Comment s'auto-héberger "facilement" en recyclant une ancienne minimachine

J’ai justement installé sur un T610 et c’est plutôt le manque de gestion de l’EAS qui me posait problème (VPN très lent).
Je viens de prendre un Fujitsu Futro s720 (38€sur eBay) sous AMD GX-217ga qui est un poil plus puissant (~50%) et gère l’EAS. Je vais y migrer mon yunohost et conserver le T610 pour pihole.
J’ai constaté que le package Pihole foutait une merde noir dans les fichiers de dnsmasq donc je vais séparer ces services.

Énorme, je suis aussi tombé sur ce Fujitsu durant mes recherches (si je ne me trompe pas).

Mais dis-moi, pourrais-tu m’expliquer (en vulgarisant stp car je suis débutant sur Pi-Hole et les DNS) ce qui ne va pas sur Pi-Hole version Yunohost, comparé à la version officielle ?

J’ai l’intention d’installer l’application et j’aimerais apprendre un peu. Tu sais d’ailleurs si DNSSEC est implémenté sur pi-Hole ou bien il faut bricoler un peu ? merci

@prog-amateur Pour ce que j’en ai vu, PiHole modifie /etc/dnsmasq.conf ce qui fait que YunoHost ne touche plu à ce fichier même s’il doit être mis à jour pour X ou Y raison à l’avenir pour le bon fonctionnement de YunoHost.

Il a également retouché les fichiers de configuration des domaines que j’avais activés en remplacent mon IP publique par le localhost.

Bref, j’ai globalement l’impression que ça fonctionne moins bien depuis que j’ai installé PiHole sur mon YunoHost :confused:
Avant ça, j’utilisait le t610 sous CentOS avec PiHole, un serveur Mumble en babyphone et OpenVPN qui ramé (j’ai découvert par la suite que le proc n’avait pas les accélérations matériels pour le chiffrement…) mais globalement, ça fonctionnait bien mieux.

La version de PiHole packagé pour YunoHost gère DNSSEC.

Le plus gros problème je trouve, comme dis plus haut, le manque de mise à jour, la 5.9 beta commence alors que l’on est en 3.3.1 sur YunoHost, ça fait potentiellement un paqué de fixs de sécurités qui ne sont pas implémentés.

1 « J'aime »

Merci pour toutes ces précisions !
J’ai regardé la liste des bugs sur le github yunohost/pi-hole, et si j’ai bien compris, l’équipe Yunohost ne compte plus upgrader Pi-Hole après la version 3.3.31.
En effet, depuis la version d’après :

  • l’équipe officielle de Pi-Hole utilise sa propre version de dnsmasq
  • tandis que la version de Yunohost utilise la version dnsmasq mise à jour par Debian (Ndlr : ce qui expliquerait les conflits que tu rencontres depuis cette version ?)

Le développeur principal qui maintient Pi-Hole sur Yunohost assure qu’il ne peut pas avoir de problème de sécurité car :

  • seule la partie dnsmasq est à maintenir au niveau mise-à-jour de sécurité (Ndlr : or dnsmasq sur Pi-Hole est maintenu par Debian, ce qui est en général gage de qualité)
  • le reste de Pi-Hole fonctionne en local et donc ne risquerait rien

Et dans le Readme français, il y a mentionné :

Limitations

  • Activer DHCP avec Pi-hole nécessite une configuration manuelle de votre routeur.
  • Pi-Hole ne peut pas être mis à jour au-delà de la version 3.3.1, car les versions supérieures utilisent une version intégrée de dnsmasq. Ce qui oblige a désactiver la version de dnsmasq utilisée par YunoHost.

Bien sûr, c’est ma compréhension de ce qui a été dit, à confirmer si j’ai bien compris, et surtout si le développeur principal chez Yunohost a évalué correctement tous les risques possibles (j’ai personnellement pour habitude de dire qu’il faut rarement garder une appli non mise à jour).

C’est effectivement tout ce que j’ai lu au sujet de PiHole sur YunoHost.

J’ai également AdGuard dans le collimateur, il n’existe pas encore sous Yunohost (du moins, portage en cours) et une rapide recherche semble dire qu’il est aussi bien si ce n’est mieux :
AdGuard Home à la place de Pi-hole (cachem.fr)
je le testerais quand mon S720 arrivera.

