Reprise du message précédent :

Ca fait 5 ans que je suis en DNS forwarder plutôt que resolver, 0 souci. C'est d'ailleurs comme ça que sont configurées les box internet par défaut. Les browsers ont leur propre cache. Windows aussi.

En fait c'était plutôt pour une question de privacy : je préférais que mes queries DNS soit résolues par mon resolver local qui requête les root server directement plutôt que de forwarder mes requêtes à un DNS tiers qui fera du data-mining dessus...

Un mix des deux, selon que ce soit perso (une pour les services externes, une par serveur interne) ou pro (une par client). Et c'est transparent une fois configuré avec des alias.
 
Je suis en train de réfléchir à comment faire le réseau chez moi et comme vous parlez matériel pour firewall : je regarde les Protectli et je me pose la question : FW4C – 4x 2.5G - J3710 ou VP2410 – 4x 1G - J4125 pour quasi le même prix. En gros, 2.5G mais processeur plus ancien vs 1G mais processeur plus récent. Ce sera pour OPNsense, wireguard et probablement IDS/IPS (?).
Je me pose l'intérêt du 2.5G sur le firewall sachant que ma maison n'est pas fibrée (elle le sera cette année en théorie et ce sera probablement du 1G maxi). L'important si je veux du 2.5G c'est au niveau du switch plutôt ? (et est-ce bien important pour mon usage, même futur ?)
Et je sais que les box linkées au-dessus sont moins cher mais j'ai plus confiance en Protectli×Coreboot pour avoir un matériel non compromis, même s'il vient du même  endroit.
 
Une autre question concernant mon serveur : il est sous Debian/OMV. Pour utiliser plus de « services » (suite *arr, serveur web local, etc.), est-ce que passer sous Proxmox (avec une VM pour OMV du coup) est « mieux » (meilleure séparation, « reset » / réinstallation plus facile) qu'utiliser Docker via l'interface d'OMV ? Et si oui, est-ce que la réinstall d'OMV reconnaît facilement les HDD ? (RAID 1 software)

 
Dans ce cas fait l'inverse non ?
Ton adguard forward vers unbound qui lui résolve ?

Si t'es fibré en ftth, aucune raison que la fibre limite à 1gb/s. Ton offre par contre, peut-être. La plupart des opérateurs proposent du 2gb/s en down et certains commencent à déployer du 10gb/s.

Salut ici, j'ai en projet de monter un lab avec deux ou trois noeuds pour y jouer dans un premier temps avec open nebula et k8s.

Je cherche des machine assez puissante mais avec un facteur de forme assez petit.
Je pensais à quelque chose comme un i5 ou équivalent AMD ryzen, 32go de ram et un SSD 512go ou 1to.

J'ai rapidement cherché et mon choix se porterait éventuellement sur des Lenovo thinkcentre qu'il faudrait pimper un petit peu niveau SSD.

Je pensais que 250 ou 300e est le max pour un noeud. Vous avez des références qui matcheraient avec ça ? Ou des noms de brokers ?

Merci pour vos avis.

Regarde les beelink aussi.

Je n'avais pas pensé au fait que le 1G soit lié à l'offre et non à la possibilité technique. Mais je me souviens quand j'étais en appart, fibré, et que l'offre était passé de 500M à 1G, je n'avais pas trouvé de changement flagrant pour mon usage, donc plus j'ai du mal à imaginer l'intérêt (pour moi).

 
Ca à l'air sympa, merci

Lenovo/HP/Dell font ce format "tiny". Petite machine sympa qui consomme peu, souvent en i3/i5. Ensuite, il suffit de booster la config en ram/ssd selon son besoin.
Il faut arpenter les différents sites d'annonces.

J'ai justement un ordinateur compact à vendre de marque Giada modèle I39B avec un processeur Intel Celeron J1900, une barrette Crucial de 4 Go de DDR3L 1333 MHz, un disque dur Seagate Momentus 5400.6 de 320 Go et une carte WiFi Intel 633ANHMW. Il est fourni avec Linux Mint Cinnamon.
http://www.giadatech.com/index/pro [...] d/225.html
 

Yes c'est l'idée et ce que j'ai commencé a faire mais j'ai un peu la flemme de me lancer dans la chasse a la ref précise, d'où la demande d'aiguillage vers des trucs tout prêt ou presque.

