Proxmox et accès distant pour HA, Vaultwarden
Bonjour à vous,
j'étais sous HAOS avec un raspberry 5, je viens de me lancer dans un homelab avec un Lenovo m920q avec son petit i5 9500t et pour le moment "que" 8 Go de Ram, j'ai une barrette de 16 Go qui permettra de passer à 24 Go dans le courant de la semaine.
Avec l'aide de Gemini, ne connaissant pas Proxmox plus que les quelques articles et vidéos du net, j'ai pu mon faire une VM pour mettre HAOS, j'ai ainsi pu migrer via ma sauvegarde du raspberry 5 vers mon nouveau PC.
D'après mes recherches, il serait judicieux maintenant de retirer Vaultwarden et Adguard Home de mon home assistant et peut être même Cloudflared qui me permet d'accéder à HA et Vaultwarden depuis l'extérieur sur mon téléphone.
Voici ce que me donne Gemini, et avant de me lancer là dedans, je préfère vous demander conseils :
Tu as tout à fait raison d'être vigilant sur ce point : ouvrir des ports (80/443), c'est s'exposer directement aux scans d'IP du monde entier. C'est l'avantage imbattable du Cloudflare Tunnel : il crée une connexion "sortante" de chez toi vers Cloudflare, donc aucun port n'est ouvert sur ta box.
Si tu veux garder cette sécurité maximale (zéro port ouvert), tu as deux options très propres avec Proxmox :
1. Le LXC Cloudflared (La méthode "Blindée")
Au lieu d'utiliser l'Add-on dans Home Assistant, on installe un petit conteneur dédié uniquement au tunnel.
Pourquoi ? Si ta VM Home Assistant est éteinte ou en panne, ton tunnel reste actif pour tes autres services (Vaultwarden, Jellyfin).
Comment ? Le script Proxmox installe le client Cloudflare. Tu le lies à ton compte, et depuis l'interface web de Cloudflare (Zero Trust), tu rediriges tes noms de domaine vers les IP locales de tes conteneurs.
2. Le duo NPM + Cloudflare Tunnel
C'est la solution de luxe si tu as beaucoup de services :
Le Tunnel Cloudflare envoie tout le trafic entrant vers Nginx Proxy Manager (NPM).
NPM s'occupe de distribuer le trafic en interne : ha.domaine.fr -> IP de la VM 100, vault.domaine.fr -> IP du LXC Vaultwarden.
Zéro port ouvert, mais une interface graphique ultra simple (NPM) pour gérer tes redirections sans devoir retourner sur le site de Cloudflare à chaque fois.
Mon conseil pour demain (ou plus tard) :
Puisque tu as déjà l'habitude de Cloudflare, on va rester sur cette philosophie. Pas d'ouverture de ports, on garde ta box fermée à double tour.
On installe Vaultwarden en LXC.
On installe Cloudflared en LXC.
On configure le tunnel pour qu'il pointe vers l'IP de ton nouveau Vaultwarden.
C'est la configuration la plus sécurisée et la plus stable.Salut 👋
Concernant AdGuard Home et Vautlwarden de ton Home Assistant, je ne vois pas le problème à les laisser sur HAOS dans la mesure où les modules sont encore maintenus et restent à jour par rapport au cycle de release des solutions (n'hésite pas à me dire si ce n'est pas clair comme je l'explique). Si ça fonctionne bien comme ça pour toi, c'est pas plus mal, et tu profite des sauvegardes qui sont faites par HAOS (si tu payes l'abonnement ça te fait une sauvegarde cloud chiffrée en plus et tu te rapproche facilement d'une stratégie de sauvegarde type "3-2-1" de manière simple si tu backup en plus la VM).
Pour le reverse proxy la solution de Gemini qu'il nomme "NPM + Cloudflare Tunnel" est beaucoup trop complexe pour tes besoins.
Ce qu'il propose avec Cloudflare Tunnel seul est le plus simple, mais attention tu dois garder certaines choses en tête:
- La taille des requêtes est limitée à 100MB, si tu prévois d'héberger des services comme Nextcloud, Immich, etc.. ça peut poser problème, tu devras activer les mécanismes de chunking de ces solutions (pour diviser un gros transfert de données en plusieurs petits bouts de 100MB).
