Franchement, une nouvelle fois génial. Tous tes "tutos" sont extrêmement bien expliqué ! J'ai regardé tes vidéos plusieurs fois avant de me lancer et je ne suis pas déçu du résultat. J'ai appris énormément de choses, j'ai pu déployer les services que je souhaitais en allant me documenter sur les sites que tu nommes. Et en plus avec un nom de domaine OVH où j'ai réussi mon "défi". J'en ai bavé, mais comme tu le dis, c'est en faisant que l'on comprend plutôt que de suivre "bêtement" un pas à pas. Maintenant let's go pour la sécurisation !
Il faut être prêt à y investir du temps, à la fois à l'installation et sur le long terme, mais quand on maitrise son installation on est ensuite bien plus armé pour répondre à des besoins sur mesure. Par contre effectivement la sécurisation de l'ensemble est cruciale est c'est là où il faut vraiment creuser le plus, on a vite fait de faire une bêtise aux conséquences facheuses!
Lontemps que je cherchais à accéder à mon NAS avec une adresse https, c'est chose faite, j'attaque les autres vidéo traitant de ce sujet rapidement. Un grand merci pour tes tutos toujours complets et enrichissants.
Super bien expliquée ta vidéo. J'aurais pu éviter des heures de troubleshooting si seulement elle était sortie quelques mois plus tôt ;). Mais bon, c'est comme ça qu'on apprend aussi. Hâte de voir la partie sur Authelia, pour laquelle je ne me suis pas encore aventuré.
Merci merci merci merci merci 🥰. Grace a vos videos, j’avance pas a pas dans l’installation de mon NAS… C’est super bien fait - vous etes devenu mon dieu du NAS 😁👍
La qualité des ces vidéos est juste remarquable, chapeau ! Je ne parviens pas à (j'ai pris un peu d'avance sur la prochaine je crois) à définir heimdall en page d'accueil de swag malgré avoir réalisé la modif de son fichier subdomain et commenté la localisation dans le fichier default... (je soupçonne une explication côté usage du port 443 swag / heimdall) Vivement que tu traites ce sujet :-p
Merci! Non, je ne pense pas qu'une vidéo prochaine sera sur heimdall, j'ai déjà parlé d'heimdall dans ma précédente vidéo mais ensuite c'est aussi un choix personnel de configuration de reverse proxy d'avoir une page d'accueil, et laquelle, donc heimdall ne fait pas partie de cette serie sur swag. Tu as toute une section de la documentation de swag sur la configuration de heimdall en page d'accueil et les templates de configuration arrivent avec sa configuration qu'il suffit de décommenter. docs.linuxserver.io/general/swag#using-heimdall-as-the-home-page-at-domain-root
@@GuiPoM J'ai beau chercher, je ne vois pas comment faire pour résoudre mon problème (j'ai swag et heimdall sur le même docker) de port 443 utilisé pour afficher heimdall en page d'accueil de swag 🤔 alors que heimdall n'utilise pas ce port car deja pris par swag...
Énorme merci Guillaume! Je suis ta chaîne depuis un bon bout de temps et j'adore la façon dont tu explique la façon de faire! Je viens de me monter un NAS et j'ai installer SWAG mais je n'arrive pas à le faire fonctionner avec mon domaine cloudflare...j'ai configuer le fichier .ini comme le dis la documentation mais rien à faire!
Salut @GuiPoM, Quelles adresses utilises tu pour enregistrer tes applis locales sur SWAG? Est ce que chaque applications possèdent son propre sous-domaine public? Cela voudrait dire que lorsque tu es en local, tu repasse pas l'@IP publique de ta box pour revenir sur ton LAN via SWAG? ou bien as tu configuré ton DNS local pour renvoyé une IP locale lorsque tu requêtes localement sur un sous domaine public? J'espère que mes questions sont claires... L'idée c'est que les accès via SWAG fonctionnent aussi bien en local qu'en distant...