Merci pour l’article, je l’ai lu ainsi que les commentaires : y a des pro Pi-Hole et des pro AdGuard on dirait ^^
En tout cas, je suis content que l’équipe de Yunohost se penche sur AdGuard, l’idéal étant toujours d’avoir le choix.

Et puis, le fait que l’approche d’AdGuard soit un peu différente que celle de Pi-Hole rend les choses plus intéressantes et permet de faciliter le choix.

Apres quelques temps sous AdGuard, j’ai finalement réinstallé Pi-hole sur le T610. L’interface est certes désuète mais le fait d’avoir une appli android pour monitorer est un plus, ça et le fait de pouvoir trouver les requetés d’un périphérique en un clic plutôt que de devoir filtrer les logs (sous AdGuard).
Après, j’ai utilisé deux SSD donc j’ai toujours l’install de AdGuard dispo en un swap de disque si je veux re-tester.

1 « J'aime »

Dis moi Luz, j’ai ouvert un ticket sur Yunohost concernant mon installation. J’aimerais un avis sur la cohésion DNS avec mon ensemble d’applications. Pour l’instant j’ai pas reçu de réponse concrète à ma question (une personne a contourné ce souci, mais je ne peux pas me permettre de faire comme elle) :

  • Yunohost est installé à distance (pas chez moi), et j’y ai configuré un reverse DNS (via la freebox à laquelle il est connecté).
  • J’aimerais utiliser pi-Hole à distance (pas en local), et la doc pi-Hole propose d’utiliser wireguard pour cela.
  • Enfin, j’aimerais utiliser un recursive DNS afin d’améliorer la sécurité/confidentialité du serveur et la doc pi-Hole propose de mettre en place unbound pour cela. A noter que unbound s’installe via Debian, mais il n’existe pas d’app officielle Yunohost (on trouve un brouillon sur la liste des app souhaitées, mais il date de 3 ans).

Je recopie donc ma question ici vu que tu as l’air de gérer les DNS :

  1. Cette config (reverse DNS Freebox + pi-Hole en mode recursive DNS + Wireguard) ne risque-t-elle pas de générer des conflits sur mon serveur (le fait d’avoir configuré un reverse DNS via la freebox, etc.) ?

  2. Aurais-tu des idées de bonnes pratiques (ordre d’installation pour chaque app, ou bien une option à utiliser/ne surtout pas utiliser, etc.) pour éviter une erreur ?

Merci beaucoup !

PS : je ne sais pas si tu as lu mais si j’ai bien compris les dév qui adaptent pi-Hole sur Yunohost essayent de régler le souci de dnsmasq j’espère que ça te plaira.

Pour ce que j’en ai testé, j’ai constaté que le Recursive DNS ajoute une méchante latence voir des timeout (je dois confirmer que ça vient bien de là toute fois).

N’ayant pas de freebox, je vois pas ce qui est configuré dans le reverse DNS, il y a une redirection vers une IP interne avec tout les ports ou il faut configurer le NAT aussi ?
En théorie, ça doit fonctionner comme ça, le VPN ajoute une couche de sécurité et permet de ne pas avoir tout l’internet qui peu se connecter sur ton Pi-hole.

Si je devais donner un ordre, ce serait reverse DNS, wireguard fonctionnel, pi-hole fonctionnel et unbound en dernier.

Ca me fait quand même tiquer d’utiliser un VPN sur chaque machine à la maison pour taper sur le DNS de pi-hole à distance. Ce serait tellement plus simple d’avoir un deuxième pi-hole à la maison (sous raspberry pour limiter les couts).

Je ne sais pas exactement comment c’est géré dans les détails, mais en gros t’as juste à donner ton nom de domaine dans les paramètres de la freebox et cliquer sur le bouton d’activation du recursive DNS. Pas de bidouillage manuel de NAT.

Oui, je suis d’accord, en fait c’est entre autres pour le côté apprentissage que je fais ça. J’ai pas l’intention d’y connecter beaucoup de machines dessus (quoique, si ça marche bien, pourquoi pas), et donc pour une ou deux machines par exemple, ça ne me dérange pas trop.

Sauf erreur, le fait de mettre en place le VPN implique que tout le trafic de la machine va passer par le VPN, pas que les requêtes DNS.

Oui c’est ce que j’ai aussi compris. Dis-moi si ça pose problème (si ça se trouve j’ai pas bien compris ta remarque).