- Le certificat TLS est totalement géré par Cloudflare. Dans les faits c'est pratique, MAIS ça veut aussi dire que Cloudflare voit tout le trafic que tu génère en clair. Tu peux éventuellement activer le mode "strict tls" (ou un truc du genre, je ne me souviens plus du nom) mais Cloudflare déchiffre quand même la requête à la volée pour la re-chiffrer après. C'est à toi de déterminer le niveau de sensibilité que tu accorde à tes données.
- Aux dernière nouvelles ça supporte seulement HTTP et HTTPS, si t'as besoin de proxy TCP/UDP il faut un plan payant, ou passer par le client WARP de mémoire.
- Chaque requête que tu fais vers tes services devras sortir vers internet pour passer chez Cloudflare puis revenir chez toi, c'est un petit overhead, mais c'est à prendre en compre (je pense que c'est pour ça que Gemini te proposait le double reverse proxy).
- Mais en échange c'est plus simple à gérer, tu peux même utiliser dans une certaine mesure leur WAF, leur SSO, et du OpenID.
Il y a d'autres solutions qui peuvent aussi convenir si tu ne veux absolument pas ouvrir de port sur ton firewall, par exemple Pangolin:
Il peut agir comme simple reverse proxy, ça nécessitera d'ouvrir les ports. MAIS il peut aussi agir avec le même fonctionnement que Cloudflare Tunnel, en gros tu installe le "serveur" Pangolin sur un serveur (par exemple un VPS à 2€, un serveur externe que tu loue peut être déjà, ou utiliser directement le SaaS de Pangolin), puis tu installe le client Pangolin chez toi (l'équivalent du Cloudlare Tunnel que tu installe).
Derrière l'agent Pangolin initie la connexion au serveur Pangolin via Wireguard (donc c'est chiffré entre les deux), et tu passe par l'IP du serveur où est installé Pangolin pour atteindre tes services.
Netbird vient de sortir une solution similaire, c'est encore très jeune mais ça fonctionne bien.
Pour Vaultwarden je vais insister lourdement: BACKUP BACKUP BACKUP. Et pas juste une backup du type "je vais restaurer le conteneux LXC ou HAOS si y'a un problème", tu vas y stocker tes mots de passe, si tu es bloqué loin de chez toi, sans moyen de faire ta procédure de restauration tu sera bloqué.
Si tu compte réellement utiliser Vaultwarden en gestionnaire de mot de passe quotidient, je te conseille de regarder des solutions type vautlwarden-sync, ou à minima de te planifier des exports régulier dans un coffre Keepass que tu héberge dans des cloud publique au cas où.
Je m'arrête là c'est un peu long comme réponse, désolé !
Ne pas ouvrir de port sur son firewall donne une fausse impression de sécurité. Que tu passes par Cloudflare Tunnel, Pangolin ou n'importe quel reverse proxy, tu exposes quand même des services qui tournent chez toi sur internet. La surface d'attaque change de forme, elle ne disparaît pas. Un WAF pourra te protéger de certaines failles, mais c'est le jeu du chat et de la souris, il existera toujours un moyen de contourner les mécanismes de protection, c'est une question de temps. En revanche comprendre ce que tu mets en place, pourquoi tu le mets en place, adopter une bonne "hygiène" informatique t'évitera bien des problèmes.
Si l'un de ces services a une faille (XSS, injection, auth bypass, CVE non patchée…), le fait que le port 443 ne soit pas ouvert en direct sur ta box ne changera strictement rien, l'attaquant passe par le même tunnel que toi.
Bonjour et merci de ton retour complet et précis.
Alors non je ne trouve pas que ta réponse soit trop longue au contraire, c'est important de pouvoir avoir toutes les informations pour tenter de comprendre et ainsi adapter la solution entre son souhait et ses capacités techniques mais aussi financières.
Hier, j'ai réussi à sortir mon Vaultwarden et refaire mon paramétrage admin, et transférer via le json mes mots de passes, j'aurai aimé pouvoir transférer la base de données, mais j'ai été incapable de la trouver sur home assistant OS même en utilisant studio code server. Ca été plus long que prévu, surtout que j'ai pas mal galéré pour la compilation sous proxmox vu que j'étais qu'avec mes 8 Go de Ram et que par défaut Gemini me conseillé de mettre que 512 Mo puis 2 Go mais cela planté. J'ai du finir par couper HAOS, et autre ID en route et attribuer 5 ou 6 Go et c'était enfin passé.