Au top, j'apprends énormément de chose avec tes vidéos c'est super. Autre petit truc, est-ce que le certificat se renouvelle automatiquement ? et est-ce que le dns expirer au bout d'un certain temps ?
aucune idée pour duckdns, je pense qu'ils ne suppriment pas de comptes ou de domaine tant qu'ils n'enfreignent pas les conditions d'utilisation. Pour le certificat, certbot inclus dans swag se charge de le renouveler. Il vérifie à chaque démarrage s'il est valide et le renouvelle la veille de l'expiration, il me semble.
Ouhlà mais ca fait tellement plus que du SSH ! ^^ Rien que pour éditer des yaml, faire de la comparaison/fusion, utiliser VSCode vaut le coup. Je préfère présenter des outils plus généralistes, qui répondent à un peu plus de besoins.
@@GuiPoM Ah mais oui effectivement dans ce cas c'est bien plus complet, merci de ta réponse :) J'ai un soucis par contre, j'ai jeedom égaleemnt sur une VM proxmox, mais c'est extrêmement lent en HTTPS je ne comprends pas pourquoi, j'ai pourtant fait comme les autres sous-domaines, que ce soit dans cloudflare ou en utilisant un template générique NGINX, mais non rien n'y fait : les autres s'affichent instantanément, mais jeedom met plusieurs minutes à s'afficher, je ne comprends pas trop, tu as mis quoi dans ton fichier conf ?
J'utilise vaultwarden, l'open source.github.com/dani-garcia/vaultwarden Je ne l'utilise que pour faire un backup de mes secrets, au quotidien ce n'est pas mon manager.
Depuis le temps que j'apprends par cœur cette playlist sur SWAG, je me lance enfin. Super bien expliqué comme d'habitude. Ca fonctionne, testé avec portainer et omv. Je basculerai mes autres containers au fur et à mesure. Mais je bloque pour Home Assistant qui est sur une VM proxmox (400: bad request), je ne pense pas que le problème vient de swag, mais plutôt du côté de home assistant. Qu'est ce qu'on galère pour les cas particulier qui ne sont pas dans ton tuto lol. Il doit y avoir une ligne à renseigner dans la configuration.yaml, je cherche désespérément ma réponse sur le net. Si quelqu'un à la réponse par hasard ?
C'était bien HA le problème, tout fonctionne, ensuite pour les containers c'est d'une facilité, je vais pouvoir monter d'un cran et installer authelia (même si tu m'as mis un peu le doute du fait qu'il n'y a pas trop de mise à jour, je changerais si tu fais une vidéo sur mieux)
L'idée générale de mes vidéos c'est de donner des indications. A partir du moment ou tu fais tout comme moi ca ne peut pas marcher puisque tu as besoin d'adapter à ta configuration. Avec ton message je ne peux malheureusement ni t'aider ni te conseiller, "ca ne marche pas" ne permet absolument pas à distance d'avoir la moindre idée de ce qu'il se passe.
Salut Guillaume, j'ai suivi les instructions et toute fonctionne bien merci. Mais j'ai un petit souci, je n'est accès qu'en local au service swag même après avoir ouvert les ports 443 et 80 . Aurais tu une idée ? ou besoin de plus d'information?
Effectivement aucune chance que je puisse donner une indication avec si peu d'information. Le fait d'ouvrir les ports ne les rend pas disponibles sur internet, il faut les router via un NAT sur la bonne machine. Et que veut dire "y avoir accès", ça ne veut pas dire grand chose. Via le nom de domaine, une adresse IP. Le nom de domaine marcherait en local mais pas sur internet ?
oui j'avoue la complexité . J'ai bien ouvert le port sur la machine dédier (quand je met ex. Heimdall sur le port ça fonctionne) et oui quand je tape mon adresse mondns.ovh ça fonction localement seulement. Sinon ça écrit refusé en public??? Donc, Swag prend le Control du 443 vue qu'il rend la connexion a refusé mon compose se résume à ça --- version: "2.1" services: swag: image: lscr.io/linuxserver/swag:latest container_name: swag cap_add: - NET_ADMIN environment: - PUID=1001 - PGID=100 - TZ=America/Montreal - URL=***.duckdns.org - VALIDATION=duckdns - SUBDOMAINS=wildcard - DUCKDNSTOKEN=*** - EMAIL=***@gmail.com volumes: - /home/docker/swag/appdata/config:/config ports: - 443:443 restart: unless-stopped et le log dit que le serveur est ready ?
