Matériel: oilmex lime 2 et ajout orangepi Version de YunoHost: * 11.2.10.1 (stable). J’ai accès à mon serveur : En SSH Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non Si oui, expliquer:
Description du problème
Bonjour
Actuellement j’ai en autohébergement une OLIMEX LIME 2 qui tourne depuis 2/3 ans sans soucis derrière une FREEBOX MINI 4K avec nom de domaine dédié
J’ai eu la chance d’avoir un ORANGEPI sur lequel je souhaiterais mettre également un yunohost (essentiellement pour les backup) mais j’ai quelques questions
Sur l’orangepi, je ne désire pas acheter un nom de domaine mais utiliser un sous domaine mis à disposition par yunohost
Ma question principale : vu qu’il y a déjà une machine yunohost avec redirection de ports , comment cela va t il se passer avec la nouvelle machine ?
Y a t il des choses particulières sur lesquelles être attentif quand il y a 2 machines yunohost derrière le même routeur ?
D’avance merci pour vos retours d’expérience ou docs éventuelles
Alors, déjà, il faut savoir que tu ne peux qu’avoir une seule machine qui sert de destinataire pour un port donné.
Par exemple 443 et 80 (pour le web) doivent pointer vers UNE machine, ta box ne va pas te donner la possibilité de faire pointer vers 2 machines selon le domaine utilisé.
Et pour la création des certificats https letsencrypt, cet accès est nécessaire.
Donc ton orangepi ne pourra utiliser que des certificats auto-signés, et c’est to olimex qui va avoir l’app redirect et qui se chargera de faire le lien avec Internet.
En résumé :
INTERNET → Box → Olimex → Orangepi
Mis à part ce détail, le reste devrait je pense marcher tout seul.
Si ça te semble faisable, tu peux, sur l’une de tes machines, héberger un reverse proxy, tout envoyer sur le reverse proxy (je suggère l’excellent nginx-reverse-proxy-manager) et ensuite router ton trafic en interne. C’est extrêmement simple et intuitif à mettre en œuvre. C’est très léger aussi.
Voici l’état du mien, qui gère l’accès à 4 serveurs (et 22 services publiés, autant de certificats à gérer, et tout plein de règles plus quelques moulinettes maisons qui tournent dessus).
Comme tu vois, c’est pas trop gourmand).
Le trafic est très limité ceci étant.
Sur le nginx-reverse-proxy manager, tu disposes de :
Si tu veux utiliser du HTTPS tout du long avec 1 seul et même certificat, ça demande un tout petit peu d’ingénierie (mais alors vraiment un tout petit peu) pour récupérer tes certificats et les distribuer sur les différents services.
A mon sens, c’est ultra simple, et ça simplifie tellement la vie que ça serait dommage de s’en passer.
Ceci étant dit, si tu n’a besoin que de faire des backup localement, comme proposé, le “.local”, je te le recommande vivement.
Enfin, et pour finir, j’attire ton attention sur tailscale qui me semble être une solution intéressante pour ta problématique – mais je ne suis pas bien placé pour te dire si ça tiendra sur ton hébergement.
Dans cette configuration il y a le SSO du second serveur qui interfère, il faut en tenir compte . Ca fonctionne mais il faut bricoler un peu. C’est le premier serveur qui sert les certificats également en installant sur celui-ci aussi les domaines du second serveur.
J’en parle dans la fin de cette discussion pour le SSO :
Je me pose la question justement en ce moment de comment configurer le mieux ce genre d’installation. Ne serait-ce pas plus simple de n’utiliser que l’ipv6?
Par contre pour le mail, aucune idée si ça tient la route, je n’ai pas testé.
Autrement le reverse proxy est ce qui semble le plus propre, ça évite les bidouilles hasardeuses.
Est-ce que NPM embarque tout ce qu’il faut comme Yunohost en terme de sécurité? (parefeu, Fail2Ban entre autres) .
Je demande ceci car je suppose que vu que le reverse-proxy est en frontal, il faut le protéger un minimum. Si ce n’est pas le cas, il reste peut-être plus simple d’utiliser l’application Redirect et de déporter la config SSO du second serveur sur le 1er.