La Fibre
Datacenter et équipements réseaux => Équipements réseaux => 
NAS, serveurs et micro-serveurs => Discussion démarrée par: LolYangccool le 15 août 2024 à 11:50:26
-
Bonjour,
J'auto-héberge un certain nombre de services chez moi sur des serveurs Dell.
Le « problème » ? L'adresse IP visible est celle de ma connexion fibre privée, et l'ouverture de quelques ports sur ma Freebox a été nécessaire pour rendre mes services accessibles.
Jusque là c'est normal, mais j'aimerai « masquer » mon IP au public, afin d'augmenter un peu ma sécurité et j'aimerai aussi pouvoir fermer la plupart des ports réseau ouverts sur ma Freebox.
Je me dis donc qu'il serait peut-être utile, afin de réaliser ceci, de prendre un petit serveur chez OVH par exemple, comme un VPS à quelques euros par mois, dont le travail serait simplement de servir de relai entre le réseau externe (internet) et mon réseau privé, via un VPN site to site installé dessus, avec WireGuard par exemple.
Le VPS OVH reçoit les requêtes et les transmet ensuite via mon serveur VPN local aux machines de mon réseau.
J'utilise déjà WireGuard via le script pivpn pour me connecter depuis mes laptop sur mon LAN depuis l'extérieur, je sais qu'on peut faire du site to site avec WireGuard, mais d'une part je ne sais pas comment mettre ça en place, je ne l'ai jamais fait, et ensuite je n'ai aucune idée de comment configurer les redirections dont je parle depuis le VPS OVH.
Si quelqu'un a un tuto ou autre, ça m'intéresserait de déjà dans un premier temps débroussailler un peu tout ça de manière théorique avant de tenter quoi que ce soit en pratique.
Merci.
-
Un tunnel comme en propose Milkywan permettrait d'éviter l'installation/maintenance d'un VPS. Il restera du travail, mais limité à ton réseau privé (et aux noms de domaine). Dans les 2 cas, il faudra que tes serveurs répondent aux requêtes arrivant du tunnel ou du VPS en passant par le tunnel (ou le VPS) et pas directement par la box.
-
@ LolYangccool : deux points que je n'ai pas compris :
L'adresse IP visible est celle de ma connexion fibre privée,
De quoi parles tu ? De ton adresse IP WAN ?
mais j'aimerai « masquer » mon IP au public,
Qu'est-ce que tu entends par "masquer" ? Tu voulais dire rendre cette adresse IP " Stealth".
Dans ce cas, il ne faut pas ouvrir tes ports sinon tu seras visible sur le net.
Mais comme tu es dans la nécessité de les ouvrir, tu dois créer des règles dans ton pare-feu pour limiter leur usage.
Sinon, utiliser un VPN.
-
De quoi parles tu ? De ton adresse IP WAN ?
Oui, de l'IP publique de ma box sur internet.
Sinon, utiliser un VPN.
C'est exactement ce que je veux faire via un VPS hébergé chez un prestataire quelconque pour rendre l'IP de ce serveur visible plutôt que la mienne.
-
Un tunnel comme en propose Milkywan permettrait d'éviter l'installation/maintenance d'un VPS. Il restera du travail, mais limité à ton réseau privé (et aux noms de domaine). Dans les 2 cas, il faudra que tes serveurs répondent aux requêtes arrivant du tunnel ou du VPS en passant par le tunnel (ou le VPS) et pas directement par la box.
D'accord, merci.
Je n'ai aucune idée de comment configurer ce genre de choses.
Je vais regarder les prix chez Milkywan mais connaissant un peu leurs tarifs, notamment ceux des offres fibres, je doute qu'ils soient compétitifs face à un VPS OVH par exemple... Après le service n'est pas le même et si ça me simplifie la chose pourquoi pas...
Je vais regarder.
-
Ok je viens de regarder les offres de Milkywan : https://milkywan.fr/services/tunnel/
Bon c'est abordable.