Aujourd'hui, j'ai ma barrette de 16 Go qui vient d'arriver, donc avec 24 Go, je devrais être plus tranquille, car actuellement si je regarde mon proxmox qui a pas énormément de service, j'ai déjà 7 Go de pris.
Et hier, de même, j'ai commencé à passer Cloudflared en LXC sous proxmox pour l'accès à vaultwarden, là aussi quelques complications mais çà été. Donc pour le moment, j'ai encore Cloudflared pour HA sur ma VM HAOS, et je l'ai en LXC pour vaultwarden. je n'avais pas eu le temps de tout refaire en paramétrage.
J'avais décidé de sortir Vaultwarden et Cloudflared de HAOS, car vu qu'il m'arrive de pas mal testé étant débutant sur HA et donc dès fois de casser des choses et je ne le vois pas forcément de suite, donc là même si le plante HA, je garde mes mots de passe accessibles.
Pour le moment, j'ai géré des sauvegardes de Proxmox avec les containers vers mon NAS, mais oui pas optimal car me manque le backup hors domicile. Le backup de HAOS, lui se fait aussi à distance en cloud car il est faible 400 Mo donc çà passe, les cloud gratuit type Drive, Onedrive on 15 Go, mais les sauvegardes Proxmox, rien que pour la VM HA c'est presque 9 Go.
Pour les accès à distance, ce que je souhaite, c'est pouvoir garder la main si besoin sur mon proxmox, voir les services depuis l'extérieur même si je sais que pas forcément mieux niveau sécurité, mais il m'arrive régulièrement d'être chez ma conjointe, et j'aime pouvoir continuer à avancer mes tests, découvertes et autres si j'ai du temps libre là bas, quand elle est au travail par exemple. Car oui, même si le Lenovo Tiny ne prend pas de place, je n'ai pas envie de refaire le même paramétrage réseau chez elle que chez moi pour ne pas avoir de conflits d'ip par exemple et cela voudrait aussi dire que les heures ou je suis au travail avant d'aller chez elle, je n'aurai plus rien qui tourne, donc plus de possibilité de mettre à jour mes mots de passe par exemple, donc pas une solution via régulièrement pour moi et mon usage.
Hier, sur Cloudflared, je n'ai pas fait d'enregistrement pour Jellyfin, le node proxmox, même si je pense que je n'en aurai pas pour longtemps à configurer le tunnel avec l'ip et un sous domaine, je me dis que je dois voir quelle serait la meilleure solution pour moi, pour ne pas tout changer tous les mois mois ... J'aimerai même si peut être plus complexe, partir sur quelque chose qui soit évolutif pour intégrer les projets que j'ai en tête comme teslamate, Firefly, Immish, j'ai vu que Simplelogin avait un self hosting aussi, faut que je vois ce qu'il permet de faire, frigate quand je serai en maison et pas en appartement.
Et oui, je sais très bien qu'aucune solution n'est infaillible surtout en réseau, mais j'aimerai par principe tenter d'avoir un maximum de protection, même si dans les faits, à part mes mots de passes, le reste je pourrai laisser sur le réseau de Monsieur tout le monde, car avoir accès à mes consommations électrique, ampoule et thermométres connectés, je ne vois pas à quoi cela pourrait leur être utile. Peut être des vieux reste de ma formation initiale il y a plus de 20 ans d'un BTS informatique et réseaux ...
C'est aussi d'ailleurs pour çà que j'ai hâte d'avancer dans le guide réseau de Valentin, mais je sais aussi que ce qui va surtout me brider ou définir ma sécurité, va être le budget ... Car je n'ai pas de quoi investir plus actuellement en matériel, déjà le PC et sa RAM, j'attends une seconde barrette de 16 Go pour passer à 32 Go à déjà pris le budget.
Donc par exemple, j'envisage Immish pour peut être me séparer de mon abonnement iCloud de 200 Go à 3€/mois, mais si à côté, je dois avoir le même coût ou plus en serveur et stockage ... peut être pas la meilleure solution.
Bon, pour revenir au sujet et tes précisions, en effet, j'étais passé à coté de la limitation à 100 Mb de Cloudflare, en étant très loin actuellement.