Mon idée, c’est par exemple de prendre mon smartphone 4G dehors, le connecter via wireguard sur mon serveur distant afin qu’il passe par pi-Hole pour le DNS (comme ça pas de pub, et les requêtes DNS ne passent pas par Free). Pour moi, c’est pas grave si tout mon trafic passe par le VPN sachant que le serveur m’appartient (c’est pas comme si je passais par un serveur tiers). Du coup le circuit serait :

Smartphone qui veut aller sur domaine.com > Wireguard VPN > Serveur > DNS récursif via pi-Hole > domaine.com

C’est pas bon ?

Je corrige un peu :
Smartphone qui veut aller sur domaine.com et est déjà connecté au serveur yunohost distant via Wireguard > requête vers pi-hole > DNS récursif (unbound) > pi-hole > domaine.com depuis l’IP du serveur Yunohost, ce dernier étant serveur de VPN.

Il faudra configurer l’adresse du DNS directement sous android. Le truc, c’est que si un seul maillon de la chaine tombe en panne, plu d’internet sur le téléphone.

Bonjour
Je souhaite installer 2 ou 3 petits serveurs chez moi, je viens de lire cet article, et, pas de Shuttle XS35V4 sur ebay (uniquement un v3 à 85€) ni sur LBC (que des V2 avec des atom)
J’ai quelques vieux PC mais ce sont des intel C2D dans de grosses boites, avec de grosses alim, donc hors sujets.
Il y a la solution Pi, mais il faut les boitiers, les alim …
Des mini PC dans lesquels changer les HD et la mémoire m’intéressent plus.
Mais que choisir en occasion / très bon plan ?

Merci

1 « J'aime »

Bonjour Emmanuel, c’est pas toujours évident de réunir tous les critères que l’on veut dans le marché d’occasion. En revanche, ce qui est bien est qu’on y trouve de tout en terme de prix.
J’ai en ma possession un Asus VivoPC vc62b-b002 qui m’a servi de NAS Nextcloud en RAID1 fut une époque, il a 3 points inférieurs au Shuttle XS35V4 :

  • il tourne à 1,4GHz (contre 2-2,4GHz pour le J1900 du Shuttle)
  • de souvenir, il n’est pas fanless (mais le ventilateur est quasi inaudible)
  • il consomme légèrement plus (15W contre 10W pour le Shuttle XS35V4)

Après, il a des avantages indéniables :

  • il a 2 baies 2,5 pouces très facilement installables
  • cause du premier point : l’accès aux composants est facilité par ASUS via le toit coulissant
  • une connectique assez riche (4 USB 3, 2 USB 2, 1 RJ45 Gigabit, 1 HDMI, 1 Display Port
  • une connexion sans fil Wifi 802.11a/b/g/n/ac pour une installation sans câble ethernet.

Sachant qu’un foudre de guerre n’est pas nécessaire pour faire tourner des OS comme Yunohost ou Nextcloud, etc. Si tu n’as pas besoin de VM ou de truc hyper complexe, il peut faire l’affaire. Je l’ai en barbone sans mémoire (quoique faudrait que je vérifie y a peut-être 4GB avec)/ ni disque pour 40€ si ça te dit, c’est pas cher, pour 1 appareil acheté, 1 appareil acheté lol.

Si celui ne te dis pas, faudrait que tu me donnes tes critères rédhibitoires/obligatoires/budget pour que je cerne mieux tes idées. Passe une bonne soirée.

Merci de la proposition
J’ai trouvé des Futro S720 à 40€ sur ebay, ainsi que sur LBC, je vais voir tout ça.
Je suis en train d’essayer de faire la liste des besoins.
Il y a à la fois du perso et du pro (pour la TPE de ma femme)
Perso : serveur de fichiers pour du stockage / échanges de fichiers => NAS
Pro : serveur de fichiers en stockage, serveur de sauvegardes de 2 postes + 1
Pro : serveur de messagerie, avec la possibilité e travailler à 2 sur les mails reçus, avec indication du traitement par la seconde personne : si A ouvre le mail et le traite B doit pouvoir savoir que le mail est traité ; si A ouvre le mail et ne le traite pas B doit pouvoir savoir que le mail a été lu et non traité ; si A ouvre le mail et traite une partie du mail, B doit pouvoir le voir …
Nous travaillons avec Thunderbird et utilisons les étiquettes pour indiquer l’état du mail. Ill faut la même chose, mais sur un serveur en local (les mails sont chez OVH qui sont passés sur les outils MS :frowning:
donc je verrais bien 3 serveurs … avec, pourquoi pas des sauvegardes croisées entre pro/perso ainsi que sur des disques externes, et le Pro doit aussi être sauvegardé sur le cloud.
Pas d’accès depuis l’extérieur aux données stockées elles sont à usage interne. Acccès au net par ADSL (sosh), la fibre serait prévue dans la rue au premier semestre 2023.
Voici pour l’instant les infos en ma possession.

a bientôt

Cool ! Ton choix m’a rappelé le topic de Luz qui a mis Yunohost sur un S720, n’hésite pas à prendre des infos si tu en as besoin.

