Montage serveur domotique

[benj29]

Merci propositionjoe, je veux surtout parer au cas où le serveur actuel tombe en rade matérielle. Et non VM.
C'est aussi une des raisons que je ne suis fan des mises à jour à tout va.

Par contre, le vpn direct entre mon routeur et mes devices limite la surface d'attaque car un seul ouvert est ouvert ... c'est quand même plus tendu de hacker openvpn même s'il y avait une faille il y a quelques temps.

Je ne prétends pas avoir la solution (surtout quand je vois la tienne !) mais j'ai essayé de la penser avec un besoin qui colle au mien, celui d'être souvent en déplacement et donc d'accéder comme chez moi.

Par contre, tu peux m'en dire un peu plus sur unbound et stubby. Comment l'utilises-tu ?

@dcjona, le graal de quoi ? La gestion des antennes via Jeedom ? Y a un fil que j'ai ouvert où il y a toutes les informations.

[dcjona]

Non pas la gestion des antennes. Le backup si un nuc flanche de pouvoir allumer un autre automatiquement ...

Envoyé de mon Redmi 5 Plus en utilisant Tapatalk

[propositionjoe]

Salut,

Pour ton souci de haute dispo, j'opterais pour ce système:
- un pi0 qui fait des ping, si pas de réponse: wol du proxmox de secours,
- mais ça pose la question de l'état des vm sur ce serveur, je ne sais pas comment automatiser la mise à jour,
- Peut être pendant la nuit: éteindre la vm sur le 1e serveur, rsync de l'image sur le partage nfs et redémarrage?

Parce que je ne sais pas si tu as regardé ce qu'il faut mettre en œuvre pour faire ça selon les règles...
C'est clairement du domaine professionnelle:
https://memo-linux.com/proxmox-mise-en- ... ibiliteha/
https://memo-linux.com/proxmox-5-mise-e ... avec-ceph/

Ou plus simplement, si c'est surtout jeedom dont tu souhaites durcir la disponibilité,
- Installe jeedom sur un pi,
- Si panne de proxmox, backup d'une sauvegarde jeedom sur ce pi, changement du dhcp et déménagement des clés...


Pour utiliser unbound, je renseigne son ip dans mon routeur, du coup tous mes devices l'utilisent pour leurs requêtes dns,
C'est aussi possible de le faire à la main dans chaque machine: https://forums.cnetfrance.fr/topic/1587 ... s-android/

De plus j'ai oublié de dire que je cela me permet de mentir sur certaines adresses quand je ne veux pas que mes prises broalink ou mes hues ou autres ne communiquent ce que je fais sur des serveurs lointains.

[dcjona]

Pas mal, même pihole a une interface Android pour la gestion.

J'ai mis nzb360 pour la partie autodl, du bonheur.

Envoyé de mon JSN-L21 en utilisant Tapatalk

tu m'as fais découvrir pihole en fait, après une petite recherche je constateur que c'est un bloquer de pub pour l'entiereté du réseau local.

l'intérêt est de ne plus mettre adblock sur chaque pc ? mais y en a-t-il un autre? je suis encore en mode découverte..

[bartounet]

Pas mal, même pihole a une interface Android pour la gestion.

J'ai mis nzb360 pour la partie autodl, du bonheur.

Envoyé de mon JSN-L21 en utilisant Tapatalk

tu m'as fais découvrir pihole en fait, après une petite recherche je constateur que c'est un bloquer de pub pour l'entiereté du réseau local.

l'intérêt est de ne plus mettre adblock sur chaque pc ? mais y en a-t-il un autre? je suis encore en mode découverte..

L’intérêt principal est bien sur lié au service DNS

- Résolveur DNS en local
- Antipub
- Tu peux aussi intégré des blacklist pour filtrer les accès web chez toi ( exemple pour les enfants)
- Statistiques

Franchement j'ai 2 pi hole chez moi et j'en suis ravi

[dcjona]

Merci pour l'éclaircissement

[Bonson]

Franchement j'ai 2 pi hole chez moi et j'en suis ravi

Tiens, pourquoi 2 piholes ?

[benj29]

J'allais poser la même question !
Autre question, tu peux m'expliquer comme tu gères le DNS local, ça m'intéresse énormément !!

