Lazer

J'ai enfin terminé mon tuto HAProxy ici : http://www.domotique-fibaro.fr/index.php/topic/1148-reverse-proxy-sur-nas-synology-avec-haproxy/

Je vais me prendre une SIM à 0€ chez Free, et utiliser un vieil HTC Android pour ça. Le Nexus 5 est une valeur sure : très bon rapport qualité/prix, et un Android natif sans surcouche laide, avec les mises à jour rapidement. Si tu veux un tel plus haut de gamme, tu peux regarder chez HTC, Sony, voire Samsung si le plastique et la surcouche logicielle ne te dérange pas. Autrement, en plus bas de gamme, il y a un choix énorme, par exemple Wiko, mais ils sont fragiles : mes collègues ont presque tous cassé leur écran (tandis que mon Sony Xperia Z a subit de nombreuses chutes et l'écran n'a pas bougé). Remarque, si c'est juste pour faire une passerelle SMS, un Android bas de gamme fera amplement l'affaire : petit écran, pas de 4G, petit processeur et peu de RAM suffisent. Tu peux t'en sortir à moins de 150€ neuf.

Si ta Delorean peut t'envoyer quelques semaines/mois dans le futur, tu devrais y trouver ma propre adaptation, car je pense mettre en œuvre aussi. Mais j'ai bien d'autres sujets àtraiter avant, donc ça risque de prendre un peu de temps...

Configuration par défaut de HAProxy Dans le menu principal, l'icône de HAProxy apparait : Par défaut, les paramètres suivants sont configurés : . Il y a 3 notions principales à comprendre pour utiliser HAProxy : Frontend : Port d'écoute local de HAProxy sur le NAS Synology Backend : Cible de redirection des requêtes, c'est à dire l'adresse IP et le port de chaque équipement qu'on souhaite atteindre. Exemples : DSM, HC2, Eco-Devices, Caméra IP, etc... Association : Règle permettant à HAProxy de déterminer quel Backend sélectionner en fonction de l'URL demandée. Par exemple, si l'URL commence par http://hc2.... alors il envoie la connexion vers le backend HC2. Configuration personnalisée de HAProxy Par défaut, n'importe quelle requête arrivant sur HAProxy est redirigée vers le backend Web, c'est à dire le port 80 du Synology. Or si le service Web n'est pas activé dans DSM, alors celui-ci redirige la connexion vers le port 5000, qui est l'interface d'administration du NAS. C'est plutôt très moyen en terme de sécurité... Afin de sécuriser un minimum la chose, dans l'onglet Frontends, sélectionner le nom http, et supprimer le Backend par défaut : Dans l'onglet Backends, cliquer sur le bouton Ajouter et entrer les informations suivantes : Nom : hc2 Serveurs : hc2 192.168.x.y:80 check Options : <vide> Evidemment, il faut remplacer l'adresse IP correspondante de votre Fibaro Home Center. Recommencer pour tous les services nécessaires. Dans l'onglet Associations, cliquer sur le bouton Ajouter et entrer les informations suivantes : Frontend : http Backend : dsm Condition : if { hdr_beg(Host) -i dsm. } Recommencer pour tous les services nécessaires : Afin d'enregistrer et activer la configuration, dans l'onglet Configuration, cliquer sur le bouton Ecrire configuration : . Test de bon fonctionnement : Dans un navigateur Web, taper l'adresse désirée, comme par exemple http://hc2.mondomaine.com et vérifier que la page s'affiche correctement :