Merci pour cette présentation de SWAG. A 29:45 : Pourquoi ne pas avoir utilisé l'adresse IP de l'hôte Docker (donc OMV) et le port 9000 pour attaquer Portainer ?
Parce que lors des mises à jour de conteneurs swag ou authelia la connexion peut etre brutalement coupée et c'est un vrai soucis, il vaut donc mieux toujours laisser un accès aussi direct que possible pour la maintenance.
Ah non n'espère pas l'avoir rapidement, j'ai un métier et une vie perso, authelia n'arrivera pas je pense avant quelque chose comme la fin de l'été. D'autant plus que la partie OpenID connect est encore beta, donc je me tate meme à évoquer le sujet et à me concentrer juste sur la partie classique de sécurisation et d'authentification. Mais de mon coté ca tourne depuis un an sans problème !
@@wawefr Pas de soucis, c'est juste que je veux etre clair, ma chaine RUclips est une activité secondaire et donc malheureusement il ne faut pas s'attendre à des miracles, je sors déjà une vidéo par semaine, ce qui est énorme, je ne peux pas progresser sur tous les sujets très vite. Et donc meme s'il y a des contenus que j'ai prévu, je sais qu'ils ne pourront pas sortir rapidement, surtout avec l'été qui approche.
@@GuiPoM J'ai beaucoup de respect et remerciements car j'ai progressé dans bien des domaines grâce à des personnes comme toi qui partagent leurs savoirs. Donc profites bien.
Merci pour ta vidéo, très pédagogique comme d'habitude. J'avais une question, si on souhaite que notre reverse proxy puisse communiquer avec un autre hôte docker. Par exemple l'hote docker DMZ(SWAG) avec l'hote docker APPS( nextcloud, bitwarden, etc...) qui est dans un autre réseau que DMZ ?
Il y a plusieurs options, l'une d'elles étant une simple connexion HTTPS vers le service en question. Tu peux aussi établir des tunnels sécurisés entre les machines. Et l'autre option c'est du docker swarm/kubernetes. Tout ça bien sûr combiné avec des règles de routage très bien réglées car ce n'est pas normal qu'une machine de DMZ aille consulter une machine hors DMZ.
Tu peux faire fonctionner swag avec une IP dynamique, c'est mon cas je suis chez Orange. Mais pas avec le service no-ip, il me semble que ce qu'ils font est complètement propriétaire et non standard, c'est pour ca qu'ils ont une offre payante pour générer des certificats.
Super boulot video très instructive . Perso je n'arrive pas a mettre en https heimdall en nom de domaine , il doit y avoir une configuration de swag qui permet cela mais soit j'ai : - heimdall en sous nomdedomaine en https - heimdall en nom de domaine http Vivement le suite ...
Salut salut merci pour l'aide encore une fois J'ai une question sur les réseaux : a un moment tu dis qu'on peut les rendre persistants J'ai testé plein de chose et je n'ai pas réussi à faire quelque chose qui fonctionne. La documentation que j'ai trouvé ne m'aide pas vraiment. Je cherche deux choses : faire appartenir à 1 réseau de manière persistante sans problème Et deuxieme est ce qu'on peut mettre sur deux réseaux à la fois les différents containers ? En soit tu dis que tu expliqueras ça dans une prochaine vidéo mais sauf si je me suis loupé, je ne l'ai pas encore vu passer. Ca se trouve juste une vidéo de moins de 10 minutes pour expliquer ça suffirait (meme si tu aimes bien parler et etre très précis)! Merci encore et bel été
Malheureusement ça fait parti des vidéos qui n'apparaitront probablement jamais sur cette chaine, faute de vues. J'ai fortement revu mes priorités sur le sujet, trop de temps passé pour trop peu de visionnage, j'ai suspendu la création de nouvelles vidéos sur cette thématique. Je ne dis pas que je n'en parlerai jamais, mais je préserve mon temps libre. Désolé !
