Bonjour

Après plusieurs tests, je ne peux plus avoir confiance en Hubic pour la synchronisation de mes fichiers, en parallèle j’utilisais aussi un compte Dropbox pour l’envoi de mes photos et vidéos depuis mes mobiles (Hubic ne prenant toujours pas en charge l’upload des vidéos).

Deux outils dont un peu fiable et un ou je limite l’usage (condition tarifaire non en adéquation avec mon besoin), ça fait deux outils de trop.

Après avoir mis en place quelques NextCloud en mode Actif/Backup pour mes clients, je décide qu’il est temps de monter la même infrastructure pour mes propres besoins et me passer des principaux acteurs payants du marché.

Ce billet n’as pas pour but de vous donner la procédure d’installation et de configuration de NextCloud (il y a déjà assez de blogs qui le font très bien), mais juste de faire un point sur l’évolution de mon infrastructure.

Donc pour faire court, je suis partie sur deux VM hébergées une à mon domicile en DMZ et une chez OVH (le tout sur deux serveurs Proxmox).

La VM à mon domicile est le serveur NextCloud principal, alors que qui ce trouve chez OVH est en mode backup, la synchronisation ce fait via trois scripts :

  • Le premier est programmé toutes les heures et synchronise les “datas” entre les deux serveurs
  • Le second n’est lancé qu’une fois par jour et permet la synchronisation de la base de données (au final très peu de changements)
  • Le troisième s’exécute une fois par nuit et intégré les données brutes synchronisées dans la base de données du serveur backup

Les deux serveurs sont accessibles via un serveur HAProxy portant le certificat SSL (un article sur ce sujet devrait arriver sous peu). Celui ci est hébergé sur un VPS de chez OVH avec un lien direct OpenVPN vers les deux VM. L’avantage de ce mode d’accès est la bascule rapide sur le second serveur en cas de défaillance du serveur primaire et une gestion simplifié du certificat SSL.

Bonne lecture à tous

 

 

 

Bonjour

Depuis toujours j’utilisais le mail pour faire de l’alerting. J’étais conscient que cela n’était pas efficace mais c’est aussi ce qui est plus natif dans l’ensemble des applications (Supervision, Sauvegardes…)

Après avoir tester pas mal de choses comme le tweet sur un compte privé, j’ai décidé de trouver quelques choses de plus efficaces, je suis tombé sur Slack qui est en premier une plate-forme de communication collaborative mais qui propose pas mal de possibilités.

Slack a l’avantage de pouvoir créer via l’API des Incoming Webhooks dédiés à un channel permettant de catégoriser les messages en fonction de ses propres critères.

Je ne vais pas faire un article technique mais plutôt partager avec vous ma façon de faire et t’intégrer ça dans mon alerting quotidien.

Le lien ci dessus est très bien fait pour la mise en place via un simple script, mais je vous mets la syntaxe de base pour information :

curl -X POST \ --data-urlencode 'payload={"text":"Exemple de notification.\nCeci est un message de test."}' \ https://hooks.slack.com/services/T00000000/B00000000/XXXXXXXXXXXXXXX

Dans mon cas dans un premier temps j’ai décidé de dédier un compte Slack pour l’ensemble de l’alerting réseau avec des channels en fonction de la source de la notification. Dans mon cas et au moment ou je vous écris cet article, mes channels sont les suivants :

  • backup : Regroupant tous les logs de sauvegardes ou plus précisément l’état des sauvergardes pour avoir eu vu synthétique et rapide
  • centreon : avec l’ensemble des notifications de ma plateforme de supervision (voir screenshot ci dessous)
  • opnsense : avec les notifications de mon firewall OPNsense
  • proxmox: avec les messages d’alertes, de sauvegardes de l’ensemble de mes serveurs Proxmox
  • qnap: avec les messages de mon Qnap aussi bien les mises à jour disponibles que les alertes techniques
  • rclone : avec tous les logs d’externalisation des mes données via Rclone actuellement vers un compte Hubic 10To
  • syno: avec les messages de mon Synology aussi bien les mises à jour disponibles que les alertes techniques
  • ubiquiti : avec l’alerting des mes produits Ubiquiti comme les AP ou les caméras
  • uptimerobot : avec les messages de supervision externe envoyés par UptimeRobot

Sur un second compte Slack j’ai actuellement deux channels uniquement :

  • home-irobot : m’indiquant la fin du nettoyage de mon aspirateur IRobot Roomba
  • thorandco-blog : me permettant d’avoir un suivi sur la publication des nouveaux articles de ce blog

Vous allez me dire que tout ca n’est pas possible uniquement avec Slack et vous avez raison, il y a pas mal de chose comme par exemple mon firewall ou l’aspirateur qu’on en peut pas interfacer directement, et c’est la que rentre en scène IFTTT en passerelle.

