ip de chez moi.
Pour la 4G éventuellement je peux passer par le vpn de chez moi, ça aiderait.
Ca marcherait peut-être même directement dans un htaccess ? genre empêcher l'accès à tel dossier genre monsite.com/phpmyadmin via un require host ?
 
Edit : en htaccess ça n'a pas l'air trop possible, à priori ça ne fait pas de reverse pour récupérer le nom de domaine. Je vais creuser direct dans le vhost pour voir mais je commence à avoir un doute...
 

dans REMOTE_HOST on a l'ip publique
 
Je viens de tester dans le vhost, c'est bizarre, ça n'a pas l'air d'être pris en compte  

Marche pas tout est toujours accessible depuis partout.
 
Edit suite :
Bon dans une directive Location et avec un forward-dns plutôt que host ça a l'air de mieux fonctionner !
 

A première vue ça fonctionne !

Le require host est soumis a un module sur apache pour que ça fonctionne et me semble que le Htacess aussi fonctionne avec.

Petite question "autour" du @home, c'est peut-être pas le bon topic, mais ce sont probablement les lecteurs de ce topic qui sont les plus au top sur ce sujet.
 
Disons que vous voulez être capable de prendre à distance un pc sous windows, genre celui de vos parents, avec les contraintes suivantes :
- il n'y a pas d'ordi qui tourne h24 sur le lieu distant, juste une box (freebox dans mon cas)
- il faut que l'utilisateur de l'ordi continue à voir ce qui est fait sur son ordi (pour qu'il apprenne au passage), donc exit le RDP à priori
- open source ou au moins gratuit
- sécurisé
- avec un client sur tout type d'os (mac, linux)
 
Jusqu'à présent j'utilisais VNC (version realvnc) avec un mapping sur un port improbable (imposé par la freebox de toute façon) mais à priori en terme de sécurité c'est pas foufou, la connexion n'est pas chiffrée (en tout cas c'est ce que le serveur indique) même si le mot de passe au moins n'est pas passé en clair).
 
Des idées de quelque chose de mieux ?

tu peux avoir un VPN en plus de VNC par exemple.

La freebox ne fait pas serveur VPN ? + VNC du coup si tu veux rester sur la même solution.
 
Perso pour ça j'ai un compte TeamViewer en 'free'

Ouais Teamviewer, le parent lance le logiciel et donne au téléphone le code d'accès quand il veut autoriser l'accès.
 
Mes parents sont sur linux, j'envoie une commande SSH par email à mon père les rares fois où j'ai besoin et je remonte le tunnel. Il ne voit pas ce que je fais par contre.

L'Assistance Rapide de Windows fait le taf si c'est occasionnel.

 
Dingue, la freebox intègre un serveur VPN ! J'étais passé à côté de cette info. Merci.
A priori même Wireguard, c'est cool, je vais tester ça
 
J'ai toujours peur que ça débloque à cause des IP communes (192.168.1.x chez moi et chez eux), ça se passe bien en général ou ça se marche sur les pieds ?
 

 
Pour ces 2 trucs ce qui m'embête c'est en effet le besoin de code. Je n'ai pas testé Teamviewer, mais l'assistance Windows c'est assez pénible en pratique (fichier, code).
 
Là avec VNC, mes parents me disent régulièrement "tu peux regarder il y a XYZ qui ne fonctionne plus", ils laissent l'ordi allumé et quand j'ai un moment hop je vais tout seul (même s'ils sont partis se balader) régler leur souci.

Perso, j'utilise anydesk

DWagent ici.

 
Non ça ça risque de ne pas fonctionner, vaut mieux renuméroter un côté (pour un accès internet avec juste des clients en DHCP et pas de port forwarding c'est pas forcément compliqué).
 

 
OK je prends note.
Mais il y a de l'ip fixe pour faciliter la prise de contrôle à distance (et un peu de port forwarding le temps de mettre la solution en place à distance).

 
Autant passer tout en dhcp sans ipfixe et définir un bail permanent sur la freebox.