Le tunnel WireGuard m'intéresserait mais il faut que je sache comment je peux mettre ça en place.
Merci.
-
Un tunnel wireguard entre ton VPS et ton serveur maison avec un reverse proxy sur ton VPS.
-
Ok.
J'ai déjà un reverse proxy sur mon infra maison, je vais creuser ça, si tu as des liens à me proposer sur le sujet, je te remercie.
-
Je vais regarder les prix chez Milkywan mais connaissant un peu leurs tarifs, notamment ceux des offres fibres
Sur la fibre, hors du département de l'Ain, MilkyWan doit faire de la revente d'offre "FTTH Pro" de différents opérateurs. Le prix de ces offres ne permet pas de faire une offre au même prix que les offres grand public.
Sur les tunnels, MilkyWan est autonome.
-
Oui c'est ce que j'avais aussi compris.
-
La solution Milkywan me parait bien cher pour ton besoin.
Ce que tu veux faire est un reverse proxy entre l'extérieur et ton réseau Wireguard.
T'as plusieurs solutions:
- Utiliser Nginx, et tu le configure comme un reverse proxy en lui disant de rediriger les requêtes http vers l'adresse wireguard de ton service. Ca se fait, mais un peu galère à configurer, si tu veux du https. C'est ce que j'ai fais à une époque, ça fonctionnait bien.
- T'as un truc qui s'appelle Nginx Proxy Manager https://nginxproxymanager.com/ qui permet de configurer tout ça via une interface web. Jamais utilisé, mais ça à l'air bien pratique, car il gère les certificats https tout seul. Par contre c'est plus ou moins maintenu.
- Des services comme Cloudflare ZeroTrust/Tunnel, gratuit, c'est assez répandu dans le monde du homelab, t'as quelques tutos sur internet. Jamais utilisé, car c'est un peu dommage de faire du homelab et utiliser un service de ce genre à la fin (mais c'est juste un avis perso).
-
Nginx Proxy Manager +1
mes sous domaines ionos pointent mes services maison en ipv6 ( suis en cgnat)
aucun soucis
-
Tu as regardé cloudflare ?
-
Merci beaucoup, je vais tester la seconde solution d'ici la fin de semaine ou la semaine prochaine.
Bonne soirée.
-
La solution Milkywan me parait bien cher pour ton besoin.
Ce que tu veux faire est un reverse proxy entre l'extérieur et ton réseau Wireguard.
T'as plusieurs solutions:
- Utiliser Nginx, et tu le configure comme un reverse proxy en lui disant de rediriger les requêtes http vers l'adresse wireguard de ton service. Ca se fait, mais un peu galère à configurer, si tu veux du https. C'est ce que j'ai fais à une époque, ça fonctionnait bien.
- T'as un truc qui s'appelle Nginx Proxy Manager https://nginxproxymanager.com/ qui permet de configurer tout ça via une interface web. Jamais utilisé, mais ça à l'air bien pratique, car il gère les certificats https tout seul. Par contre c'est plus ou moins maintenu.
- Des services comme Cloudflare ZeroTrust/Tunnel, gratuit, c'est assez répandu dans le monde du homelab, t'as quelques tutos sur internet. Jamais utilisé, car c'est un peu dommage de faire du homelab et utiliser un service de ce genre à la fin (mais c'est juste un avis perso).
Un reverse proxy implique d'avoir un serveur en dehors de chez lui donc je vois pas en quoi ça reviendrait vraiment moins cher qu'un tunnel Milkywan : dans les deux cas tu vas en avoir pour 4-5€/mois pour avoir l'IPv4 "publique" souhaitée
Dans un cas le reverse proxy est sur le VPS, dans l'autre à la maison derrière le tunnel.