Ajout de la source de paquet alternatifs SynoCommunity Accéder à l'interface Web DSM du Synology : Ouvrir le Centre de paquets : Cliquer sur le bouton Paramètres : Cliquer sur l'onglet Sources de paquet : Cliquer sur le bouton Ajouter, et entrer les informations suivantes : Nom : SynoCommunity Emplacement : http://packages.synocommunity.com Cliquer sur le bouton OK, et vérifier que le nouvel emplacement a été pris en compte : Cliquer sur le bouton OK pour fermer la fenêtre et revenir à la liste des paquets : Cliquer sur l'onglet Communauté : Cliquer sur le bouton Actualiser afin d'obtenir la liste des paquets installables : . Installation de Python Lors de la rédaction de ce tutoriel, la version 2.7.3-3 ou supérieure de Python est nécessaire pour l'installation de HAProxy. Cependant, la version de Python fournie en standard par Synology est trop ancienne, et il faut donc installer celle fournie dans la source SynoCommunity. Faire défiler la liste jusqu'à trouver le paquet Python : Cliquer sur le bouton Installation : Patienter : Cliquer sur le bouton Terminer : Le paquet est installé et en cours d’exécution : . Installation de HAProxy Faire défiler la liste jusqu'à trouver le paquet HAProxy : Cliquer sur le bouton Installation : Entrer un mot de passe pour le compte admin (je n'ai pas encore trouvé quand ce mot de passe sera nécessaire) : Cocher la case Lancer après l'installation et cliquer sur le bouton Appliquer : Le paquet est installé et en cours d’exécution : . Configuration DNS Je ne peux pas décrire la méthode de configuration DNS pour tous les Registrar existants, cela sort du cadre ce tutoriel. La capture d'écran ci-dessous provient de chez OVH, et j'ai mis en évidence en bleu les 2 lignes intéressantes dans le cadre de ce tutoriel. L'idée est de créer : un enregistrement de type A correspondant à l'adresse IP externe du routeur Internet, par exemple freebox.mondomaine.com <=> 66.249.75.203 autant d'enregistrements de type CNAME que nécessaire pointant sur l'enregistrement précédent, par exemple dsm.mondomaine.com => freebox.mondomaine.com ou hc2.mondomaine.com => freebox.mondomaine.com Après enregistrement de la zone DNS et quelques instants d'attente, la commande ping permet de vérifier le succès de l'opération. . Configuration du Routeur De même que pour la configuration DNS, la configuration du routeur dépend du fournisseur d'accès à Internet. La capture d'écran ci-dessous provient d'une Freebox Revolution v6. L'idée est de créer une redirection depuis le port TCP 80 externe vers le port TCP 5080 sur l'adresse IP du Synology. En effet, HAProxy écoute sur le port 5080 par défaut. .

Introduction : Suite à une discussion tenue il y a quelques temps dans le sujet Accès HC2 de l'extérieur, je propose un tutoriel sur le mise en Å“uvre d'un Reverse Proxy avec HAProxy sur un NAS Synology. Certes, c'est de l'informatique, et non pas de la domotique, mais le but principal est d'accéder à nos équipements domotiques (en particulier les box Fibaro Home Center 2 ou Home Center Lite) depuis l'extérieur. La discussion citée précédemment décrit différentes méthodes d'accès aux ressources du réseau local depuis Internet, notamment la technique du Port Forwarding, qui consiste à ouvrir un port TCP coté WAN pour chaque équipement interne à joindre. Cette méthode fonctionne bien si on se connecte à son HC2 depuis la connexion Internet d'un ami, depuis un hôtel, depuis le partage d'accès 3G/4G de son smartphone, ou depuis une entreprise qui ne filtre pas trop les connexions. Mais la plupart des entreprises mettent en place des proxy filtrants, qui ne laissent assez souvent passer que les ports 80 (HTTP) et 443 (HTTPS). Même les connexions FTP, VPN, SSH, etc... sont bloquées, donc forcément les ports personnalisés qu'on a choisi. Donc on doit mettre en place un Reverse Proxy. Sur Synology, on peut utiliser HAProxy, ou sinon on se créer son propre serveur Linux qui fera le boulot. Le principe de fonctionnement est simple : avec notre domaine DNS, on crée autant de sous-domaines qu'on souhaite joindre d'équipements dans notre LAN. Par exemple, dsm.domaine.com, hc2.domaine.com, ecodevice.domaine.com, etc... dans l'interface d'administration du routeur, on redirige le port TCP 80 externe vers le port 80 du NAS qui héberge HAProxy au sein du LAN. dans la configuration de HAProxy, on crée toutes les règles pour rediriger les sous-domaines vers la bonne adresse IP dans le LAN. Le schéma est donc le suivant : Utilisateur sur le WAN => Routeur ADSL => Reverse Proxy => Equipement final (HC2, ...) Glossaire simplifié des termes employés dans ce tutoriel : LAN = Local Area Network, désigne le réseau local domestique WAN = Wide Area Network, désigne Internet Routeur = équipement réseau assurant la communication entre le LAN et le WAN. En France, nous sommes majoritairement équipés de Box Internet prêtées par les fournisseurs d'accès à Internet, telles que Freebox, LiveBox, etc... Adresse IP = adresse sur 4 nombres (par exemple 192.168.1.1) permettant d'identifier un équipement sur le réseau, que ce soit le LAN ou le WAN. A noter que coté WAN, les adresses IP sont uniques sur tout Internet, tandis que coté LAN, on utilise des plages d'adresses dites "privées" (192.168.x.y, ou 172.16.x.y, ou 10.x.y.z) c'est à dire qu'elle ne sont pas visibles depuis Internet. Le routeur se charge d'effectuer de la translation d'adresse, si bien que lorsque nous surfons sur Internet, ce n'est pas l'adresse IP de notre ordinateur/téléphone/tablette qui est vue, mais l'adresse IP externe du routeur. Adresse IP fixe : l'adresse IP fournie par le fournisseur d'accès à Internet peut être fixe (notamment chez Free) ou variable, c'est à dire qu'elle sera différente à chaque nouvelle connexion (ou tranche de 24h, cela dépend). Les adresses IP fixes sont bien sà»r préférables pour pouvoir se connecter chez soit depuis l'extérieur, mais la méthode du DynDNS existe pour s'en sortir même avec une adresse IP variable. Nom de Domaine DNS : sur Internet, nous n'utilisons couramment pas les adresses IP, mais plutôt les noms de domaine, tels que google.com ou domotique-fibaro.fr. Pour chaque domaine, on peut créer pratiquement autant de sous-domaine que l'on souhaite, qui sont placés en préfixe du nom de domaine. Le plus célèbre d'entre eux est www, ce qui donne www.google.com ou www.domotique-fibaro.fr. Il est bien entendu possible de créer le sous-domaine de son choix, afin d'obtenir des adresses telles que hc2.mondomaine.com, ou ecodevices.mondomaine.fr, ... Limitations de ce tutoriel : Je me limite volontairement à l'utilisation du port 80 avec le protocole http non-sécurisé. En effet, si il pourrait paraitre tentant d'utiliser le protocole https sur le port 443, il faut savoir que nous n'avons qu'un certificat auto-signé, donc non reconnu par les navigateurs Web, et donc également par les proxy d'entreprises, qui peuvent rejeter la connexion pour les plus filtrants, par mesure de sécurité. Le but de mon tutoriel étant de passer au travers d'un maximum de proxy d'entreprise, cela a plus de chance de réussir en utilisant le port 80. Dans la pratique, tant que votre nom de domaine n'est pas blacklisté, cela devrait fonctionner. Si vraiment la sécurité est nécessaire, il faut acheter un certificat SSL et l'importer dans la configuration de HAProxy, ce qui sort du cadre de ce tutoriel. De plus, je tourne sous la version 4.3 de DSM, pour plusieurs raisons : C'est un version stable et en production chez moi Comme j'utilise Xpenology dans une machine virtuelle VMware ESXi, la version 5.0 n'est pas encore suffisamment stable à mon goà»t (les derniers patchs posent problème) Cependant, je pense qu'il est aisé de suivre le tutoriel sous la version 5.0 de DSM qui est assez similaire, exceptée la refonte de l'interface graphique. Pré-requis pour ce tutoriel : Une box/routeur Internet Un NAS Synology Un nom de domaine DNS Une adresse IP fixe, ou à défaut un système de DynDNS Liens permettant d'approfondir le sujet : http://forum.hardware.fr/hfr/reseauxpersosoho/Reseaux/synology-dsm-disponible-sujet_5497_686.htm#t741030 http://www.nas-forum.com/forum/topic/39737-tuto-haproxy-et-regroupement-des-parametrages-trouves-sur-le-fofo/

Ah oui je vois. En tout cas, merci pour tes précieuses contributions

Félicitations Steven !!! Déjà 10 pages, et j'ai à peine vu le truc passer Beau boulot, la première page est superbe. Je le mettrai certainement en place un de ces jours. Et tu as ma voix pour ta future nomination aux oscars membres du mois

Tu as vu ça : http://www.abavala.com/2014/04/28/piloter-domotique-eedomus-en-langage-naturel-sms/ C'est beaucoup de PHP, donc en faisant tourner les scripts sur le serveur Web d'un NAS, je pense que ça peut facilement être adaptées àla HC2.

Alors ?

J'ai choisi de façon arbitraire cette purge au bout de 21 jours pour que la volumétrie des tables n'explose pas. Et aussi surtout parce que c'est à mon avis inutile de conserver le détail minute pas minute 2 ans plus tard... Et justement, pour avoir des statistiques à long terme, je conserve le mini/moyen/maxi quotidien de chaque sonde dans des tables dédiées, ce qui permet de suivre la tendance à long terme. En fait, c'est grosso mode le principe de rrdtool, pour les connaisseurs. Tu peux facilement modifier (ou supprimer) cette purge automatique après 21 jours, dans le fichier generate_trend.php

Non, je commence à désespérer.... parce que je me voyais bien faire un procès au monde entier pour utilisation abusive de roues

Bon, donc si demain on a une baisse de tension sur tout la France, on saura que c'est toi Un conseil : laisse ton compteur branché toute la nuit jusqu'au moment de le câbler définitivement, comme ça demain matin il repassera en HP, et tu seras déjà au bon tarif au moment de la mise en service.

Lol, oui d'ailleurs la demande de brevet rétroactif est en cours

Ça veut dire que ton association n'a pas été prise en compte par le module. Il faut que tu le réveille et ça devrait être OK.

Euh, ne serais-tu pas en train de réinventer la roue ? Graph De Température, Humidité, Consommation...sur Nas

Tiens pour les pros du relai, est ce que vous mettez une diode de roue libre ? J'ai souvenir de mes vieux cours d'électronique où il était conseillé d'en mettre une, mais ce n'est peut être pas valable en courant alternatif ?

Bon, je viens de regarder la vidéo en entier. Très intéressant, et ça confirme tout ce que je pensais. En complément de lecture, ils ont publié un papier : http://research.sensepost.com/cms/resources/conferences/2013/bh_zwave/Security%20Evaluation%20of%20Z-Wave_WP.pdf La situation est bien résumée dans la conclusion : Et d'après un représentant de Z-Wave présent durant la conférence, le seul produit affecté par cette faille est la serrure Z-Wave présentée, à priori non-commercialisée en France. Pas de chance pour eux, c'est l'élément de sécurité d'une maison qui se doit d'être le plus sécurisé possible. Le plus effrayant avec ce type d'attaque, c'est qu'on n'a aucun journal électronique nul par, ni effraction physique. Pratique pour l'assurance ! Pour ces raisons, perso la domotique est dédiée aux fonctions de confort, d'économie d'énergie, et d'amélioration de la sécurité (éclairage automatique, détecteurs supplémentaires, caméras, simulation de présence, etc). Mais les éléments critique (porte d'entrée, portail, garage) n'ont pas de domotisation active (seulement une domotisation passive consistant à reporter de l'information : état ouvert/fermé). Si j'avais plus de temps, j'aimerais bien jouer avec leur outil Z-Force et la puce Texas Instrument.

Avant, en bon geek, je disais que je choisirais toujours mon logement en fonction du débit Internet. Mais ça, c'était avant.... maintenant j'ai une maison avec 5 Mbps maxi. Comme quoi les priorité changent

Voilà , j'ai retrouvé la discussion qu'on a eu avec 971jmd sur le fil de discussion du Fibaro Wall Plug Le relai du Wall Plug tient 16A avec un cos Phi = 1 (facteur de puissance pour une charge résistive pure) Et chaque relai du FGS-221 tient 8A seulement. Un tube fluorescent a un courant d'appel au démarrage de 2 à 3 fois supérieur, et si on ajoute à ça le fait que les plus mauvais néons ont un cos phi qui descend à 0,3, on a vite fait d'user prématurément les relais. Solutions possibles : - utiliser des tubes fluo à ballast électronique qui améliorent les choses. - Wall Plug, qui est 2 fois plus résistant - relai externe surdimensionné, et qui coutera seulement une poignée d'euros à remplacer.

Ah non, on a grandi avec France Télécom, et maintenant ils ont changé de nom, ça change tout.... Enfin il y a surtout de la concurrence ! Ah j'ai fait 2 étés de job aussi... C'était pas trop stressant !!! J'ai eu 2 ans de raie verte USB chez Wanadoo à512 kbps hors de prix, puis j'ai connu la libération quand Free a dégroupé ma ville de banlieue.

Le double sens était voulu Sérieusement j'espère que tout va bien

Quelqu'un a ouvert un Wall Plug sur ce forum, avec les références du relai. Je suis sur mobile, mais quand je repasserais sur PC je ferai une petite recherche pour comparer.

Il a grillé

Alors làbon courage pour trouver les bons paramètres, faut procéder àtâtons... Maintenant je sais que mon chat est très actif la nuit :-/ Charly86, les capteurs de luminosité des 2 modules sont très loins d'êtres précis, donc faut pas trop s'attendre àdes miracles.