Ça va se finir sur eBay a importer des machines UK

Trop juste, je passe mon tour  

Ouais, ça commence à être vieux et un peu poussif. Mais en fonction de l'usage, ça peut toujours être pertinent.

Je poursuis sur mes clés ssh & co
 
1/ vos clés privées : avec ou sans mot de passe ?
2/ Vous les stockez où ? direct dans un dossier de votre disque dur ? dans keepass ou équivalent ?  
3/ Si dans keepas : pour les "extraire" vous passez via pageant ou ce genre d'appli ?
 
Pour l'instant je galère un peu à trouver le truc optimisé sans que ça soit trop pénible à l'usage. Genre j'ai besoin parfois de clés 20 fois par jour, donc je vais pas me faire une extraction keepass->disque->logué->suppression du fichier 20 fois par jour. Pageant j'aime bien le concept mais c'est un peu étrange, keepassXC ne reconnait pas celui intégré à Mobac, et pageant tout court (outre le fait que c'est encor une appli de plus) j'aime pas trop le côté "open bar", toutes les clés sont dedans, accessibles à toutes les applis.
Donc comme perso mon keepass est ouvert en permanence sur mon ordi, je ne vois pas trop la différence entre avoir le fichier stocké sur le disque dur. Peut-être qu'un virus qui scannerait le disque dur plutôt que de tester la présence d'un agent de clés passerait à côté dans le cas de l'utilisation de pageant, mais ça reste assez faible comme protection. Au passage, dans pageant (via keepass en tout cas) les clés sont chargées "décryptées", cad que le champ mot de passe dans keepass sert à ouvrir la clé... donc dans pageant elle est en accès vraiment à poil.
 
Dans keepassXC on peut définir une option "exiger la confirmation de l'utilisateur quand cette clé est utilisée", ce qui me semble plus pertinent comme approche (l'agent liste les clés potentiellement disponibles et on a une demande avec validation pour les déverrouiller quelques secondes lorsqu'un client SSH a besoin de clés), mais ça n'a pas l'air de fonctionner avec le pagent officiel
Pareil, j'ai essayé d'utiliser l'agent ssh intégré à Windows (11) qui est censé être un OpenSSH mais mobaXterm (que j'utilise comme client SSH) n'a pas l'air de pouvoir y accéder Il ne supporte pas non plus la validation ni le "déchargement automatique" au bout de X secondes.
Je veux bien utiliser le terminal de Windows, mais pour l'instant il me manque un "panneau de favoris" pour accéder aux 12000 VM/LXC et autres serveurs dont j'ai besoin au quotidien (si vous avez des conseils je suis preneur, il faut se créer un "profil" complet à chaque fois pour chaque serveur ?).
 
On peut stocker les clés dans un petit conteneur truecrypt, mais c'est pareil, c'est pénible à ouvrir à chaque besoin, et s'il est ouvert en permanence, ça n'apporte pas grand chose en terme de sécurité.
 
Je passe à côté d'un truc ? C'est quoi la technique potable pour allier autant que possible sécurité et praticité ?

Chez moi : clef avec passphrase dans le répertoire par défaut. J'ai des alertes de connexion sur le serveur envoyées par mail si l'IP change (cas où je me fait dérober et bruteforcer la clef sans le savoir).

 
Au pire tu mets tes clés avec un mdp "simple" ou global, et tu les mets (les fichiers putty) dans un disque virtuel, chiffré avec bitlocker avec protecteur par clé usb ou compte user.

J'utilise un mot de passe sans clé donc si tu utilises clé + mot de passe avec ta clé juste posée en vrac dans un dossier t'es déjà mieux

YubiKey ici.

J'étais tenté, mais pour l'instant je galère sous windows, genre impossible de faire une génération de clé ed25519-sk en terminal ou logué en ssh sur une autre machine via ssh
 
PS C:\Users\moimeme> ssh-keygen.exe -t ed25519-sk
Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Key enrollment failed: unknown or unsupported key type
 
j'ai une yubikey 5cNano branchée en usb sur la machine.
 
Pareil donc via mobaXterm sur un serveur de mon garage :
root@webserverhome/deploy# ssh-keygen -t ed25519-sk -C "yuikey-5CNano"
Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Key enrollment failed: device not found
 
Des idées ?
 
Après s'il faut installer du software en plus sur chaque machine depuis laquelle on veut se connecter ça me fait un peu peur. L'idée c'est aussi d'avoir de quoi se connecter en ssh à une machine depuis un peu n'importe où. Parce que quand tout va bien super, mais si ça part en vrille, que tu es obligé de te connecter en catastrophe depuis l'ordi du boulot en déplacement à l'autre bout de la France, ou un random ordi de remplacement, ça peut tout de suite être un peu compliqué...

 
Est-ce ici que je pourrai poser des questions sur un serveur PFSense @home ?
Ma config serait : Box SFR en bridge -> Appliance PFSense -> routeur R7800 en AP ? -> tout plein de devices en WiFi et des NAS en filaire
 
Ou je crée un sujet à part ?
 
Merci de vos retours. En fonction, j'effacerai ce post si il gène

Tu peux selon moi (on est nombreux à avoir mis ça en place en +)

Perso j'ai meme fait sauté la box sfr (chez red, mais ca doit etre la meme chose j'imagine)

Pour le reste pas de pb je pense

 
Tu peux même faire routeur sous OpenWRT > devices wifi/filaire en faisant sauter la box et ton appliance PFsense. OpenWRT fera tout aussi bien le café.

Le souci en faisant sauter la box c'est qu'en cas de problème t'as pas de backup... J'avais plus de box pendant 7 ans et le jour où mon ERL-3 a claqué (j'avais revendu celui que j'avais en backup entre-temps ) éh bien j'ai été dans la mouise le temps de récupérer une LB (et de devoir tout reconfigurer). Aujourd'hui, avec mon OPNsense en DMZ, en cas de problème je branche mon switch directement au cul de la LB et j'ai juste à réactiver le serveur DHCP de la LB et c'est marre (le temps de réparer le bouzin en tout cas)...

Après ça dépend de tes contraintes (télétravail, famille)...

Pareil ici.  
Et madame qui bosse à la banque avec son laptop ultra sécurisé, je l'ai même mise en direct sur la box car ça n'allait pas bien derrière mon sophos. Du coup si l'infra@home tombe elle ne le sait même pas.

Perso j'ai un nanopi r4s sous openwrt en backup. Un rpi4 peut faire le taf avec un peu de conf vlan.
Et au pire du pire, on ressort la box du carton.

Pareil au pire tu ressort la box.  

Quand t'as deux autres personnes qui ont un job et qui dépendent de la connexion et que tu es en déplacement, même "ressortir la box" c'est trop tendu chez moi

Moi je l'avais renvoyé (ce qui m'a fait économiser près de 250 euros quand même, à raison de 3 euros/mois pour la location de la LB, durant 7 ans).

Oui mais du coup tu perds l'accès a tous les services type téléphonie et Télé non ?

le tel : on a tous des portables. Ca doit faire 15 ans que je n'ai plus de ligne fixe.
la tv : molotov & cie. Au pire une antenne et un rpi avec le tv hat. Puis bon, vu le peu de contenu potable sur la tnt, ça n'est pas trop dur de s'en passer.

Ah tu dois être chez Orange alors  

Oui c'est vrai, mais des fois tu as des chaines gratuites en plus et pas forcément accessible sur la TNT et/ou d'autre plateforme légale.
(perso j'ai un abo avec juste internet sans TV et le fixe je ne m'en sert pas non plus)

On a plus de fixe depuis plus de 10 ans (on a tous des portables également) et pour la TV j'ai une Nvidia Shield avec Molotov Extended (et Netflix, Disney+, Prime Video, OCS et Plex pour les films de vacance). Je ne me souviens plus en quelle année je suis passé par la TNT mais ça doit faire plus de 10 ans également...

En utilisant les bons VLAN ça ne pose pas de souci cela dit...