Et effectivement Nginx Proxy Manager est un régal à utiliser pour jouer ce rôle de reverse proxy
Seule une solution à base de tunnel Cloudflare serait moins chère mais casse un peu l'idée de l'auto-hébergement
-
Un reverse proxy implique d'avoir un serveur en dehors de chez lui donc je vois pas en quoi ça reviendrait vraiment moins cher qu'un tunnel Milkywan : dans les deux cas tu vas en avoir pour 4-5€/mois pour avoir l'IPv4 "publique" souhaitée
Dans un cas le reverse proxy est sur le VPS, dans l'autre à la maison derrière le tunnel.
Et effectivement Nginx Proxy Manager est un régal à utiliser pour jouer ce rôle de reverse proxy
Seule une solution à base de tunnel Cloudflare serait moins chère mais casse un peu l'idée de l'auto-hébergement
Je pense que Tick n'avait lu que partiellement ton besoin.
En ne lisant que les derniers messages, il imaginait qu'un Ngix hébergé en local chez toi suffirait.
Mais ça ne répond pas à ton besoin de "masquer" ton IP WAN de ton accès Internet.
Dans ton cas, un tunnel avec IP publique, type Milkywan, ça conviendrait. Attention, MilkyWan facture les IPv4 publiques en supplément... De base, tu n'as pas d'IPv4 publique.
Leon.
-
Restera ensuite la question du "marquage" des connexions entrantes via le tunnel qui devront ressortir par le tunnel (sauf si proxy sur le VPS) et pas par la route par défaut. Et l'implémentation dépendra fortement de l'OS sur le serveur pour ça (pas trop difficile sur Linux avec iptables/nftables/les tables de routage multiples, pas sur que ce soit faisable sur un Windows).
Perso j'ai un VPS chez OVH connecté à mon routeur CCR2004 par un VPN wireguard site to site. Sur le VPS je fais du port forwarding vers une IP privée sur mon LAN. Le traffic pass donc dans le VPN et mon CCR2004 fait du paket et connexion marking pour que les paquets retour passent bien dans le VPN au lieu de sortir directement sur la route par défaut).
En plus ce qui est cool c'est que c'est vraiment transparent: J'ai un failover en 4G, donc si le FTTH tombe, le tunnel site-to-site remonte automatiquement sur la 4G (qui devient la route par défaut) et j'ai une continuité de service (dégradé vu qu'en 4G vu la localisation des antennes vs mon appart. je max à 40 Mbps up/down max).
-
Un reverse proxy implique d'avoir un serveur en dehors de chez lui donc je vois pas en quoi ça reviendrait vraiment moins cher qu'un tunnel Milkywan : dans les deux cas tu vas en avoir pour 4-5€/mois pour avoir l'IPv4 "publique" souhaitée
Dans un cas le reverse proxy est sur le VPS, dans l'autre à la maison derrière le tunnel.
Et effectivement Nginx Proxy Manager est un régal à utiliser pour jouer ce rôle de reverse proxy
Seule une solution à base de tunnel Cloudflare serait moins chère mais casse un peu l'idée de l'auto-hébergement
Le tunnel Milkywan revient à 8e/mois pour Wireguard + ipv4
Pour moitié moins tu peux avoir un VPS
Je pense que Tick n'avait lu que partiellement ton besoin.
En ne lisant que les derniers messages, il imaginait qu'un Ngix hébergé en local chez toi suffirait.
Mais ça ne répond pas à ton besoin de "masquer" ton IP WAN de ton accès Internet.
Dans ton cas, un tunnel avec IP publique, type Milkywan, ça conviendrait. Attention, MilkyWan facture les IPv4 publiques en supplément... De base, tu n'as pas d'IPv4 publique.
Leon.
Ah non j'ai bien compris, je parlais d'installer ça sur son VPS côté OVH
-
Le tunnel Milkywan revient à 8e/mois pour Wireguard + ipv4
Pour moitié moins tu peux avoir un VPS
Tu n'es pas obligé de partir sur le tunnel le plus cher chez eux, les autres protocoles soit moins chers.
Et de l'autre côté les VPS pas chers ont souvent une limite de débit (100Mb/s sur le moins cher chez OVH par exemple) ou trafic, avec des ressources partagées, ...