Merci pour tes vidéos elle sont super bien réalisé et ultra complète le tout en français +1+1+1. Serait il possible que tu approfondisses l'installation / configuration de FileBrowser avec Swag. Car c'est a première vue pas du tous facile même en utilisant les connaissances de tes vidéos. Ce serait super cool.
Salut ! Peu probable qu'une vidéo de ce type sort, vu l'audience de cette série j'ai sorti les derniers sujets que je voulais aborder et je pense que je vais en rester là. Pour info filebrowser est vraiment hyper simple à déployer, il suffit de suivre la documentation à la lettre et le proxy swag est déjà existant.
@@GuiPoM Bonjour ok merci je comprend. J'ai malheureusement pas le même niveau informatique. Autant installer omv ,duckdns en compose c'est simple , swag avec ton tuto nickel mais alors filebrowser c'est pas évident. Aprés plusieurs container j'ai compris comment ajouter /srv que je voulais utiliser , le /data il ce génère mais /config au secours . Tu aurais un exemple de dockercompose pour filebrowser qui termine pas en heally au final ?
Eh non ! ce n'est pas une chaine de voyance 🔮! il faut partager un peu d'information, en particulier ce qui a été fait dans les fichiers docker compose, dans les proxy, pour espérer avoir une chance de trouver une solution ! Une erreur 502 indique une erreur côté nextcloud, je commencerais par regarder dans les logs de nextcloud
Merci beaucoup pour les différentes vidéos ça m'a aidé à franchir le pas ! Tout marche nikel ! J'aurais voulu pousser un peu plus loin la config de SWAG sans savoir si c'est réalisable ou pas, notamment en gérant plusieurs nom de domaine avec des dns différents (ex un chez Gandi et l'autre chez Duckdns) le tout en wildcard , est ce c'est réalisable ? (je fais des essaies chez moi sans réelles résultats pour l'instant^^) . En tout cas Bravo !!
C'est possible, oui, principalement en utilisant EXTRA_DOMAINS . Mais il est aussi possible de configurer le serveur nginx en interne (plus de maintenance) ou encore d'avoir deux instances swag (moins sympa)
J'arrive à accéder à mes services avec le URL à l'extérieur de mon network, mais à l'intérieur les URL duckdns ne fonctionne pas (je dois toujours utiliser le IP et le port local).
Probablement que ton nom de domaine n'est pas résolu localement ou pas accessible. J'ai parlé dans une vidéo de adguard home, c'est un service DHCP/DNS qui permet justement de faire de résolution locales de nom de domaine et donc de pouvoir utiliser indifféremment son NAS avec un nom de domaine, mais des IPs internes ou externes.
Bonjour, malgrés avoir suivi tes instructions, je n'arrive pas à faire communiquer mon HA qui est sur un RPi avec SWAG qui est sur le nas dans un container dans OMV6. Je me permet de te solliciter pour de l’aide, j'ai fait un sujet sur le forum HA, aurais-tu l’amabilité de m’éclairer de tes lumières s’il te plaît ? Bon et là je comprend pas ça fait 3 fois que mon commentaire avec le lien vers le sujet du forum disparaît donc j'essaie sans
Tu ne pourras pas mettre de lien, youtube bloque ce type de message en tant que spam, il n'y a rien à faire, je ne peux pas faire d'exception sinon je suis obligé de lire une montagne de spam et d'insultes, et je n'ai pas spécialement envie, désolé. Désolé je ne fréquente pas le forum hacf mais j'ai vu ton message. Je n'ai pas configuré ha depuis un moment, mais je pense qu'il y a des trusted proxies à ajouter entre autres.
@@GuiPoM Ne soit pas désolé je comprend tout à fait, déjà que tu passe un temps non négligeable à faire ces vidéos et à répondre, te faire emmerder par des abrutis physiques ou numériques n'est pas acceptable. J'avais espoir que tu es basculé sur HA, mais tu es pro jeedom et ce n'est pas un reproche. Il y a en effet du trusted proxies à mettre dans le configuration.yaml de HA comme l'indique le fichier homeassistant.subdomain.conf mais je ne dois pas mettre la bonne adresse puisque je tombe sur cette foutue erreur 400: Bad Request. J'ai plein de tests à faire ce week-end. En tout cas merci de la réponse.
