Catégorie : Non classé

Voici la liste des compétences acquises durant ce cheminement de projet.

• OS Rocky Linux 10.x
  • Grosse remise à jour n’ayant plus touché à Linux de plus de 25 ans.
• Hyperviseur ProxMox 9.1.1 (Cluster/Noeuds)
• Routeur/Firewall pfSense en VM
• Nginx Reverse Proxy
• Let’s Encrypt /SSL/HTTPS
• Starlink
  • Installation
  • Configuration
  • Mise en place d’un bypass de leurs CGNAT (Partage d’IP Publique IPV4 et double NAT non configurable, dans les abonnements pour particuliers)
• Le Tunneling WireGuard
• Pangolin (Wireguard entre VPS et pfSense)
• Hotstinger pour la gestion/configuration du nom de domaine.
• Racknerd pour la location et la mise en place d’VPS
• Serveur LAMP
  • Serveur Apache
  • PHP
  • Maria DB
• CMS WordPress
• Méthode Scrum

En cours d’étude:

• Mise en place d’un CI/CD avec GITLab/GITHub
• Jenkins
• Maven
• SonarQube
• Slack
• Docker/Kubernetes

Et bien d’autres à suivre suivant les besoins …

Bonne lecture …

Ce blog est dédié à un nouveau souffle, un nouveau chemin à parcourir … La vie ayant pris le pas sur les passions, le NOUS ayant pris l’ascendant sur le JE … durant ces belles années auprès de ma femme, Aude, d’abord et mes filles ensuite, Jade et Luna … Comme beaucoup de parents j’ai laissé au vestiaire le rêveur qui sommeil en chacun de nous …

Au profit des plaisirs de la famille … Mettant toutes nos priorités sur la stabilité, la disponibilité et la santé surtout …

Mais … Le jour ou le temps libre … Les silences … L’ennuis parfois refont surface …

Et c’était là à l’aube de mes 46 ans … que je me suis rappelé qu’une petite flamme intérieur était toujours bien présente …

N’attendant, tel Calcifer, création de notre cher Miyazaki, que de quoi la raviver… pour faire bouger ce château ambulant qu’est devenu ma personne durant toutes ces années d’expériences …

Faites de victoire souvent … De longs combats parfois … Et malheureusement de défaites aussi …

Mais l’important est qu’un genoux à terre ne doit servir qu’à y prendre appuis pour se relever …

Toutes ces belles paroles pour en arrive à un mot …

JE

Me voilà donc à ce qui vous amène sur ce blog … le JE …

J’ai décidé qu’il était temps d’allier travail et plaisir…

Plaisir de créer, d’apprendre, d’innover, d’inventer …

Retourner vers les chemins qui ont vus fouler mes premiers pas … Ont titillés dès mon plus jeune âge mon intérêt, mon attention …

L’informatique, la programmation, les réseaux de communications numérique et bien d’autres choses qui ne sont pas le sujet actuellement …

J’ai donc décidé de reprendre la route ou je l’avais laissée … Celle qui m’a poussé à faire mes études en Informatique Industrielle avec spécialisation en réseaux et télécoms …

La ou j’ai du allier Informatique , Réseaux, Électronique, Mathématiques, Robotique …

Je reprend donc mon bâton de pèlerin pour continuer enfin ce long voyage qui je l’espère se fera bientôt à vos cotés …

Avant même tout apprentissage ou toute remise à niveau de mes connaissances, j’estimais que le sujet était de reprendre la main sur ma connexion avec le World Wide Web …

Ayant une connexion chez Proximus, avec comme modem une Internet Box et son interface de contrôle partiel via un cloud … Quand il veut bien être accessible …

J’ai fait le choix de partir sur une reprise en main du réseau WAN via un Firewall Draytek Vigor 2862 et une connexion ethernet. Ce qui me permet d’utiliser cette IP publique comme bon me semble et ce sans être dépendant d’un cloud parfois capricieux.

Il permet non seulement une connexion WAN mais c’est une des seule marque avec Fritzbox à proposer un support de la technologie Vdsl2 Vectoring mis en place par Proximus.

L’Internet Box étant plus stable d’un point de vue connexion, après expérimentation … J’ai donc fait le choix d’une connexion via le port WAN.