Ça ne te fait pas peur de gérer un auto-hébergement pro ? Ce n’est pas un jugement (j’encourage l’auto-hébergement d’ailleurs), juste une simple curiosité. Merci

Je n’ai pas spécialement envie de gérer l’hébergement pro, mais j’ai des données à gérer => NAS
et j’ai une problématique de mail professionnels à gérer.
Pour l’instant je pense laisser les mails gérés par OVH, mais les rapatrier à la maison /bureau, et de travailler sur la copie.
Actuellement les mails sont en pop, donc ne sont pas stockés chez OVH au delà de 7 jours.
Il faut avouer que lors du passage sur outlook server, OVH a effacé tous les tags des mails, et a mélangé les dossiers et sous dossiers (et en a effacé quelques uns : j’ai quasi 1 semaine de mails envoyés avec une adresse qui ont disparu, ainsi que quelques très vieux mails).
Pas trop grave dans l’absolu sauf que nous traitons la facturation d’infirmières, c’est à dire que nous recevons, chaque mois, quelques milliers de mails que nous taggons et rangeons dans des dossiers et sous dossiers par cabinets et par infirmières en fonction de l’avancement du traitement du mail.
La réponse du support a été “c’est pas nous” puis “c’est pas notre faute” puis “c’est pas comme ça qu’il faut travailler”, il y a aussi eu “mais c’est pas normal de recevoir autant de mail” ou “pourquoi vous ne travaillez pas en webmail” …
Mais ce sera l’étape suivante. Pour l’instant j’ai un poêle à bois hydro à installer et à raccorder à mes murs chauffants, et je ne suis pas chauffagiste, j’apprends … il me manque encore des pièces à commander, dont la vanne de sécurité surchauffe.
Alors les serveurs de données vont devoir patienter jusque demain soir.
Il faut que je vérifie bien les possibilités mais je vais peut être te prendre ton Asus, afin de piloter un partage de données professionnel.
Mais j’hésite encore un peu, il faut que je regarde ce que j’ai comme disques durs récents (il me semble en avoir achetés cet été mais impossible de remettre la main dessus, j’ai du trop bien les ranger.

Le défaut du Futro c’est sa puissance : apparemment c’est quasi 50% du Celeron J1900 du shuttle !
Il y a pas mal de boitiers avec des atom à vendre, mais là dans ce cas c’est la connectique qui pêche, et les possibilités d’évolutions, la plupart semblent non évoluables !

Merci pour le lien vers l’article sur le S720, ça semble de bonnes machines.
Il me faut prendre le temps de bien réfléchir à mes besoins, au budget nécessaire, et, surtout au temps nécessaire, parce qu’il ne faut pas oublier qu’une journée c’est uniquement 24h, pas une de plus :disappointed_relieved:

Ah oui donc c’est quand même du sérieux ton hébergement avec les infirmières, une responsabilité à honorer au mieux.

Pour rappel, le Celeron 2957U de mon Asus a un CPU fait du 1,4GHz (contre 2GHz - 2,4GHz pour le J1900 du Shuttle). Normalement c’est suffisant pour du mail ou autres applications nécessitant peu de ressources, mais pas pour un truc bien costaud comme des machines virtuelles, etc.

Prends bien le temps de réfléchir au paramètres qui te semblent les plus importants, comme ça à tête reposée, pas de regret. J’admire ton courage de raccorder le chauffage chez toi, c’est un truc que je n’oserais probablement pas faire.

Le chauffage, c’est comme l’électricité, c’est très logique.
Autant paramétrer une chaudière je ne saurais pas, autant la brancher est faisable, il faut respecter les conseils du fabricant, sans oublier de vérifier leur logique (parfois des plans peuvent avoir des parties modifiées lors des traduction s qui parfois peuvent donner des choses de ce type : polonais => allemand => anglais => français).
Et puis, le chauffage, et le bâtiment en général, c’est comme l’informatique, il y a un tas de forum d’entraide :wink: