[[TUTO] Monitoring réseau (Telegraf + InfluxDB 1.8 + Grafana)]

@Philippe D Est-ce que Telegraf et InfluxDB sont bien dans le même réseau docker ? Que donne la commande

sudo docker network inspect monitoring

[Mosquitto et ssl]

@Florian33000 Bon chez moi ça fonctionne, en ayant chipoté un peu quand même.

mosquitto.conf (tls) :

#_____________________#

## TLS LISTENER
listener 8883 0.0.0.0
protocol mqtt
password_file /mosquitto/data/password_data

certfile /mosquitto/certs/server.crt
cafile /mosquitto/certs/ca.crt
keyfile /mosquitto/certs/server.key
capath /mosquitto/certs/

#_____________________#

Pour les étapes de génération de certificats de la CA, du serveur et du client, je suis passé par ce tutoriel : http://www.steveio.com/tag/messaging/
J'ai également suivi ses recommandations quant au fait que les trois entités doivent avoir un Common Name différent, le seul qui compte vraiment est celui du serveur pour lequel on doit stipuler son FQDN.

J'ai généré sur mon serveur mqtt les fichiers relatifs à la CA et au serveur, puis j'ai copié le ca.crt et ca.key sur mon laptop où j'ai mis une VM debian avec Mosquitto utilisé en client. Puis j'ai soucrit à un topic nommé "test" :

mosquitto_sub --cafile /mosquitto/certs/ca.crt --cert /mosquitto/certs/client.crt --key /
mosquitto/certs/client.key -h ida.xxx.ovh -p 8883  -q 1 -t "test" -d -u mosquitto -P rK2hdtXXXXXXXXX

-d c'est pour une verbosité debug, puis les credentials de connexion utilisés dans le password_file, ça fonctionne :

Enter PEM pass phrase:
Client null sending CONNECT
Client null received CONNACK (0)
Client null sending SUBSCRIBE (Mid: 1, Topic: test, QoS: 1, Options: 0x00)
Client null received SUBACK
Subscribed (mid: 1): 1

Puis j'ai essayé de publier un message :

mosquitto_pub --cafile /mosquitto/certs/ca.crt --cert /mosquitto/certs/client.crt --key /
mosquitto/certs/client.key -h ida.xxx.ovh -p 8883 -q 1 -t "test" -i anyclientID --tls-vers
ion tlsv1.3 -m "Hello" -d -u mosquitto -P rK2hdtXXXXXXXXX

Résultat le message est lu :

Client null received PUBLISH (d0, q1, r0, m1, 'test', ... (5 bytes))
Client null sending PUBACK (m1, rc0)
Hello

En revanche, je précise qu'avec MQTT Explorer, je récolte systématiquement une erreur. En CLI par contre RAS.

[Présentation matybibi]

Bienvenue parmi nous, et allez le PSG

[Mosquitto et ssl]

@Florian33000

Je vais essayer de mettre ça en place chez moi, je te donne des nouvelles.

[Mosquitto et ssl]

@Florian33000

C'est bon de ce côté-là.
Première recherche Google de mon côté : instantiating a broker with config file always gives me an "Unknown configuration variable" error · Issue #1724 · eclipse/mosquitto · GitHub

Regarde si ça ne résout pas ton problème, en utilisant Notepad++ par exemple.

[Mosquitto et ssl]

@Florian33000 Des impressions d'écran de tes volumes seraient plus parlantes.
Aller dans Container Manager -> Conteneur Mosquitto -> Paramètres, et qu'on voit le montage de tes volumes.

[Mosquitto et ssl]

@Florian33000 quels volumes as-tu monté à la création du conteneur ?

[Mosquitto et ssl]

@Florian33000 Il te faut générer un certificat auto-signé, ce sera plus simple que d'utiliser un certificat Let's Encrypt du NAS. Tu trouveras plusieurs guides sur Internet, je trouve celui-là assez bien fait : https://bacnh.com/how-create-self-signed-certificates

 

[Présentation Dakraz]

Bienvenue parmi nous, en espérant pouvoir t'aider dans la résolution de ton problème 🙂

[Support pour Docker Gitlab]

@FranckCShark Bien joué 👌

[[TUTO] Certificat SSL & reverse proxy via Docker]

@MilesTEG1 L'autre solution, plus propre selon moi, c'est d'utiliser une instance déportée de Crowdsec dans ta VM HA, soit via docker, soit via une installation native (https://www.crowdsec.net/blog/multi-server-setup)

Ca a l'avantage que les logs restent analysés localement par Crowdsec (mais ça implique d'avoir une collection spécifique pour l'application que tu souhaites surveiller) et lorsqu'il y a blocage c'est renvoyé à l'instance maître, qui bloque au niveau de Nginx.

C'est la solution que j'utilise pour Emby qui est sur une machine déportée, je dis "utilise" car il y a apparemment du nouveau sur le bug du recaptcha, suffisait d'en discuter 😅 -> https://github.com/crowdsecurity/lua-cs-bouncer/issues/44#issue-1879105885

[Présentation Red]

Rien n'est inutile, à part peut-être les Kardashian.

Bienvenue parmi nous !

[Sécurité réseau en voyage]

Est-ce que tu comptes utiliser le proxy inversé ou le VPN (ou les deux conjointement) pour te connecter chez toi ?

Quel protocole VPN utilises-tu ? Car là tu ouvres les ports par défaut pour OpenVPN et L2TP en même temps. Ca donne l'impression que tu ouvres tout dans l'espoir que ça fonctionne, c'est dangereux. 😉 

[[TUTO] Certificat SSL & reverse proxy via Docker]

@MilesTEG1 Je pense que c'est ce que tu cherches : syslog-ng - LinuxServer.io

[David du 03]

Bienvenue parmi nous 🙃

[[TUTO] Certificat SSL & reverse proxy via Docker]

@MilesTEG1 Désolé oublié de te répondre. Oui ça m'arrive parfois.
Pour finir je n'utilise plus Crowdsec, beaucoup de faux positifs via les logs nginx, ça va mieux quand il y a des collections adaptées (emby par exemple). Mais même comme ça, j'ai voulu mettre en place le deban par recaptcha, j'ai tout configuré comme il fallait, mais il y a des bugs, que j'ai remontés sur Github mais rien n'évolue.

Donc exit pour ma part, retour à fail2ban.

[Présentation Ekxis]

Bienvenue parmi nous 🙂 

[Présentation Juju]

Bienvenue !

[2 NAS relés en ethernet sur des plages d'adressage différentes]

Alors 189.254 ne fait pas partie de la RFC1918 (réseaux privés non routables), c'est 169.254 qui est généralement une adresse IP fallback si on périphérique n'arrive pas à obtenir une IP d'un serveur DHCP. Je te conseille d'éviter cet adressage du coup.

Pourquoi ne pas utiliser 10.X.X.X ? rarement utilisé par les box et routeurs du commerce.

[Présentation nouvel arrivant]

Bienvenue parmi nous 🙂

[Bonjour tout le monde]

Ok bizarre tes problèmes. Moi je réside en Belgique j'ai un vaillant VDSL2 à 100/30 Mbps, c'est pas ouf mais ça fait le job 😉

[Plex ram en local]

J'ai aussi une Mi Box S, c'est sympa mais faut pas lui en demander autant qu'à une Shield, en revanche j'ai grandement amélioré ses performances en lui ajoutant une connexion Ethernet filaire : https://www.amazon.com.be/UGREEN-Adaptateur-Ethernet-Aluminium-Compatible/dp/B07M91X2NW

[Bonjour tout le monde]

Bienvenue parmi nous !

Tu pourrais tirer parti du 218play distant pour faire une sauvegarder Hyper Backup hors site, quitte à lui rajouter un volume avec un autre disque.

[Bonjour la communauté]

Bienvenue parmi nous, joli cadeau de Noël 😄

N'hésite pas à consulter le tutoriel sur la sécurisation de ton NAS, on y aborde les bases te permettant d'héberger tes données en toute sécurité :

 

 

[Support pour Docker Gitlab]

@FranckCShark

Bon, j'ai réussi à l'installer. Mais quelle misère ! Ca bouffe 4 Go de mémoire alors que je ne fais rien avec, c'est pas intuitif, rien...

Et le logiciel ne veut pas accepter le mot de passe root qu'il me donne, ni me permettre de le changer, bref...

Mais a priori, de ce que j'ai pu lire, si tu veux accéder localement aussi bien qu'à distance via le proxy inversé :

• dans gitlab.rb tu dois avoir :

external_url: 'gitlab.ndd.tld'

à remplacer par ton proxy inversé pour gitlab

• tu dois également désactiver le nginx intégré : https://docs.gitlab.com/omnibus/settings/nginx.html#configuration
• faire un :

gitlab-ctl reconfigure

pour mettre à jour la configuration

• mettre en place une résolution DNS locale si ta box ne fait pas de loopback : https://www.nas-forum.com/forum/topic/55206-tuto-dns-server/

Si tu veux juste y accéder localement, je pense qu'il suffit de mettre :

external_url: 'nom_du_nas.local'

si ton routeur distribue le domaine "local" sur ton réseau, à adapter sinon.

Mais autrement, je viens d'installer l'extension GitLab sur Visual Code (jamais utilisé encore), il a l'air de demander l'adresse et pas se reposer uniquement sur une liste déroulante de ce qu'il trouve. Tu pourrais je pense très bien lui spécifier https://IP_DU_NAS:4443 pour t'y connecter.