CasaOS / ZimaOS [TUTO] Installer Nginx Proxy Manager

morgyann a dit:
Détermine peut être l'objectif final (ton cahier des charges) - quel accès externe par ex - et une solution + simple apparaitra peut être ...
Cliquez pour agrandir...
Yep !
Alors ça c'est clair depuis toujours. J'ai besoin d'accès distants qui soient le plus sécurisés et confidentiels possible, afin de me protéger, tant du profilage, du vol de données, des logs FAI et des attaques. C'est le "pourquoi" de mon auto-hébergement.

Les tunnels VPN individuels sont une mesure forte que je veux additionner au https qui permettra d'améliorer la confidentialité lors de la navigation pour limiter les fuites sur les appareils clients (Genre trackers des pages ouvertes dans un navigateur ou applis trop curieuses avec des droits surévalués).

La question, c'est comment associer les tunnels en https, avec un seul port 443 et 80.
Je pense que le problème est là. Wireguard écoute en 51820 et contourne ainsi Nginx - je pense - après la redirection Infomaniak vers mon IP.
De fait, son accès IP_LAN_Serveur se fait en direct au lieu de passer par Proxy_Host malgré son point de terminaison sur le NDD.
Du coup, si l'on pouvait trouver comment rediriger le flux VPN pour qu'il ne contourne pas Nginx, ce serait gagné.

J'ai pensé hier à la solution VPS car ce serait une solution, en effet. C'est du coup ce dont parle @EVO dans ton lien. C'est cher si j'ajoute mes services VPNs et d'autres services payants, mais si je ne trouve pas la solution en local, l'option pourrait être envisagée en ultime recours.

Bref...
Sinon j'ai réussi à faire fonctionner le contrôle d'accès cia IP et/ou via authentification. Cette option est pas mal pour une whitelist.
 
Machin-Truc a dit:
La question, c'est comment associer les tunnels en https, avec un seul port 443 et 80.
Cliquez pour agrandir...
Si c'est juste pour accéder à distance à ton réseau ou juste à ton serveur ZimaOS de façon sécurisé avec un simple NDD (pour ne pas à avoir à taper ton IP) :

0. Si c'est juste pour ZimaOS tu as l'accès à distance avec l'app client ZimaOS sans ouverture de ports

1. Accès via NDD - Tu ouvres juste à l'externe le port 443 (perso tous mes services sont sur uniquement celui-ci) - le port 80 n'a besoin d'être ouvert uniquement pour le renouvellement des certificats. Si c'est juste pour joindre ZimaOS - tu le mets sur un NDD.

2. Accès via VPN - tu installes WG-easy et tu l'associes à ton NDD (optionnel)

3. Tu associes ton NDD à l'IP fixe de ton VPN externe (solution alambiquée, perte de débit, coût sup et en fait sur une IP fixe dédiée ???) - perso je ne vois pas trop l'efficience (déjà dis) :unsure:

Machin-Truc a dit:
mais si je ne trouve pas la solution en local,
Cliquez pour agrandir...
Je rappelle une fois encore que je ne suis, à ce niveau, pas vraiment spécialiste ...

Cependant, il me semble que la solution la + sécurisée de toutes (et qui te couteras moins chère que ton abonnement VPN) demeure en l'investissement dans un Routeur / Pare-feu à la sortie de ta Box (voir déjà ce qu'elle propose) qui te permettra d'autoriser ou non ce que tu veux.

Essaye de voir avec @Bambusa29 qui semble être spécialiste ici en cybersécurité - ex avec OpenWRT
Bambusa29

Posté dans le sujet 'Votre dernier achat ? On veut tout savoir !'

Achat d'une barrette mémoire et d'un routeur hardware (5 connecteurs RJ45 - i226V - 2,5Gb/s) en remplacement de mon Wifi Asus sur laquel j'avais installé OpenWRT (toujours peur qu'il me claque entre les mains avec ces 256M de Mémoire :oops:).
J'avais déjà 3 disques Nvme de récupération en stock. Je lui ai mis un 256Go, ce qui est amplement suffisant.

IMG_20260318_185103_369.jpg


IMG_20260318_185244_683.jpg

Du coup, je suis reparti sur un pare feu IPFire (c'est basé sur Linux et pas OpenBSD) avec 4 zones distinctes.

Tout fonctionne à nouveau, mais j'ai galéré un peu ; on oublie toujours un truc dans les configs...
  • J'aime

Ou ouvre un poste, avec ton cahier des charges sur ce sujet ...
 
Oui tu as raison, c'est préférable de faire un post dédié. Déjà encore merci car même si je patauge avec ça, toutes les applis fonctionnent de leur coté en suivant tes conseils. Reste à faire se rencontrer WG et NGINX...
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour