Un peu novice en réseautage et en bricolage à la maison en général, alors soyez indulgents, mais je cherche à pouvoir accéder à mon serveur ESXi de n’importe où, sauf dans ma vraie maison, mais je suis curieux de savoir comment faire cela en toute sécurité.
En ce moment, j’ai configuré un Raspberry Pi en tant que VPN Wireguard avec un domaine FreeDNS, et de là je mets simplement l’IP du serveur. Est-ce une bonne solution ?
De plus, je souhaite héberger un ou deux serveurs de jeux et une solution de « stockage cloud » pour moi-même - quelle serait la meilleure façon de rendre ces accès possibles depuis Internet ? Redirection de port pour le serveur de jeux, VPN pour le serveur de fichiers ?
C’est potentiellement plus sûr. Je n’utiliserais cependant que des protocoles sécurisés et cryptés comme SSH et SFTP pour communiquer avec les serveurs, avec des clés au lieu de mots de passe, interdisez la connexion root, et utilisez des mots de passe locaux solides pour l’utilisateur/root. La sécurité concerne plusieurs couches. Idéalement, vous voudriez aussi limiter l’accès à l’interface de gestion réelle à un VLAN inaccessible même via le VPN, mais je ne connais pas votre cas d’utilisation. Donc pour le stockage “cloud”, exposez uniquement le port https sur le VLAN accessible depuis Internet via votre VPN si vous n’avez pas besoin d’accéder au port SSH de votre serveur depuis l’extérieur. Si oui, c’est acceptable de l’exposer aussi, mais sachez que vous vous exposez à des risques supplémentaires.
Pour le serveur de jeux, mettez-le sur son propre VLAN, sans accès à autre chose sur votre réseau, faites une redirection de ports depuis Internet, et ajoutez une règle pour que seul votre PC de jeu communique avec ce port depuis son VLAN. Ou placez-le dans ce même VLAN s’il s’agit d’une machine de jeu dédiée.
Le VPN Wireguard est un bon choix. J’aime aussi utiliser Zerotier ou Tailscale.
Regardez Tailscale !
Oui, un VPN serait une solution très sûre et simple.
Vous avez principalement 3 solutions, la première serait d’ouvrir les ports 80 et 443 et d’utiliser un reverse proxy, les services TCP ne fonctionneraient pas, selon l’application de reverse proxy que vous utilisez.
Ensuite, le tunneling, c’est comme avoir un VPN personnel, il faut trouver un service comme Cloudflare qui peut le faire, Cloudflare est sympa mais limité car il faut un DNS chez eux, et le tunnel gratuit est limité à http et https sans utiliser une appli, pour TCP il faut installer une appli sur le client, ce qui reste limité.
Zerotier est une autre solution, différente d’un VPN, mais très similaire. Avec un VPN, il faut un hôte, avec Zerotier c’est comme un LAN virtuel où tous les composants partagent l’information avec n’importe quel client. Mais il faut toujours une application cliente.
Si vous cherchez une solution sans application côté client, la meilleure est le reverse proxy sur votre serveur, avec peut-être le proxy Cloudflare pour protéger votre IP, mais seulement pour les services http et https.
Actuellement, je rencontre des difficultés pour configurer un serveur Minecraft pour moi et quelques amis, je ne peux pas utiliser nginx proxy manager car il ne supporte pas TCP, je pense que je vais devoir utiliser Traefik, mais c’est encore difficile et long à mettre en place, et mon IP serait exposée parce que Cloudflare ne propose pas le proxy gratuitement pour TCP, il faut payer pour ça. Donc, pour l’instant, j’essaie juste d’ouvrir des ports et de définir un DNS vers mon IP. Toujours des problèmes, car mon FAI limite les ports que je peux ouvrir.
Ah, il y a aussi la quatrième option, ouvrir simplement les ports dont vous avez besoin. Mais ce n’est pas une bonne solution pour la sécurité.
Edit : au cas où vous ne le sauriez pas. La plupart des services web comme Nextcloud, etc., fonctionnent via http ou https. Les services comme les serveurs de jeux n’utilisent pas ces protocoles, ils ont juste besoin que leurs ports soient ouverts pour fonctionner, généralement en TCP.
Lisez à ce sujet. Il n’y a pas de chiffrement de bout en bout. La loi est scandaleuse et une catastrophe. La loi sur la sécurité en ligne. Je ne suis pas sûr de son application à l’étranger, cependant. Je pensais que c’était l’une des raisons d’avoir un VPN…
C’est vrai, mais pas si vous demandez 
Je veux dire, si vous ne pouvez pas le dire vous-même, il vaut peut-être mieux ne pas le faire dans tous les cas.
Si vous êtes au Royaume-Uni, les VPN pourraient être soumis à de nouvelles restrictions gouvernementales.