Si c'est le VPS en reverse proxy frontal il faut s'assurer qu'il soit assez costaud pour gérer et le chiffrement du https d'un côté et le chiffrement du VPN de l'autre donc pas forcément le premier prix non plus.
Et ça fait une machine de plus à administrer (màj, ...).
Bref les deux solutions peuvent avoir du sens selon les besoins/envies...
-
Attention aussi à la difficulté à faire de l'IPv6 quand le fournisseur de VPS propose un /128 enIPv6, soit une seule IPv6 : cela ne sera pas possible.
-
Attention aussi à la difficulté à faire de l'IPv6 quand le fournisseur de VPS propose un /128 enIPv6, soit une seule IPv6 : cela ne sera pas possible.
Pourquoi donc ?
-
Le tunnel Milkywan revient à 8e/mois pour Wireguard + ipv4
Pour moitié moins tu peux avoir un VPS
Un VPS qui arrive a tenir 1Gbps de chiffrement + routage en Wireguard ? Je demande à voir ;D
C'est la raison qui fait que les tunnels WG sont plus chers chez nous, ça demande de la ressource supplémentaire en chiffrement.
-
Un VPS qui arrive a tenir 1Gbps de chiffrement + routage en Wireguard ? Je demande à voir ;D
C'est la raison qui fait que les tunnels WG sont plus chers chez nous, ça demande de la ressource supplémentaire en chiffrement.
Ah non je remets pas cause le qualité/prix. :P
Je dis juste que par rapport à son besoin c'est peut être overkill
-
Attention aussi à la difficulté à faire de l'IPv6 quand le fournisseur de VPS propose un /128 enIPv6, soit une seule IPv6 : cela ne sera pas possible.
J'ai ça sur mon VPS et du coup je fais du port forwarding dégueulasse vers une/des ULA de mon LAN... M'enfin bon c'est uniquement pour du failover (pour le fonctionnement nominal mes enregistrements DNS pointent sur des IPv6 de mon pool Orange)
-
Un VPS (ou reverse proxy, etc) et un tunnel répondent à la même problématique (càd de "cacher" l'IP qui héberge réellement la donnée).
Mais ce n'est pas du tout la même chose et il faut utiliser le meilleur de chacun.
Par exemple, un VPS/proxy est lent (car il choppe la requête, la parse, demande au backend, parse et renvoie au client, en gros il passe sa vie à attendre), mais intelligent.
Servez-vous de cette intelligence pour compenser la latence en mettant en cache des pages dynamiques très demandées (genre l'accueil de lafibre.info, si elle a 5min de cache c'est pas génant), ou faire du WAF pour éviter en un seul geste à vos wordpress de se faire poutrer, ou de renvoyer une belle page d'erreur explicative (ou le site en cache) si le backend est down.
Et Vivien a raison : si le VPS n'a qu'une IPv6 (/128) : fuyez.
-
Bon, j'ai lu vos différentes interventions depuis ma dernière visite sur ce topic.
Je pense que je vais prendre un petit VPS entrée de gamme chez OVH pour faire mes tests avec un Nginx Proxy Manager installé dessus et apprendre à configurer tout ça.
Ensuite, je résilierai le VPS et en prendrai un plus performant si besoin pour la mise en prod réelle.
-
haproxy devrait aussi faire l'affaire.
-
C'est un peu plus cher, mais les Dedibox chez Scaleway sont livrées avec un bloc /56.
Parfait pour le hosting.
-
J'auto-héberge un certain nombre de services chez moi sur des serveurs Dell.
Bon, j'ai lu vos différentes interventions depuis ma dernière visite sur ce topic.
Je pense que je vais prendre un petit VPS entrée de gamme chez OVH pour faire mes tests avec un Nginx Proxy Manager installé dessus et apprendre à configurer tout ça.
Ensuite, je résilierai le VPS et en prendrai un plus performant si besoin pour la mise en prod réelle.