IFTTT est un service web gratuit permettant à ses utilisateurs de créer des chaînes d’instruction simples appelées applets. Une applet est déclenchée par des changements qui interviennent au sein de services web tels que Gmail, Facebook, Instagram ou Pinterest.

Dans notre cas c’est encore une fois les mails qui vont nous sauver. Par exemple une applet peut envoyer un Slack lorsque un compte Gmail reçoit un e-mail marqué d’un label spécifique, c’est cette fonctionnalité que j’utilise pour intercepter tous les notifications d’application ou de service ne pouvant pas simplement envoyer leurs messages vers Slack.

Voila à un rapide résumé de mon système de mon nouveau système de notification basé sur Slack

Slack est tout aussi bien fonctionnel sous Android et me permet donc d’avoir toujours un oeil sur mes notifications peut importe où je me trouve.

Bonne lecture à tous

 

Bonjour

Cet article est venu plus vite que prévu, étant donné que les limites de la licence de mon Firewall UTM Sophos ont été atteinte début avril.

Après plusieurs tests, de différentes solutions c’est la solution OPNsense qui a été retenue, pour remplacer la solution actuelle au cœur de mon réseau.

Cette migration est dans les cartons, mais lors d’un week-end avec un peu de monde à la maison et donc des équipements en wifi en plus sur le réseau, j’ai reçu une alerte de mon firewall Sophos me disant que j’avais atteinte 48 IPs gérés sur 50 maximum. Après validation du support Sophos, il n’y a pas de moyen de réinitialiser la liste des IPs sous licence avec le baux de 7 jours glissants.

Ce point a fait accélérer le remplacement, car je ne pouvais plus garder cette épée de Damoclès sur mon réseau.

La migration a été réalisée sur un week-end en utilisant la même machine (lien ici et ici) que le serveur Sophos en remplaçant juste le disque dur par un nouveau permettant un retour arrière simple rapide et complet en cas de migration partielle en fin du week-end.

Je ne vais pas détailler l’installation en elle-même j’ai tout simplement suivi la documentation officielle disponible sur le site officiel du projet OPNsense.

Par contre je vais essayer de lister les différentes fonctionnalités utilisées sur cette nouvelle solution après un mois de migration, mais avant tout voici un petit rappel sur les connectivités de ce firewall :

  • Une zone LAN, hébergeant les périphérique filaires de mon réseau (ordinateurs, imprimantes, tv etc)
  • Une zone DMZ hébergeant les services accessible aussi bien depuis la zone LAN mais surtout depuis l’extérieur (NAS / Proxmox, etc…)
  • Une zone WLAN, donnant accès à tous les périphérique wifi via une solution de point d’accès Ubiquiti diffusant deux SSID différents dont un tagué Guest.
  • Une zone WAN1 reliée au réseau K-Net Fibre
  • Une zone WAN2 reliée au réseaux Orange en ASDL

Ces deux dernières zones gèrent le multi wan en actif / backup.

Quelles sont les différentes fonctions que j’utilise et que j’ai reprise lors de la re configuration de ce nouvelle machine :

  • La gestion du multi WAN (Fibre & ADSL pour ma part)
  • Le routage
  • Les règles de filtrage entre les différentes zones
  • Le NAT très peu au final car tout passe par le réseau OpenVPN pour l’accès aux données internes depuis l’extérieur. Au final le nat ne sert que d’accès de secours en cas de soucis.
  • Les serveurs DHCP
    • Un pour la zone LAN
    • Un pour la zone WLAN Guest, pour la zone WLAN traditionnelle c’est par filtrage MAC que l’attribution des IPs se fait
  • Le service de DNS Dynamique via OVH DynHOST
  • Les services comme SNMP / Smart / NTP / WOL sont bien sûr activés et utilisés
  • La sauvegarde automatique vers Google Drive (un peu compliqué à mettre en place mais on n’y touche plus après et pour moi une sauvegarde automatique externe est indispensable, le tout bien évidemment chiffré)

De plus par rapport à mon ancien Firewalll UTM Sophos, j’utilise la fonctionnalité de client OpenVPN pour connecter mon réseau domestique à mes hébergeurs externes comme OVH et Aruba Cloud.

Cette fonctionnalité était remplie jusqu’à présent par un machine virtuelle en zone DMZ en attendant mieux, celle ci est devenu inutile à ce jour.

De plus j’ai aussi activé la fonction de Netflow interne pour avoir une vision plus fine des flux transitant par ce firewall.

Après un mois d’utilisation et configuration, je confirme l’efficacité du produit OPNsense, en tout cas il comble à ce jour tous les points de mon cahier de charge.

Il reste encore quelques paramétrages et affinages à faire, mais je suis satisfait du changement et de mon choix.

Bonne lecture

Bonjour à tous

Ce petit article pour vous dire que la version v4 de Proxmox est sortie, et donc voici un petit article de la marche à suivre pour cette mise à jour depuis une version v3.4.

Voici les grandes nouveautés de cette version v4 :

  • OpenVZ à été remplacé par LXC
  • Nouvelle version de corosync a été implantée
  • Une reconfiguration de gestionnaire d’haute disponibilité a été mis en place
  • Passage d’un kernel 2.6.32 à 4.2.2

Prérequis à la mise à jour :

  • Proxmox 3.4 et ces dernière mises à jour
  • Accès à tous les périphériques de stockage
  • Toutes les VM ou CT doivent être à l’arrêt
  • Une sauvegarde à jour de vos VM ou CT (notez que les CT devront être converties)
  • Au moins 1Go d’espace libre disponible

Mise à jour proprement dite :

On vérifie que notre Proxmox est bien à jour :

apt-get update && apt-get dist-upgrade

Ensuite on supprime ce qu’on a plus besoin pour la version v4:

apt-get remove proxmox-ve-2.6.32 pve-manager corosync-pve openais-pve redhat-cluster-pve pve-cluster pve-firmware

On ajoute les dépôts de Jessie et on les mets à jour :

sed -i 's/wheezy/jessie/g' /etc/apt/sources.list
sed -i 's/wheezy/jessie/g' /etc/apt/sources.list.d/pve-enterprise.list
apt-get update

On installe la nouvelle version du kernel :

apt-get install pve-kernel-4.2.2-1-pve

Maintenant on mets à jour notre système vers Jessie et on redémarre pour prendre en charge la nouvelle version du kernel

apt-get dist-upgrade
reboot

On installe donc la nouvelle version de notre hyperviseur Proxmox :

apt-get install proxmox-ve

Et pour finir on supprime la version obsolète de l’ancien kernel :

apt-get remove pve-kernel-2.6.32-41-pve

Un dernier petit reboot et votre serveur est en v4 :

reboot

Migration des conteneurs OpenVZ vers LXC

On restaure ensuite les conteneurs OpenVZ vers des conteneurs LXC avec la commande :

pct restore 101 /var/lib/vz/dump/vzdump-openvz-101-2015_11_05-10_42_42.tar.lzo

On restaure la configuration IP :

pct set 101 -net0 name=eth0,bridge=vmbr0,ip=192.168.20.101/24,gw=192.168.20.10

Puis on démarre la VM :

pct start 101

Et on y accède via la commande :

pct enter 101

Ou directement via une console :

pct console 101

Voilà j’ai testé tout ça sur un environnement de test et tout semble correct. Je vais donc prévoir la migration des tous mes serveurs Proxmox vers la version v4, dans un premier temps ceux auto-hébergé et dans un second temps ceux sur des serveurs dédiés chez OVH.

Cas d’un cluster de deux serveurs Proxmox

Chez moi j’ai deux serveurs Proxmox en cluster, une fois les deux nœuds mis à jour, il faut reconstruire le cluster avec les commandes suivantes :

Sur le premier nœud du cluster :

pvecm create <nom_du_cluster>

Sur le second ou sur les nœuds suivants du cluster :

pvecm add <ip_du_premier_nœud> -force

Tout est fonctionnel chez moi, voici deux commandes pour visualiser l’état du cluster :

pvecm status
pvecm nodes

Bonne lecture à tous

Bonjour à tous

Un rapide petit article pour vous faire part de la dernière évolution de mon plan de sauvegarde.

Depuis samedi, j’ai décidé de ne pas continuer l’aventure avec Owncloud et cela malgré le cluster actif / passif que j’avais monté.