Modifié pour correction.
Je n’ai pas de switch administré pour le moment, je ne connais donc pas toutes les solutions pour créer un VLAN, mais cela faisait partie de mon projet.
La configuration actuelle qui permet de se connecter à mon serveur est la suivante : au niveau du modem, il y a un petit Linksys GS108 qui relie des câbles à tous les rooms de l’appartement + le Pi. Un eero principal est connecté sur l’autre port du modem.
La pièce où se trouve le serveur a un autre switch 4 ports (je sais, c’est laid mais il y a 1 port pour toute la pièce) qui relie le serveur + un PC personnel et un autre eero.
Selon ce que disent les autres ici, j’ai l’impression que l’utilisation de Tailscale sur le Pi serait vraiment pratique pour que tout le réseau ne soit pas accessible via VPN + si je trouve un switch géré, ce serait utile pour créer un VLAN.
Je vais certainement vérifier ça - ça semble être une solution idéale avec ce que j’ai en ce moment.
Tu suggères que Wireguard n’est pas un chiffrement de bout en bout ?
Note la clause « je suis nouveau dans ce domaine » dans mon message original.
Une bonne façon d’apprendre, à mon expérience, consiste à poser des questions en cours de route et à vérifier son travail. Voici mon travail que je vérifie avec des personnes qui partagent mes idées.
Je suis aux États-Unis, donc cela ne devrait pas poser de problème. Aussi - quoi ? La UK a interdit les VPN ? !
Correction, pas interdit mais voici quelques précisions :
En gros, le plan de la Commission est d’obliger tous les fournisseurs de services de messagerie, chat, et autres à rechercher des messages suspects et à partager tout doute avec la police - en gros, surveiller et scanner toutes les communications, même si les utilisateurs utilisent la technologie de chiffrement - comme un VPN.
Donc, si vous faites quelque chose de mauvais, votre fournisseur de VPN doit maintenant le partager avec les autorités du Royaume-Uni, et toutereveillance détectée.
Les VPN ne sont donc pas aussi sécurisés qu’avant et pourraient être considérés comme illégaux avec cette nouvelle loi aux yeux de la loi. Alors, à quoi sert d’en avoir un ?
Je ne suis pas avocat. J’ai interprété cela ainsi.
Ce n’est que mon avis, alors prenez-le pour ce qu’il vaut, mais je n’utiliserais pas Tailscale. Cela vous coûte de l’argent chaque mois, et vous rend dépendant d’un fournisseur de service externe. Si vous configurez Wireguard vous-même, et apprenez comment cela fonctionne, vous profitez d’une meilleure sécurité gratuitement, puisque vous n’avez pas à vous soucier d’une fuite de clés de Tailscale. Ce n’est pas vraiment beaucoup plus de travail. Une fois configuré sur les appareils que vous souhaitez connecter, vous n’aurez quasiment plus à y toucher, sauf pour ajouter un nouvel appareil de temps en temps.
Vous n’avez PAS BESOIN de VLAN. Je ne les ai pas encore configurés moi-même, bien que je possède le matériel nécessaire. C’est simplement une bonne pratique que je connais dans le cadre de mon travail. C’est certainement meilleur, et c’est intéressant à apprendre. Je recommande de prendre quelques commutateurs gérés bon marché sur AliExpress pour commencer et apprendre.
Je ne suggère rien, peut-être que ces outils sont surveillés. Peut-être que les autorités peuvent parcourir une encryption AES 256 et espionner vos paquets indéfiniment pendant que vous payez votre service sans vous en rendre compte.
Juste pour comprendre cette nouvelle loi, que si je l’ai bien lue, met les utilisateurs finaux dans une situation difficile en ce qui concerne les VPN.
Soyons honnêtes. Il est très facile pour les fournisseurs d’accès internet du Royaume-Uni de bloquer ou de limiter le trafic VPN. Ils pourraient dire que l’Internet est un privilège, pas un droit.
Je dirais que c’est un service comme l’eau ou le gaz. Lisez cette nouvelle loi. Vous pouvez me donner un vote négatif si vous voulez, mais je ne peux pas changer cette situation. Il faut sensibiliser à cette nouvelle loi qui a été adoptée discrètement.
L’industrie pourrait devoir revoir le protocole de tunneling à cause de cette nouvelle loi. Je veux juste rester du bon côté.
D’accord ! Alors : c’est le cas, mais il faut savoir ce que vous faites. Parce que la sécurité n’est pas assurée par défaut et vous pouvez la mettre en place de manière risquée.
Édit : c’est comme dire qu’une voiture équipée d’un airbags est sûre (mais il faut aussi mettre sa ceinture, sinon ce n’est pas sécurisé du tout).