Mais alors du coup, si tu prends un serveur VPS, autant simplifier les choses en hebergeant tes services directement sur le VPS ? après c'est fonction de ce que tu heberges...si c'est de la domotique par exemple ça n'aura peut etre pas de sens.
-
Mais alors du coup, si tu prends un serveur VPS, autant simplifier les choses en hebergeant tes services directement sur le VPS ? après c'est fonction de ce que tu heberges...si c'est de la domotique par exemple ça n'aura peut etre pas de sens.
Bah non.
Déjà j'ai 17 VPS sur un pool de 3 serveurs Dell en cluster actuellement.
17 VPS à environ 4,50€ le VPS ça fait déjà +76€/mois, et ça c'est pour le moins cher de chez OVH en terme de VPS.
Donc ce prix c'est sous réserve que le moins cher d'OVH conviendrait pour l'ensemble de mes services, et, spoiler, ce n'est pas le cas du tout.
Ensuite j'ai un VRTX avec deux neouds M630, et deux serveurs 1U un peu anciens, des R610.
Ajouter à ça mon NAS de stockage (sur lequel sont stockés les disques des VPS par exemple, y'a pas que ça dessus évidemment) dans lequel j'ai 48To desquels je viens bientôt à bout (je voudrai ajouter un seconds NAS dans les mois qui viennent, j'attends un modèle précis qui devrait sortir à la fin d'année j'espère).
Ca me couterait combien d'héberger tout ça chez OVH ? Beaucoup trop cher, en tous cas, beaucoup plus que de les avoir chez moi.
En plus, si je m'auto-héberge c'est pour une bonne raison : Je ne veux pas donner mes données à OVH ni à quiconque d'autre.
Là je gère le matériel et le logiciel.
Bref, financièrement et éthiquement héberger mes données en DC ça ne me va pas.
Je préfère aussi avoir tout ça chez moi pour des raisons techniques, en plus des raisons sus-citées.
Déjà qu'en faisant passer les connexion par le VPS d'OVH mes données transiteront par là, et ça ne me réjouit pas mais c'est à moindre « mal », au moins les données ne font que transiter et ne seront pas stockées sur ce VPS loué.
-
Tu confonds VPS et VM en fait.
-
Je ne confonds rien du tout, un VPS est techniquement une VM.
Une VM n'est pas nécessairement un VPS.
VPS : Virtual Private Server
VM : Virtual Machine
Une VM est un VPS quand elle fournit un service tel un serveur.
-
Pour chaque question, il y a un fil sur lafibreinfo :
https://lafibre.info/entreprises/difference-vps-vm/
Un VPS n'est pas forcément conteneurisé. Je ne sais même pas si on peut appelé un conteneur un VPS.
Un VPS est une catégorie de VM.
OVH est d'accord avec moi sur la définition en tous cas.
J'utilise des VPS (et aussi des VM) depuis un sacré bout de temps.
Je sais ce que c'est...
https://www.ovhcloud.com/fr/vps/
Déplier la question « Quelles sont les différences entre les solutions VPS et Public Cloud ? »
-
Si tu sais tout cela mieux que quiconque, pourquoi faire perdre du temps à tout le monde ?
-
Mais c'est l'hôpital qui se fout de la charité là.
C'est toi qui est venu me reprendre, c'était pas ça le sujet du topic à la base.
C'est toi qui emmerde le monde pour une définition, et je n'ai jamais dit que je savais mieux que tout le monde, je dis que je sais ce que c'est un VPS.
D'ailleurs en lisant le topic mentionné par l'autre intervenant, y'a personne qui a vraiment donné de définition claire sur le terme.
Toi tu me reprends mais tu ne fait rien avancer, tu aurais par exemple pu dire ce que c'était pour toi un VPS.
Au delà de ça tu viens m'agresser, t'es pas bien malin comme personne toi, désolé de te le dire...
C'est toi qui vient me faire perdre du temps, avant que tu n'interviennes tout allait bien et on discutait du VRAI sujet, à savoir, comment utiliser un VPS en tête de tous mes services via un VPN site à site.