Après pour le reste, je pense avoir compris l'idée générale mais c'est un peu tout avec mes connaissances actuelles, Wineguard de mémoire c'est un VPN, pour ta question, non je n'ai pas de serveur VPS à ce jour et là aussi de mémoire de ce que j'avais vu il y a plus de 10 ans, il s'agit de serveur mutualisé ...
Donc oui, peut être un truc à creuser, pour un backup distant.
Il va falloir que je recherche pour Pangolin car je nen avais jamais entendu parlé, de même que le terme WAF.
J'avoue, que j'ai peut être un projet trs très grand pour quelqu'un qui débarque dans le milieu de la domotique et encore plus du réseau actuel.
Je vais aussi regarder des solutions type vautlwarden-sync sur tes conseils car c'est en effet quelques choses que je veux sécuriser, car autant pour le moment, je suis le seul utilisateur sur mon vaultwarden, et j'ai un backup de mes mots de passe sur proton pass, que j'utilisais avant de passer sur vaultwarden. Mais là aussi, j'envisage de pouvoir l'utiliser pour les autres membres de ma famille, donc oui, il faut un truc béton, car autant moi, je sais que je me débrouillerai pour ne pas tout perdre, mais ce n'est pas le cas des autres, qui eux utiliseront un service et veulent juste que çà marche et tout conserver, mais je ne suis pas fan du gestionnaire de mot de passe Google qu'utilisent la plus part de mon entourage, cela fait trop de dépendance à Google ...
Je trouve qu'il manque en tout cas en français des vidéos qui pourrait mentionner toutes cette partie configuration, sécurité que çà soit pour le réseau mais aussi pour les backup. Je galère beaucoup pour avoir de bon contenus. C'est pour cela que j'apprécie beaucoup ce que fais Valentin car très bien construit.
Et le reste, entre mes recherches de vidéos et lecture d'articles, et bien cela passe par Gemini pour avancer dans mon projet de homelab, ce n'est pas l'idéal, mais je ne vois pas comment faire mieux dans l'immédiat.
Et pour conclure, pareil, va falloir que je vois comment mettre en place une documentation pour ce que je fais, car je n'ai rien du tout actuellement et ce n'est pas bon, donc à voir quels sont aussi les meilleurs outils ...
Désolé également de la longueur de ma réponse ...
Si tu veux des ressources en français pour apprendre, en plus de la chaîne Youtube Howmation évidemment, je peux te conseiller la chaîne Twitch de Yorzian ainsi que sa chaîne Youtube.
Il est en live le vendredi et dimanche soir, et en ce moment il parle justement de Pangolin il me semble. Mais tu y trouveras des lives autour des sujets que tu évoques, ça peut être un bon complément !
Salut
Je débarque peut-être un peu tard, mais uniquement sur ce forum aujourd'hui.
Voilà comment je gère de mon coté, je ne suis pas contre un retour si c'est déconnant d'ailleurs.
J'ai un gros PC allumé H24 sous Proxmox. J'ai une VM Nginx Proxy Manager sur laquelle je balance le 443. J'attaque chaque service avec un sous-domaine particulier (https://nextcloud.dupont.org https://bitwarden.dupont.org ...) et donc le proxy gère le trafic.
Les services importants sont sur des VM dédiées, mais il y a du docker aussi. Le plus important, chaque VM a une mise à jour quotidienne automatique des paquets debian, chaque conteneur docker est mis à jour aussi en automatique (watchover). On lit parfois que la mise à jour auto des OS Linux est risqué blablbablabla .... c'est comme ça que je fais depuis 1996 sur le web et je n'ai jamais eu la moindre surprise de ce côté-là.
Et puis bien sur un Proxmox Backup Server avec un historique un peu correct et voilà ... Je trouche du bois, jamais eu de soucis.
B.
2j33v a écrit :Je vois que tu as déjà bien avancé dans tes recherches, je ne vais pas te relancer sur le sujet des gestionnaires de mot de passe pour éviter de faire un hors sujet par rapport au titre du post 😅 mais je pense que tu as compris mes points d'attention.
Si tu veux des ressources en français pour apprendre, en plus de la chaîne Youtube Howmation évidemment, je peux te conseiller la chaîne Twitch de Yorzian ainsi que sa chaîne Youtube.Il est en live le vendredi et dimanche soir, et en ce moment il parle justement de Pangolin il me semble. Mais tu y trouveras des lives autour des sujets que tu évoques, ça peut être un bon complément !