Edit : de toute façon je ne supporte plus la moindre pub (et les 10-15 mn de coupures pub toutes les heures) donc hors de question de remettre un système aussi archaïque chez moi (et avec Molotov on peut évidemment passer les pub et/ou enregistrer)

Je passe en vite fait, je répondrai à vos posts plus en détail plus tard, mais merci de vos retours
Je suis chez SFR câble, donc déjà, je dois garder ma box, connexion coax oblige.
Après donc, je dois garder mon routeur R7800 pour la partie WiFi. Et si je ne m'abuse, il doit faire routeur pour justement le WiFi, pour mes enceintes Alexas/Google, mes portables, ... Mon petit serveur PFsense ou OPsense va faire routeur, mais pour le filaire (mes NAS, mon PC fixe, ma Shield, ...). Pas pour la partie WiFi. Si je ne m'abuse.

pourquoi avoir plusieurs routeurs ? Si tu ne sais pas, c'est probablement que tu n'en as pas besoin

ben comment je fais pour gérer mes périphériques WiFi si je ne garde pas mon R7800 en routeur ? Mon PFsense lui fait routeur, pas de soucis. Mais qui c'est qui va donner les IP à mes enceintes? A mes portables ? Si ce n'est mon R7800. Faut bien router les IP sur mes périphériques, non ?  
Donc PFsense en FW/routeur et le R7800 en AP pour router sur mon WiFi.  
Non ?

ton R7800 peut faire routeur

 
s'il est en AP et que le besoin c'est d'avoir du wifi, alors il n'a pas besoin de faire de routage ni de distribuer des IP

Ton pfSense peut faire serveur DHCP et tu mets ton R7800 en simple AP. Un AP (sans mode routeur) c'est un switch wireless hein

Merci de vos réponses
 
Bon, certainement des questions très cons.  
Je n'ai jamais installé mon routeur en mode AP. J'ai depuis le début mis ma Box en mode bridge. Mon routeur X récupère l'adresse IP publique. J'ai mes NAS, ma Shield et mon AppleTV, et mon PC fixe en filaire. Le reste, mes enceintes Google/Alexa, ... sont en WiFi. Tout est géré par mon routeur X. Il fait FW (ce qu'il peut), DHCP, WiFi, le café, ...
 
Je suis une formation Admin, on a vu rapidement, très rapidement, PFSense. Me suis dit que ça serait sympa de l'installer chez moi, histoire de geeker et de me former quelque peu. Pas trop, mais assez.  
J'ai acheté un mini PC :  
https://www.amazon.fr/dp/B01MSW5RXS [...] ct_details
Et 8GB de RAM et un SSD de 64GB.
 
Donc pour m'amuser, j'aimerai installer :
Box SFR bridge -> PFsense/OPSense -> LAN et mes devices.
 
Pour l'instant, mon LAN est sur 192.168.100.X.
Je souhaiterai faire quelque chose en 10.10.10.X via mon PFsense et mettre mon routeur X en AP.  10.10.10.X pour changer la plage 192.168.X.X comme selon un tuto.  
Ou alors rester en 192.168.100.X pour éviter d'avoir à rerentrer tous mes devices WiFi (environ 30) sur le WiFi.  
Me semblait qu'un routeur en AP dépendait d'un autre routeur WiFi. Il reprenait le WiFi et l'étendait. Ca se passe comment avec un seul routeur AP ? Lorsqu'il n'y a que lui ? Comment se comporte-t-il avec PFsense ou OPsense ? Mon PFsense sera donc DHCP. Le routeur AP récupèrera et diffusera les adresses sur le WiFi ? Mes enceintes passeront donc en IP 10.10.10.X ?  
 
Comme c'est mon LAN, faut pas que je me plante. Surtout en ce moment, la formation en distanciel. Faudrait pas que je saque mon réseau
 
Ah, question toute con : vous pensez quoi d'avoir un PFsense sur un LAN perso ? A la place d'un routeur ? A part la geekerie. Je n'en ai pas besoin, tout marche bien. Là, c'est pour mon plaisir, ma geekerie.
 
Bref, merci de vos retours à nouveau