@@tatouland5052 Je ne suis pas du tout pro jeedom, c'est juste que HA n'existait pas quand j'ai migré vers Jeedom et qu'une nouvelle migration serait bien trop couteuse pour le moment, mais je continue à étudier la possibilité. J'essayerai de vérifier plus tard sur mes serveurs de test, mais probablement pas dans la semaine qui arrive !
Bonjour, pas mal je ne connaissais pas swag, par contre pour moi next cloud, c’est plus un Google drive qu’un cloud , car un cloud c’est tellement vaste en terme de techno
Par vraiment non, Nextcloud est une suite productive auto hébergée. Si tu dois la comparer, ca serait plutot à la Google Suite, donc à Google Workspace. Tu n'as pas que du stockage, c'est de la gestion collaborative d'équipes avec Chat, Calendriers, édition en ligne, collaborative, plugins et extensions, ca va très loin !
Bonsoir Guillaume et merci pour tes vidéos Ma question concerne la différence entre swag et nginx proxy manager ? Je viens d’installer ce dernier et je tombe sur ta vidéo à l’instant donc je me pose la question sur le mieux ou moins pire 😉 Est la simplicité d’accès à fail2ban par exemple et sa configuration de règle ? En te remerciant Sinon tu as fait un vidéo sur les volumes docker ? Car je souhaite déporter les choses sur mon Synology
Il n'y a pas vraiment de mieux ou pire. Ma préférence va très largement à swag, parce que nginx proxy manager donne la fausse très bonne impression qu'un reverse proxy c'est facile avec son interface graphique, et ce serait un très bon point si dès qu'on souhaite installer des choses un peu intéressante il ne soit pas en capacité d'aller plus loin. Donc je préfère le controle total de swag. Mais c'est un choix personnel. Et non je n'ai pas fait de vidéo sur les volumes docker, et je pense pas en faire.
Merci bcp pour ton retour très rapide Je suis dans la découverte de tout ceci donc je chercher une voix la moins mauvaise pour explorer mettre en place et confirmer en production 😃 Je comprends ton choix je vais tester cette solution dans tous les cas pour le faire un avis aussi Dommage pour la petit vidéo docker et gestion des volumes cela aurait répondu à des interrogations que je peux encore avoir En tout merci pour tout ce travail
Bonjour encore moi Je viens d'installer nextcloud et pour lui donner l'accès externe sécurisé, vu que mon swag est dans un container différent, j'ai fait comme ton exemple pour portainer en mettant nextclould sur le network swag-default. Hors tu parle de pouvoir mettre en persistant dans les stacks mais je n'ai pas trouvé cette info dans tes vidéos, ou alors je l'ai loupé, il y tellement de chose et à force je me noie un peu ... Pourrais-tu développer ça ou m'indiquer où tu en parle s'il te plait ?
Il suffit de définir les réseaux dans la stack swag networks: default: name: swag nextcloud: external: true name: nextcloud et de les assigner dans les différents services des autres stacks services: nextcloud: networks: - nextcloud
@@GuiPoM Désolé de ma lenteur mais merci de ta réponse, je suppose qu'il est plus "sûr" d'utiliser cette méthode et faut-il mieux placer ces lignes à la fin de la stack ou juste par exemple avant la ligne restart: ?
Regarde plutôt du côté de traefik. Déployer sur kubernetes est différent de docker et traefik propose entre autres des scripts helm pour faciliter le déploiement. Cependant, pour un particulier et a moins de besoin très spécifique je n'irai pas explorer du côté de k8s
Moi j'ai une question : j ai suivi pour la config nextcloud du coup ça intègre swag. Si je rajout la stack swag je vais avoir des conflits. Je dois reprendre le paramétrage du docker compose de nextcloud en supprimant la parti swag et refaire un paramétrage avec la stack de swag?
La question à se poser c'est as tu vraiment besoin de revenir sur ta configuration initiale. Si tu comptes multiplier les services derrière swag, oui, ça peut valoir le coup, sinon ce sera probablement plutôt inutile. Si tu souhaites séparer nextcloud de swag dans le docker-compose c'est très simple, il suffira de l'isoler comme je le montre dans cette vidéo mais de lui raccrocher les volumes déjà existant et ca va etre quasiment instantané. Au pire il y aura juste un petit ajustement au niveau réseau docker, comme je le montre également.
