J’ai voulu faire passer tout mon trafic Internet (entrant et sortant) par un VPN.
Pour avoir de l’IPv6 (mon FAI ne me fournit que de l’IPv4), pour passer par un FAI favorable à la neutralité du net, et pour pouvoir changer de mode d’accès à Internet sans impact sur mon auto-hébergement (typiquement, utiliser le WiFi d’un voisin ou d’un téléphone 4G, si ma box est en panne, sans changer d’adresses IP).
Il est probable que tout ce qui suit soit aussi applicable à n’importe quel appareil basé sur OpenWRT.
J’ai acheté un Turris Mox (via la campagne de crowdfunding en 2018-2019), et ai voulu utiliser Ansible pour rendre sa configuration reproductible, sans la figer pour autant.
Il est probable que ce qui suit soit en grande partie applicable à n’importe quel appareil basé sur OpenWRT.
Si votre partition /boot est trop petite, linux peut manquer de place pour faire les mises à jour de kernel. Et si votre disque est chiffré, ça complique un peu les choses.
Quand il n’est pas possible de l’agrandir, il peut être plus simple de la déplacer (ce qui consiste techniquement à la recréer ailleurs).
Je décrivais dans un article précédent comment forcer un fsck au reboot d’un Olinuxino A20 (sous une version ancienne de Debian). J’ai eu récemment le même besoin sur un A64 sous Debian Buster, et il y a quelques adaptations à apporter
Suite à un article précédent, j’ai mis en place le PRA (plan de reprise d’activité) que j’envisageais pour mon auto-hébergement, avec Ansible. Même si ça a été un peu plus compliqué que prévu.
TLDR : Ca fonctionne pas mal, mais il y a plein de petits pièges. Et c’est bien plus simple sur /e/ que sur LineageOS (en tous cas sans les Google Apps).
J’ai un peu modernisé et fiabilisé mon auto-hébergement, en suivant quelques principes :
Reproductibilité : la configuration de l’OS, l’installation et la configuration des services qui tournent dessus doivent être automatisés
Sauvegardes automatiques : les données de chaque service doivent être sauvegardées automatiquement, périodiquement
Failover en mode actif/passif : chaque service doit être installé sur un serveur actif, et sur un ou plusieurs serveurs passifs. Les données sont synchronisées automatiquement sur les passifs, périodiquement
Indépendance de chaque serveur : chaque machine doit être la plus indépendante possible des autres
Suite à l’upgrade de Debian de Stretch vers Buster sur Olinuxino A20, on perd le support de l’algorithme de chiffrement aes-xts dans le kernel. Il a donc fallu re-chiffrer en aes-cbc les périphériques concernés.
