Yunohost olinuxino A 20 freebox

crustyourmind · December 4, 2020, 5:06pm

Bonjour à tous,

Mon serveur YunoHost

Matériel: A20-OLinuXino-LIME2
Version de YunoHost: La dernière
J’ai accès à mon serveur : En SSH | | En direct avec un clavier/écran | …
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non

Description du problème

J’ai déjà un VPS qui tourne sous yunohost depuis pas mal de temps
Je souhaite passer l’étape de l’autohébergement (dès lors j’ai la fibre)

J’ai donc acheté une carte A20-OLinuXino-LIME2
Je souhaiterais faire des tests avant migration éventuelle du VPS. J’ai un nom de domaine pour ces tests.
Je suis chez free (mini 4K).

Le but : comme avec le VPS : serveur de mail, 1 dokuwiki, 1 worpress, 1 webapp et 1 seafile. Une dizaine de comptes. Et un espace de stockage pour les backups.

Le soucis est la configuration du routeur free. J’ai lu du pour et contre par rapport à la mise en place d’une zone DMZ (qui à priori n’en n’est pas vraiment une chez free).

Je configure ce serveur dans le réseau locale comment ? Sur le même réseau que celui existant (192.1.0.*) ?
Chez free je suis en full IP 4V et je vais demander de débloquer le SMTP

Ensuite, il suffit de faire du NAT avec les ports requis ? Dans la section gestion des ports et j’ouvre ceux requis dans la doc de yunohost. C’et bien celà ?

Ai je quelque chose d’autre à faire niveau sécurité ? Cette configuration ne concernera que le serveur en question, je suppose ; sans interférences pour le matériel déjà en place ?

Le serveur je lui attribue une ip locale statique ?

Je préfère demander avant de faire n’importe quoi

Ou ai je loupé quelque chose ?

D’avance merci pour vos retours d’expérience.

metyun · December 4, 2020, 9:59pm

Bonjour,

Pour le serveur mail, l’auto-hébergement est parfois source de problèmes, les adresses ip “maison” étant parfois rejetées par les géants du net. Le reverse DNS n’est plus personnalisable non plus.
Perso, je n’ai aucun soucis malgré que je n’ai pas de reverse DNS mais il a fallu faire quelques réglages de base comme me sortir de liste noire (hormis SPFBL.net RBL vu le reverse ou j’ai laissé comme ça), désactiver l’ipv6 sur le serveur (il semblerait que Google mette les ip “maison” en spam avec l’ipv6 et pas l’ipv4, à confirmer, info trouvée sur le forum des chatons).
J’ai eu le plus de problèmes avec microsoft et j’ai dû faire une demande auprès du service de retrait de liste de Microsoft Office 365 et au début je tombais en spam sur les adresses hotmail.fr. J’ai 2 ou 3 contacts qui m’ont passés en liste blanche et il n’y a plus de soucis visiblement, mes mails sont acceptés partout passé les 2 ou 3 premières semaines de la vie du serveur.

Je ne saurais t’aider concernant ce point. Mon serveur se retrouve dans le réseau local mais je suppose que c’est un risque de sécurité. Je suis passé récemment d’un RPI à une machine virtuelle, je pense éventuellement l’isoler du réseau local avec un pfsense ou une solution analogue…mais ce n’est pas fait et ça tourne tel quel depuis 2 ans pour l’instant.

Pour débloquer le port 25 (SMTP), ça se règle dans l’interface de la box, pas besoin de le demander, tu peux le faire toi-même…à moins que ce soit différent sur une mini 4k, je suis chez free mais avec une autre box.

Oui. Si tu t’es placé en DMZ ce n’est pas utile. La DMZ de free n’isole pas ton serveur du reste de ton réseau mais redirige l’ouverture de tous les ports vers cette machine. Tu peux à la place te contenter d’ouvrir seulement les ports nécessaires en faisant du NAT. Si tu utilises un routeur/parefeu logiciel autre que celui de yunohost en amont de ton serveur (Ipfire, Pfsense,etc…), alors dans ce cas mieux vaut mettre en DMZ et laisser le parefeu filtrer ce qu’il faut. Donc pour résumer:
Pas de routeur logiciel: NAT des ports.
Présence d’un routeur: DMZ

Hmmm…attends les retours de personnes plus compétentes que moi concernant l’aspect sécurité. Pour ma part j’ai interdit l’accès extérieur pour la webadmin, je n’ai pas ouvert le port SSH me connectant en local, et par clefs plutôt que mot de passe, ajout de quelques règles Fail2Ban + quelques scripts/config perso. Je fais confiance à Yunohost pour le reste.

Oui

Je pense que tu as pensé à l’essentiel. Si tu as déjà Yunohost sur un VPS ça devrait le faire. D’ailleurs inversement je serais incapable de le mettre sur un VPS, ça me parait, peut-être à tord, plus compliqué que de l’avoir chez soi.

crustyourmind · December 5, 2020, 11:24am

Merci pour ta réponse précise et claire
section / serveur de mail
Idem avec un VPS, mail-tester me donne 10/10 par contre j’ai dû faire quelques démarches comme toi afin de ne pas tomber dans les spams. A cause du pouvoir de GAFAMS… Ensuite, je pars du principe que si qq contacts hotmails me mettent en spams, la problématique est plus de leur coté pas du mien. Mais j’avoue que c’est regrettable quand meme.

Histoire d’inscrire le serveur dans le réseau local ou dans un réseau parallèle
Je vais faire au plus simple. Dans le même réseau. Au pire, je modifierai par la suite. Mais je pense que c’est peut être se prendre la tête pour rien.

Pour le débloquer le SMTP
Pas de soucis, c’est via le panel du compte utilisateur de free.

Pour DMZ / NAT
Nickel ton explication, j’ai compris la nuance. Je m’étais emmelé les pinceaux car dans la doc de yunohost , il est dit d’ouvrir les ports ET de passer en DMZ. Mais c’est soit l’un ou l’autre
https://yunohost.org/#/isp_free

Pour la sécurité
Si ça ne se joue qu’au niveau du serveur yunohost. Pas de soucis, c’est comme pour le VPS alors. Idem fail2ban et qq scripts pour prévenir d’une connexion au serveur SSH

D’ailleurs inversement je serais incapable de le mettre sur un VPS, ça me parait, peut-être à tord, plus compliqué que de l’avoir chez soi.

N’hésite pas si besoin. Perso, chez OVH. Très simple. J’avais choisi cette solution car en ADSL donc débit médiocre. Maintenant avec la fibre, je vais tenter de tout faire depuis chez moi.
Lors de l’installation , tu choisis le SE que tu souhaites (ici debian buster), puis connexion SSH et install de yunohost. Et ensuite ce doit être comme en local. Et en plus tout est très bien indiqué dans la doc de yunohost même le passage en ipv6 et le reverse-DNS.

Je reçois la carte dans la semaine, la microSD est déjà prête. Je testerai avec un nom de domaine de test pendant un mois et si tout roule, je transférerai le VPS vers ce serveur.

Reste à voir si ce qui arrivent aux mails en cas de coupure de courant. Je pense que si ça n’excede pas un certain temps, ils seront représentés au serveur régulièrement.

En tout cas, un grand merci d’avoir pris le temps de me lire et de me répondre.
Bon week end
Thx

system · December 20, 2020, 11:24am

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.