Ayant baigné depuis toujours dans l’univers de Microsoft et maîtrisant suffisamment celui ci … Il était temps à mes yeux de passer le cap et de visiter d’autres contrées surtout qu’en matière de développement et de gestion réseau, le choix s’imposait à moi … Toutes voiles vers Linux … Ma sélection c’est très vite portée sur la team Red Hat et plus particulièrement la distribution Rocky Linux dans sa version 10.0 et le temps de reprendre la main 10.1 … Choix fait pour sa popularité, sa stabilité et son support sur le long terme …

Le temps du choix matériel était venu … Dans un soucis éthique et économique j’ai fait le choix de me rééquiper intégralement de matériel venant de chez Oxfam. Je me suis équipé de 3 minis PC HP EliteDesk à CPU Ryzen 5 4 Cores 8 Threads avec support NVME et 16GB de DDR4.

J’ai dédié une première machine pour une installation standalone surnommé Odin multiscreens pour plus d’ efficience … Les 2 autres serveurs allaient devenir les deux nœud de mon cluster « Asgard » … « Thor » et « Loki » tout deux équipés de la toute dernière version de l’Hyperviseur Proxmox.

odin@localhost:~$ Mise en place de la topologie du réseau …

Internet Box Proximus ( La source ):

• LAN « HOME » 192.168.1.X/24 DHCP ON
• ETH 4 – Bridge WAN avec Firewall DrayTek

Firewall DrayTek (Heimdall le gardien) :

• WAN 2 / P 5 <Bridge avec l’Internet Box>
• P1 ,2 ,3 <LAN PHYSIQUE Serveur 1 « Odin » Serveur 2 « Thor » Serveur 3 « Odin » … 192.168.10.X/24 DHCP ON>
  • Bind des adresses MAC avec les IP (DHCP Réservé)pour fixer le tout.
    • Odin – 192.168.10.10
    • Thor – 192.168.10.212
    • Loki – 192.168.10.211
• P4 Lien vers les réseaux des machines virtuelles sous hyperviseur Proxmox.
  • Réseau VM 1 : 192.168.2.X/24 DHCP ON
  • Objectif: Héberger un WordPress de manière sécurisée.

Création d’une VM1 pour y loger un serveur WEB APACHE / PHP.

<192.168.2.10>

Création d’une VM2 pour y installer une base de donnée MariaDB.

<192.168.2.103> Pourquoi ? … Pourquoi pas …

Mise en place sur la VM1 de WordPress avec interconnexion avec la VM2 pour attaquer le DB.

Une fois que le LAMP est en place et fonctionnel en local.

Mise sur réseau HTTP pour commencer avec une nouvelle VM3 qui hébergera le Reverse Proxy Nginx …

<192.168.2.11>

Une fois l’ensemble stable et fonctionnel …

Sécurisation et passage en HTTPS via Let’sEncrypt avec modification manuelle des configurations le port 80 et 443 étant resté volontairement bloqué.

Le port choisi est celui sur lequel vous me lisez … 11443.

Dit … être joignable de l’extérieur … La seul chose non maîtrisée dans mon installation est l’IP WAN ayant une connexion standard je n’ai pas le luxe d’avoir une IP fixe, bien que de nos jours elle reste assez longtemps stable « fixe » …

Mais pour être joignable à tout moment … Mise en place d’un Dynamic Domain Name Server … DDNS pour les intimes …

J’ai opté pour NO-IP pour sa facilité et sa gratuité …

Le lien vers vous était créé …

Sécurisation : HTTPS

Domaine : dreamer79.myddns.me

Port de communication : 11443

https://dreamer79.myddns.me:11443

–=[BIENVENUE]=–

Il est venu le temps d’arrêter d’attendre la fibre. Elle n’arrivera pas là ou je vie à l’orée d’un bois …

J’ai donc décidé de dire adieu à mon fournisseur d’accès Proximus et de toucher du doigt l’avenir déjà présent …

STARLINK l’Internet par satellite …

Le calcul des couts est simple je passe d’une connexion 30M Down/8M Up à 450M Down/ 40 Up … Et plus encore à venir … Pour moins cher …

Après installation faite par mes soins sur mon toit. Un problème ce pose … Malgré le passage du modem Starlink en mode contournement. (Mise en bridge vers un Routeur/Firewall).

L’IP publique est une IP partagée avec un double NAT CGNAT.

Aucun contrôle des ports entrants tout est bloqué.

C’est là que je décide de faire ma petite étude.

Comment contourner un CGNAT et limitant les dépenses.

Après recherche approfondie…

Une solution ultime à mes yeux se dévoile…

La complication pour moi a des objectifs bien précis.