Pour ceux qui veulent sur lancer sur l'autodl, après avoir passé des heures à mettre au point mes dockers, je suis tombé sur ce site très très très complet et qui m'aurait bien aidé il y a plusieurs jours.

https://www.smarthomebeginner.com/docke ... 018-basic/

[benj29]

Salut,

Pour ton souci de haute dispo, j'opterais pour ce système:
- un pi0 qui fait des ping, si pas de réponse: wol du proxmox de secours,
- mais ça pose la question de l'état des vm sur ce serveur, je ne sais pas comment automatiser la mise à jour,
- Peut être pendant la nuit: éteindre la vm sur le 1e serveur, rsync de l'image sur le partage nfs et redémarrage?

Parce que je ne sais pas si tu as regardé ce qu'il faut mettre en œuvre pour faire ça selon les règles...
C'est clairement du domaine professionnelle:
https://memo-linux.com/proxmox-mise-en- ... ibiliteha/
https://memo-linux.com/proxmox-5-mise-e ... avec-ceph/

Ou plus simplement, si c'est surtout jeedom dont tu souhaites durcir la disponibilité,
- Installe jeedom sur un pi,
- Si panne de proxmox, backup d'une sauvegarde jeedom sur ce pi, changement du dhcp et déménagement des clés...

Tu as raison, à vouloir bien faire à la fin...
C'est vrai que la prio haute est de remettre en route Jeedom (surtout pour la partie chauffage & sécurité de la maison).
Donc une simple VM doublée sur mon QNAP suffirait. D'où l'idée de remettre Proxmox en VM sur la NAS.
Car sincèrement devoir tout réinstaller plugins, dépendances sur une VM dédiée Debian (car je ne peux pas installer Proxmox sur le NAS) ça me gonfle.
Donc cela sous-entend d'avoir un NUC au chaud près à démarrer et qui est configuré comme le premier sur le NAS au niveau des sauvegardes.
Et donc un troisième pour faire le pilotage, oui.
Ca devient mignon !

Je vais rester finalement sur mon RAID1 de ce serveur en espérant aucun souci matériel sur la CM ou alors attendre un promo intéressante sur un 8e génération d'ici 1 an pour le mettre dans le placard car le seul NUC que j'ai actuellement est un J1900 de mémoire.

Pour utiliser unbound, je renseigne son ip dans mon routeur, du coup tous mes devices l'utilisent pour leurs requêtes dns,
C'est aussi possible de le faire à la main dans chaque machine: https://forums.cnetfrance.fr/topic/1587 ... s-android/

De plus j'ai oublié de dire que je cela me permet de mentir sur certaines adresses quand je ne veux pas que mes prises broalink ou mes hues ou autres ne communiquent ce que je fais sur des serveurs lointains.

C'est ce qui me plairait surtout pour la partie Xiaomi. Mais j'avoue que je commence un peu à me fatiguer.
Je termine encore mon serveur autodl et je galère avec un souci de droits et de rangement automatique.
Pihole fait son taf mais m'a apporté un lot de souci, mes tablettes JPI android ne marchent plus du tout (certainement le fait d'avoir bloqué de base analytics.google.com) => j'ai envoyé un MP à Nibbs31 car il utilise pihole et je serai étonné qu'il n'ait pas été embêté.
Après la priorité reste aussi d'avoir un dns local, ça c'est top. Surtout si applicable via le VPN distant que je suis connecté chez moi.
Plus besoin d'avoir les 192.168.2.X et un petit asus.home serait super .

Bon on va terminer déjà cet autodl de malheur... et ensuite je pense plutôt attaquer snips à mon retour à la casa

[poluket]

pour apporter ma pierre a l'édifice, au niveau DNS, je travail avec pfsense comme serveur DNS en resolve. tous mes appareils s'y connectent et c'est lui qui forward vers internet (1.1.1.1).
J'ai des noms DNS en .ovh avec mon ip publique dessus qui permet d’atteindre, sous certaines conditions, mes machines en interne via le reverse proxy de pfsense.
Ces même hosts (.ovh) sont également utilisable en interne grace a une config sur pfsense (tjrs lui) qui redirige ma zonde .ovh vers un dns interne où se trouvent des ip internes (192.168.X.Y)

En gros, avec mon smartphone, a l'extérieur, j'utilise https://jeedom.xxXXxXX.ovh et j'arrive dessus via pfsense. Quand je suis chez moi, avec la même url, j'arrive directement sur le serveur jeedom sans passer par le reverse proxy.

j’espère avoir été assez clair.

[propositionjoe]

pour apporter ma pierre a l'édifice, au niveau DNS, je travail avec pfsense comme serveur DNS en resolve. tous mes appareils s'y connectent et c'est lui qui forward vers internet (1.1.1.1).
J'ai des noms DNS en .ovh avec mon ip publique dessus qui permet d’atteindre, sous certaines conditions, mes machines en interne via le reverse proxy de pfsense.
Ces même hosts (.ovh) sont également utilisable en interne grace a une config sur pfsense (tjrs lui) qui redirige ma zonde .ovh vers un dns interne où se trouvent des ip internes (192.168.X.Y)

En gros, avec mon smartphone, a l'extérieur, j'utilise https://jeedom.xxXXxXX.ovh et j'arrive dessus via pfsense. Quand je suis chez moi, avec la même url, j'arrive directement sur le serveur jeedom sans passer par le reverse proxy.

j’espère avoir été assez clair.

Bravo, c'est drôlement propre.
Je suis aussi sous pfsense, mais pas de stubby dessus, donc j'unbound!

[propositionjoe]

C'est ce qui me plairait surtout pour la partie Xiaomi. Mais j'avoue que je commence un peu à me fatiguer.

Lol, c'est la seule exception. À l'usage, au bout d'un mois, la gateway ne fonctionne plus si elle n'arrive plus à joindre ses serveurs chinois.
Bref, pour xiaomi zigbee la seule voix c'est le plugin abeille...

[dcjona]

Pas mal, même pihole a une interface Android pour la gestion.

J'ai mis nzb360 pour la partie autodl, du bonheur.

Envoyé de mon JSN-L21 en utilisant Tapatalk

tu m'as fais découvrir pihole en fait, après une petite recherche je constateur que c'est un bloquer de pub pour l'entiereté du réseau local.

l'intérêt est de ne plus mettre adblock sur chaque pc ? mais y en a-t-il un autre? je suis encore en mode découverte..

L’intérêt principal est bien sur lié au service DNS

- Résolveur DNS en local
- Antipub
- Tu peux aussi intégré des blacklist pour filtrer les accès web chez toi ( exemple pour les enfants)
- Statistiques

Franchement j'ai 2 pi hole chez moi et j'en suis ravi

Après tout ces bons conseils j'ai installé pihole sur une VM. Par contre niveau config j'ai beau chercher je trouve pas des masses d'infos ...
Qu'avez vous configurer mis a part les paramètres de base ? je parle pas de réservation dhcp et ip fixe mais plutot vraiment dans pi hole..

[bartounet]

pour apporter ma pierre a l'édifice, au niveau DNS, je travail avec pfsense comme serveur DNS en resolve. tous mes appareils s'y connectent et c'est lui qui forward vers internet (1.1.1.1).
J'ai des noms DNS en .ovh avec mon ip publique dessus qui permet d’atteindre, sous certaines conditions, mes machines en interne via le reverse proxy de pfsense.
Ces même hosts (.ovh) sont également utilisable en interne grace a une config sur pfsense (tjrs lui) qui redirige ma zonde .ovh vers un dns interne où se trouvent des ip internes (192.168.X.Y)

En gros, avec mon smartphone, a l'extérieur, j'utilise https://jeedom.xxXXxXX.ovh et j'arrive dessus via pfsense. Quand je suis chez moi, avec la même url, j'arrive directement sur le serveur jeedom sans passer par le reverse proxy.

j’espère avoir été assez clair.

Concernant les DNS, je passe aussi sur Pihole dont le redirecteur est mon Pfsense.

Par contre je ne suis pas d'accord à utiliser 1.1.1.1 !!!
Ok tu n'utilise pas les DNS de ton FAI, ni ceux de Google.
Mais je ne suis pas persuadé que les DNS de cloudflare soit mieux...