Bonjour,
bien que je n'ai pas répondu, j'avais vu et j'ai tout de même continué mes recherches. Pour Yorzian, je connaissais au final, je l'avais vu avant de me lancer sur proxmox avec ces 2 vidéos sur débuter en proxmox mais j'avais laissé tomber car c'est tout de même plus orienté expérimenté, déjà rien que pour la découverte de Proxmox, on partait avec 2 machines, un noeud ...
Mais suite à tes conseils, je suis retourné voir et j'ai vu les différents live sur Pangolin, plus de 3h au total. Alors oui, j'ai pu apprendre quelques trucs, et oui cela pourrait être un outil intéressant pour moi. Mais là encore, j'avoue que je n'ai pas encore clairement toutes les compétences nécessaires pour m'en sortir.
Déjà dans sa démonstration, nous partons sur une installation sur un VPS, je n'en ai pas et pas certain d'en avoir l'utilité, car je cherche à réduire mes frais, donc ajouter des frais mensuels, si ce n'est pas justifié, c'est vrai que c'est dommage et du coup, je n'ai pas vu s'il est posible de l'installer et configurer pour que cela fonctionne sur mon proxmox pour mon usage. Car oui, j'ai bien vu le script pour l'installer en LXC facilement sur proxmox, mais après c'est encore très loin de pouvoir agir pour mes besoins ^^
Et comme tu me l'avais dis, j'ai pu voir les limites de Cloudflared en ayant installé Immich pour la synchronisation des vidéos car avec de la 4k ou hdr de l'iphone, les 100 mo sont très vite dépassé en quelques secondes ... Donc faut vraiement que je m'attele sur Pangolin, mais avec un tel nom, pas forcément simple de trouver du contenu, on trouve plus de choses sur l'animal que l'outil ...
je pense également devoir ouvrir un nouveau sujet concernant les sauvegardes, car là aussi un gros sujet et comme tu le dis, je ne suis pas assez safe pour vaultwarden, autant le reste même immich, ce n'est pas grave dans l'immédiat car c'est juste du test et j'ai toujours mon iCloud ... Autant Vault ... Même si je devrai de temps à autre penser à faire un export et import dans protonpass dont il me reste 18 mois de version pro ...
Bertrand a écrit :Les services importants sont sur des VM dédiées, mais il y a du docker aussi. Le plus important, chaque VM a une mise à jour quotidienne automatique des paquets debian, chaque conteneur docker est mis à jour aussi en automatique (watchover). On lit parfois que la mise à jour auto des OS Linux est risqué blablbablabla .... c'est comme ça que je fais depuis 1996 sur le web et je n'ai jamais eu la moindre surprise de ce côté-là.
Et puis bien sur un Proxmox Backup Server avec un historique un peu correct et voilà ... Je trouche du bois, jamais eu de soucis.
B.
Bonjour, merci du retour d'expérience surtout si longue ... Linux et moi cela ne fait que 6 mois à peine ... J'avais voulu tenté il y a 10-15 ans, mais je n'avais clairement pas le temps avec ma vie pro et familiale et encore à cette époque, il y avait nettement moins de contenu en ligne et c'était tout de même nettement moins accessible que maintenant je trouve pour quelqu'un qui n'y a jamais touché.
Comme mis sur mon message précédent, je pense que je vais devoir ouvrir un sujet pour les backup, car à force de voir des mesages comme le votre, j'en déduis que l'on pourrait se faire des backup de son PVE avec un PBS, mais je me dis qu'il faut peut être une seconde machine du coup ?
Et pour les mises à jour automatique, faudrait peut être que je m'y penche aussi, je le fais "manuellement" pour PVE via l'interface graphique et pour mes LXC, j'utilise un script lorsque j'y pense via le shell de PVE, donc peut être pas le plus optimum ....
Pour terminer pour NPM, c'était ce que j'avais de tête à la base, mais à force de cherche, Pangolin semblait être un peu poussait ... Donc pour cela que je m'orientais plus dessus. Après j'avoue que je pousse peut être tout trop loin pour un simple particulier ...
Vous devez être connecté pour répondre.
Se connecter