Bonsoir à toutes et à tous,

Après une année où j'ai dû mettre mon projet de serveur en pause, cette fois-ci il existe. L'accès en local tourne.
Config :

• Xeon E3 1230 v6
  Chipset C236
  40GO de RAM
  SSD 500GB pour l'OS
  Carte LSI sur PCIe 8x
  RAID 6 matériel de 6x 4TB.
  2 ports ethernet
  1 port RJ45 BMC (?)
  

Routeur : AX5400 sur AsusWRT avec 2 VPN actifs sortant.

Je ne sais pas trop comment exploiter les deux ethernet (1 local + 1 Wan, ou agrégation pour augmenter les débits ?)

Alors voilà... Je suis une cruche en réseau et en anglais. Je comprends juste la notion d'IP, sais paramétrer un petit LAN et configurer mon routeur pour que les deux VPN tournent (Grâce aux soutiens de ce forum).
J'ai donc besoin d'aiguiller un choix simple et sécurisé, qui permette aussi à mes proches de se connecter.

Je peine à trouver des tutos en français qui soient complets et détaillés. Le net est de plus en plus inondé de vidéos "IA" et de sites qui blablatent de l'univers du vide. Mais... il y a ici ^^.

Difficulté : La connexion VPN via le routeur fait que je n'ai pas d'"IP statique.

Ce qui est déjà configuré :

• Les redirections de ports sont prêtes pour chaque service
  Le firewall du routeur est configuré en IPv4.
  Le serveur a une IP LAN fixe fournie par le routeur en DHCP que j'ai paramétré par liaison MAC.

Et comme toujours, un grand merci par avance à toute personne qui aura envie d'apporter son aide. 

Salut 

Le plus simple ça serait d'utiliser un DNS dynamique

Alors justement, si je me contente d'un DDNS, ne serait-ce pas d'un niveau de sécurité trop faible pour un serveur ? Ca revient à une simple ouverture de ports. Est-ce que le client VPN du routeur chiffre les requêtes entrantes ?

Après sur ton serveur tu peux utiliser un outil

Pas de BOX. Mon routeur fonctionne sous AsusWRT et intègre déjà des paramètres pour activer un DDNS donc pas de problème. Pour No-IP, la version free existe encore.

Si j'étais certain que les requêtes et contrôle d'accès soient cryptés au niveau du routeur, j'aurai déjà tenté un simple DDNS mais je doute que cela suffise pour assurer la sécurité des données et des accès.

Faudrait que j'arrive à bien comprendre le rôle d'un serveur VPn au niveau du routeur. Je vais chercher de la doc. Merci pour tes idées

Le DDNS ça ne change rien à la sécurité, tu passeras toujours par ton VPN pour accéder à ton serveur. Simplement tu utiliseras un nom de domaine pour te connecter au VPN.

Du coup questions :
Faut-il un fichier peer pour chaque appareil, ou les appareils génèrent-ils leur propre clé privé sur la base d'un unique fichier ?
Deux appareils différents peuvent-ils utiliser le même tunnel en simultané ?
Comment pointer l'accès uniquement vers mon serveur sur le local ?
Autre questionnement : Combien de flux puis-je soutenir avec ce tunnel ?

Alors sous tailscale, il n'y a pas de fichier de configuration à faire, chaque machines se débrouille. le serveur tailscale est la pour distribuer les clés public entre tes machines et d'appliquer les ACL ( en gros les règle d'accès entre les machines Acces Control List )

Fonctionnement de tailscale: https://tailscale.com/kb/1151/what-is-tailscale


Par défaut sur tailscale chaque nœud ( machine avec le client tailscale d'installé) peuvent communiquer entre eux.

Tout le trafic ne passe pas dans le VPN tailscale sauf si tu active la fonction exit node sur une de tes machine dans ton réseau tailscale ET sur ton client tailscale.

Doc Exit Node: https://tailscale.com/kb/1103/exit-nodes

Le LAN n'est pas exposé par défaut sauf si tu active la fonction subnet router sur un de tes noeud.

Doc subnet router: https://tailscale.com/kb/1019/subnets

Maintenant si tu veux que tes noeud de ton réseau tailscale puissent seulement parler a ton serveur c'est avec les "grants" et les "tags"

En gros créer des tags à appliquer sur chaque machines, un tags pour ton serveur perso et un autre pour tes clients (téléphone, ordi, bidule connecté )

Puis avec les Grants n'autoriser la communication d'un group de tag à un autre. ( ex autoriser que les machines ayant les tag "client" à communiquer avec les machines ayant les tag "serveur" )

Docs des Grants: https://tailscale.com/kb/1324/grants
Doc des tags: https://tailscale.com/kb/1068/

Concernant la dernière question autant de flux que le hardware peut supporter pour autant d'appareils que tu souhaites.

Mais tu nous as pas dit comment ça va être utilisé ton VPN ? Seulement avec tes machines ou il y'aurait des gens extérieur à ton réseau qui souhaiterait accéder à ton serveur comme pour partager un serveur de vidéos de vacances par exemple ?

Dans ce cas tu peux partager directement ton serveur à un utilisateur qui installera son client tailscale et aura accès UNIQUEMENT a ton serveur.

Doc du partage d'appareil: https://tailscale.com/kb/1084/sharing

Voila voila, j'aime trop tailscale, comme j'ai un peu la flemme de configurer un VPN fait par le passé avec OpenVPN, et wireguard mais a chaque fois j'avais des problèmes surtout sur des serveur hébergé derrière une connexion 4G et ou starlink avec du CGNAT et tout le bordel.