Ca reste une entreprise commerciale, qui même si elle s'engage à ne pas revendre les données ni à stocker les logs.. les utilisent probablement pour un autre usage...
Et rien ne dit que se ne sont pas des DNS menteurs, ou qu'un jours les CGU ne vont pas changer...

Pour ma part, mais ce n'est que mon avis, j'ai réfléchi un moment pour en arriver à la même conclusion qu'il faut pointer directement sur les serveurs racine.

Poluket, ou on ne parle pas de la même chose.
Pour moi un resolveur pointe sur les root.
Un redirecteur pointe sur un résolveur

Si tu l'a mis sur option resolveur, il pointe sur les root pour moi.

Il te suffit de faire une capture lors d'une résolution.

Exemple dans je cherche un domaine pas en cache

Code : Tout sélectionner

IP6 2XXXXXXXXXXXXXXXXXX2c.15114 > l.root-servers.net.domain: 43860% [1au] AAAA? marteau.fr.maison

[bartounet]

Franchement j'ai 2 pi hole chez moi et j'en suis ravi

Tiens, pourquoi 2 piholes ?

Alors pourquoi 2 piholes:

1 Pihole Parents ( mon pc et ma tablette)

- Bloque les pubs
- redirige les autres requêtes DNS sur mon pfsense
-Mon pfsense est resolveur directement sur les serveur racines



1 Pihole Enfants ( tous les autres équipements de la maison)

- Bloque les pubs
- redirige les autres requêtes sur OpenDNS ( en mode filtrage ; filtres tout ce qui est sexe, adult, etc ...)


Le DHCP du pfsense, envoi le DNS du pihole parents sur les équipements parents, et les dns du pihole enfants sur les autres équipements.

Sur les équipements enfants ils ont ca sur les sites un peu ...

[poluket]

Poluket, ou on ne parle pas de la même chose.
Pour moi un resolveur pointe sur les root.
Un redirecteur pointe sur un résolveur

Si tu l'a mis sur option resolveur, il pointe sur les root pour moi.

Il te suffit de faire une capture lors d'une résolution.

Exemple dans je cherche un domaine pas en cache

Code : Tout sélectionner

IP6 2XXXXXXXXXXXXXXXXXX2c.15114 > l.root-servers.net.domain: 43860% [1au] AAAA? marteau.fr.maison

Je confirme bien qu'il pointe pas sur le 1.1.1.1 mais sur le root and co. Une autre config pas utilisée m'a mis en erreur.

Je me pose tjrs la question, comment je faisais avant sans pfsense...

[dcjona]

Franchement j'ai 2 pi hole chez moi et j'en suis ravi

Tiens, pourquoi 2 piholes ?

Alors pourquoi 2 piholes:

1 Pihole Parents ( mon pc et ma tablette)

- Bloque les pubs
- redirige les autres requêtes DNS sur mon pfsense
-Mon pfsense est resolveur directement sur les serveur racines



1 Pihole Enfants ( tous les autres équipements de la maison)

- Bloque les pubs
- redirige les autres requêtes sur OpenDNS ( en mode filtrage ; filtres tout ce qui est sexe, adult, etc ...)


Le DHCP du pfsense, envoi le DNS du pihole parents sur les équipements parents, et les dns du pihole enfants sur les autres équipements.

Sur les équipements enfants ils ont ca sur les sites un peu ...

Du coup tu as du mettre en place une console de ticket pour tes enfants afin d'obtenir des dérogations ?

[bartounet]

Haha vous êtes moqueurs,
Oui ils ouvrent un ticket sur la gmao

Non sans blague c'est la solution la plus acceptable que j'ai trouvé pour filtrer
Apres c'est Proxy mais pour l'instant ça me convient

Concernant pihole essayer d'aller surfer chez un ami qui n'a pas d, anti pub vous allez voir la différence c'est insupportable

[dcjona]

oui c'est super en tout cas

[bartounet]

On en rigole mais là Domotique sertt beaucoup aux enfants et aux parents

Je m'en set pour donner l'heure du lever qui doit prendre sa douche qui doit mettre le couvert

Comme c'est la Domotique qui le dit, les enfants acceptent