• Sécurité
• Fiabilité
• Faible cout
• Contrôle … Toujours …

Alors pour arriver à mes fins je devais remettre en question mon setup de Home Lab … Voici une vision simplifiée … La partie Home sera éventuellement développée plus tard.

La manœuvre est assez simple …

Je garde intégralement mon cluster Proxmox et je viens intégrer une VM pfSense dans le nœud Thor.

Il aura 3 interfaces physiques.

LAN 1, LAN 2 et WAN 1 …

J’ai fait le choix d’installer 2 convertisseurs USB 3 vers ETH 1G TP-Link pour porter à 3 mes ports Ethernet afin d’avoir un lien physique et propre pour chacune des interfaces.

LAN 3 sera pour l’instant virtuel et interne au nœud Thor ce qui ne l’empêche en rien, évidement, de transiter par les autres interfaces un routing natif étant présent sur l’ensemble des interfaces.

Pourquoi changer … Simplement avoir l’opportunité d’ajouter une pièce majeure au puzzle. WireGuard.

ChatGPT résume moi ce qu’est WireGuard …

……………………………..

WireGuard est un protocole VPN (réseau privé virtuel) moderne, open source, reconnu pour sa simplicité, sa vitesse et sa sécurité avancée. 

Voici ses caractéristiques principales en quelques mots :

• Légèreté : Il possède une base de code très réduite (environ 4 000 lignes de code), ce qui le rend plus facile à auditer, à maintenir et moins vulnérable aux failles de sécurité que les protocoles plus anciens comme OpenVPN ou IPsec.
• Performance : Conçu pour être extrêmement rapide, il offre des temps de connexion très courts et un débit supérieur grâce à l’utilisation de méthodes cryptographiques de pointe et au protocole UDP.
• Simplicité : Son architecture est plus simple et utilise un système de clés publiques/privées similaire à SSH, ce qui simplifie grandement sa configuration et son déploiement.
• Intégration : Il est intégré directement dans le noyau Linux depuis 2020 et est désormais disponible sur toutes les principales plateformes (Windows, macOS, Android, iOS). 

En résumé, WireGuard est une solution de tunneling réseau efficace qui privilégie la modernité et la performance tout en maintenant un haut niveau de sécurité. Vous pouvez trouver plus d’informations sur le site officiel de WireGuard. 

……………………………………..

Merci ChatGPT …

Une fois la configuration de mes 4 premières interfaces faites …

WAN, LAN 1, LAN 2, LAN 3 …

Prochaine étape … Une IP publique intelligemment acquise …

Comment obtenir une IP publique digne de ce nom en faisant disparaitre le DDNS NO-IP mis en place et obsolète n’ayant plus d’IP WAN propre avec Starlink …

Location à l’année d’un VPS (Serveur Cloud) avec IP publique fixe offerte pour l’atteindre …

Mon choix c’est porté dans un soucis de compatibilité, en profitant du Black Friday à rallonge vers …

Distribution idéale pour ce qui sera implémenté par la suite …

Ubuntu dernière version.

18,66$ / An et me voilà virtuellement propriétaire un VPS à New York.

En quelques secondes un serveur près avec IP de test …

Et 5 minutes plus tard le saint graal était là …

Mon IP fixe ….

Alors c’est bien beau d’avoir un serveur avec une IP fixe mais pour quel usage …

Avant la réponse … Surprise …

Fini https://dreamer79.myddns.me:11443 …

Bienvenue à https://www.dreamerakloco.be

Création du nom de domaine sur Hostinger …

Prix … 8,46€ à l’année …

C’est une surprise mais surtout une nécessité …

Je configure immédiatement ce beau nom de domaine pour pointer vers mon IP Publique … 107.173.89.143

Tiens pourquoi donc il y a cette ligne … pangolin …

Non pas celui qui a fait des choses innommables avec les chauves-souris à Wuhan …

Celui ci …

Bon, c’est pas bien, mais il résume mieux que moi …

ChatGPT à quoi sert Pangolin ??? …

Dans le domaine informatique, Pangolin fait généralement référence à un logiciel open source de proxy inverse tunnelisé et sécurisé. Il est conçu pour exposer et protéger des applications hébergées sur des réseaux privés, même derrière des pares-feux restrictifs, sans nécessiter l’ouverture de ports ou l’utilisation d’un VPN traditionnel. 