Je base donc la synchronisation de mes fichiers uniquement sur hubiC actuellement une 10aine de giga sur le 50 Go disponible suite aux parrainages.

Dropbox me sert toujours à l’envoi des photos & vidéos depuis nos téléphones et nos tablettes pour pouvoir les sauvegarder et les rapatrier facilement et rapidement sur mon iMac.

Owncloud n’est pas totalement exclu de mon infrastructure mais reste actuellement en arrière plan, je reste à l’écoute des évolutions à venir.

Bonne journée et bonne lecture

 

Bonjour à tous

Suite à l’article précédent, j’ai reçu mes deux cartes réseaux dual lan full giga ce samedi.


Carte Dual Lan Giga

Les cartes ont été vite installées dans le nouveau serveur, suivi d’une rapide installation de Sophos.

Puis une simple restauration de la configuration de l’ancienne machine a suffit à rendre le nouveau Firewall totalement opérationnel.

Maintenant mon réseau domestique est enfin entièrement en giga.

Bonne journée à tous

 

Bonjour à tous

Mon projet de nouvelle baie réseau arrive quasi à sa fin. Il ne reste plus qu’à changer mon serveur hébergeant mon Firewall Sophos, pour une machine plus puissante et plus récente, et surtout full giga.

J’ai trouvé une machine qui fera très bien l’affaire aussi bien d’un point de vue matérielle, que taille pour rentrer dans ma baie : un Dell Optiplex 380.

Dell Optiplex 380

 

Reste à rajouter deux cartes dual lan full giga, commandé sur DX.com le 7 juillet donc un brin de patience pour pouvoir remplacer définitivement mon firewall.

Winyao WY546T2Ces cartes ont déjà été testé sous Sophos et sont reconnus sans aucun soucis.

Je vous referais un article pour la migration.

 

Bonjour à tous

Un rapide petit article pour vous faire part de la dernière évolution de mon plan de sauvegarde.

Depuis samedi, OVH a enfin mis à jour ses versions de hubiC en ajoutant la possibilité de paramétrer un proxy avec authentification.

Donc enfin exploitable de partout pour moi. J’ai donc procéder le week-end passé à la migration des mes données depuis Dropbox vers hubiC passant ainsi naturellement de 8 Go gratuit (vive le parrainage) à 25 Go (voir déjà 30 Go avec le parrainage) et pouvant profiter de l’offre d’hubiC à 1€ pour 100 Go.

Dropbox me sert aujourd’hui uniquement à l’envoi des photos & vidéos depuis nos téléphones et nos tablettes pour pouvoir les sauvegarder et les rapatrier facilement et rapidement sur mon iMac.

Bonne journée et bonne lecture

 

Bonjour à tous

Ca fait un moment que mon cluster Proxmox est basé sur deux machines récupérées mais qui commencent à vieillir (plus de 5 ans).

Une offre intéressante sur Amazon, pour un serveur HP – 704941-421 – Proliant Micro serveur – G7 N54L NHP 250 Go , m’a attiré l’œil…

Bon au final, achat de deux serveurs avec un supplémentent de 4Go de ram pour chacun pour avoir deux nodes de mon cluster avec chacun 6Go de ram.

Ca va faire du bien à pas mal de niveau :

  • Consommation énergétique moins importante (divisé au moins par deux)
  • Matériel neuf et sous garantie
  • Plus de ram en passant de 2.5 Go et 3 Go à deux fois 6 Go
  • Gain de place
  • Évolutivité au niveau de baies disques durs

Enfin voila reste plus qu’à recréer un cluster, et récupérer les sauvegardes des machines virtuelles et une petite restauration dans la foulée.

Bonjour

J’ai aussi profiter de cette première semaine de vacances pour migrer mon serveur dédié Online à mon nouveau hébergé chez OVH et donc ce blog.

A part le formatage par défaut de la Ubuntu 12.04 LTS de chez OVH qui me convenait pas, tout c’est bien passé.

Un point noir la progagation DNS pour les abonnés Free super longue… mais comme toujours.

La gallery avec ses 23000 photos a été aussi migrée sans soucis, et les comptes utilisateurs conservés.

Prochaine étape migrer mon site pro qui est encore chez 1&1 en mutualisé.

A plus

PS : Petit fait marquant je me suis fait rappelé 2 heures après avoir résilié par Online pour savoir pourquoi j’étais parti..