Voici une synthèse de ses caractéristiques principales :

• Accès sécurisé : Pangolin agit comme une plateforme d’accès sécurisé qui établit des tunnels chiffrés (via WireGuard) entre les réseaux isolés et un point d’entrée centralisé.
• Contrôle d’accès conscient de l’identité : Il intègre des contrôles d’accès basés sur l’identité et le contexte (Identity and Context Aware Access Control), permettant de définir des règles d’authentification (comme l’authentification unique – SSO) pour chaque demande d’accès aux applications.
• Simplification réseau : Il simplifie la gestion des réseaux en acheminant le trafic vers les services internes de manière sécurisée et centralisée, évitant ainsi les configurations complexes de pare-feux et les adresses IP publiques dédiées.
• Haute disponibilité et performance : L’architecture de Pangolin permet le déploiement de nœuds stratégiquement situés pour assurer une haute disponibilité et des performances optimales pour les utilisateurs finaux.
• Polyvalence : Le logiciel est utilisé pour exposer des services auto-hébergés, des appareils IoT (Internet des objets), ou des applications internes au réseau, le tout via une interface de gestion unifiée. 

En résumé, Pangolin est une solution de sécurité et de réseau moderne qui offre une alternative simplifiée et robuste aux VPN et aux configurations complexes de ports, en se concentrant sur un accès sécurisé et centralisé aux applications distribuées.

Et voilà le pourquoi je veux l’utiliser … Non pas pour son Proxy Inversé … J’ai de quoi faire avec Nginx, je tiens à garder les mains dans le cambouis, je ne veux pas simplifier à ce point mon setup.

Je le voulais pourquoi ?

• Sa gratuité
• Son contrôle d’accès si je le souhaite en quelques cliques.
• Mais surtout l’utilisation de WireGuard.

Les 4 éléments étaient là … Il me restait à lier tout cas …

Nom de domaine vers serveur VPS … Check

Etape suivante … Création d’une instance Pangolin sur le VPS.

Accès au VPS en SSH … Et c’est parti …

Putty est mon amie …

curl -fsSL https://pangolin.net/get-installer.sh | bash

sudo ./installer

• Base Domain: dreameakloco.be
• Dashboard Domain: pangolin.dreamerakloco.be
• Let’s Encrypt Email: Pour la certification Let’s Encrypt j’utilise mon email dreamerakloco@gmail.com … Elle existe depuis la création de gmail … je vous expliquerait un peu le pseudo plus tard …
• Tunneling:Ohhhh YES …

et voilà …

nom de domaine >>VPS>>Pangolin … A nous WireGuard pour le chainon manquant …

Création du tunnel WireGuard pour la configuration pfsense.

Non ca n’est pas la vraie évidement 😛

Une fois crée je reprend la configuration et je la met bien de coté parce que c’est la dernière fois qu’elle sera affichée …

C’est parti pour la config pfSense …

Création du tunnel …

Pangolin à l’air d’apprécier …

Création du Peer pour NGINX sous pfSense …

Création de la ressource sur Pangolin …

Résultat un tunnel fonctionnel vers Nginx …

Création d’une nouvelle interface pour faire du NAT du vrai …

Et enfin redirection vers la VM NGINX …

Reconfiguration de la DB wordpressdb sur la VM MariaDB …

‘siteurl’ > « https://www.dreamerakloco.be »

‘home’ > « https://www.dreamerakloco.be »

Reconfiguration du fichier wp-config.php

define( 'WP_SITEURL', 'https://www.dreamerakloco.be' );
define( 'WP_HOME', 'https://www.dreamerakloco.be' );

Et voilà …

Cette fois ci c’est la bonne …

Bienvenue sur www.dreamerakloco.be

pour dreamer, c’est pas trop compliqué … j’ai passé ma vie depuis ma plus tendre enfance à rêver, la tête dans les étoiles, les doigts sur des claviers …

MSX

Amstrad CPC 464

Commodor 64

Atari 1040ST

et enfin PC du 286 à nos jours …

Tout çà donne un coup de vieux mais j’ai commencé très jeune …

FAN de l’œuvre du défunt David Bowie et de sa chanson qui me correspondait bien The Dreamers.

et d’un autre artiste parti récemment Ozzy Osbourne et sa chanson Dreamer …

Une partie de mon pseudo de toujours était née … DrE@MeR

AK pour Akinésie …

Et Loco ???? … Tout rêveur se doit d’avoir un grain de folie … Ou un sachet complet tout dépend du référentiel …

Lo > Laurent

Co>Colmant

Enfin … Pourquoi ne pas avoir mis mon cher Ozzy en évidence …

Parceque David Bowie … DB … DataBase 😉

CQFD