Merci pour cette video très instructive, mais j'ai des difficultés avec le port 443 car j ai deja Home assistant sur ce port, je vois également que tu as jeedom avec une redirection mais impossible avec la freebox de mettre le port 443 vers 443 pour OMV.
Jeedom n'est pas hébergé sur cette machine, j'ai juste un proxy dessus. Pour le port 443 seul swag l'utilise, tous les autres services sont sécurisés derrière.
Salut J'ai un petite question. J'espère que tu as la réponse ou que quelqu'un l'aura. J'ai maintenant une freebox et je n'arrive pas à sortir de mon réseau local en entrant mon nom de domaine. Si je le rentre dans mon réseau local aucun probleme mais si je veux en sortir, c'est impossible... Est ce que tu sais s'il y a des réglages à faire en particulier mis a part la redirection du port 443 ?
Bonjour GuiPom ! Encore une fois, une excellente vidéo ! Comme toujours, j'ai quelques questions : par rapport au docker-compose de la vidéo sur Nextcloud et Swag (ruclips.net/video/vmCp0TZEzoA/видео.html), la validation n'est pas la même, le sous-domaine non plus et le token est présent. Le docker-compose de la vidéo sur Nextcloud et Swag fonctionne mais pas ce nouveau docker-compose. Une idée de l'origine de ce problème ?
Celui que j'ai montré la dernière fois utilise une sécurisation d'un seul domaine, et avec une validation http-01, celui que je montre cette fois ci supporte les sous domaines wildcard, avec une validation par API duckdns. Les deux fonctionnent parfaitement, c'est ce que je dis dans la vidéo, quand ça ne marche pas c'est que les mêmes étapes n'ont pas été reproduites, vu que j'ai filmé l'intégralité en partant de zéro. Maintenant dire ce qui ne marche pas sans aucune information, c'est de la voyance, pas de l'informatique ...
github.com/linuxserver/docker-swag/blob/master/root/etc/cont-init.d/50-config#L343 Les certificats sont demandés avec une taille de clé de 4096 en RSA. Il est possible de faire du ECDSA avec certbot mais ce n'est pas intégré à ma connaissance dans swagger.
Je pense que non, tu n'as pas fait les même étapes, puisque je pars de 0 dans chaque vidéo pour être sûr que j'aboutis bien au résultat que je présente. Je dirais que les UID/GID ne sont pas corrects. Ou un soucis avec le user docker et ses droits sur le système de fichiers. Pour info j'ai déployé une bonne dizaine de fois en suivant toujours cette méthode, sur un environnement omv, mais aussi sur une installation docker custom, et ca marche bien ! Donc si tu veux un peu d'aide, il faut m'en dire plus là ou ca coince !
@@GuiPoM Je te remercie pour la réponse apportée. Je vais refaire les manipulations, les UID/GID sont ceux d'un utilisateur créer pour prendre la place d'admin d'OMV. A bientôt
Merci Guipom pour ta vidéo comme toujours très intéressant Comme je te l'ai déjà évoqué, j'aimerai utiliser swag, mais je ne trouve pas le moyen facilement d'utiliser mon propre certificat wildcard payant et d'intégrer ça au stack docker C'est pour ça que je suis pour l'instant sur NPM qui lui gère très bien ce cas de figures
Tu ne peux pas empecher swag de faire son boulot, donc générer un certificat, mais rien ne t'empeche dans la config de nginx de lui fournir tes propres certificats à la place de ceux générés par certbot
@@GuiPoM Ok mais c'est un peu la galère Je pense que ça va tout casser des que tu récré le stack ou si il y a une mise à jour Autre question as tu mis en place des paramètrages pour forward les IP publiques réelles aux serveurs derrières les reverse proxy ? Je trouve ça pas clean d'avoir l'ip du RP dans les logs ... D'autant plus que si tu veux protéger ton serveur via croWdsec ou fail2ban sans le faire sur le rp tu ne peux pas car ce ne sont pas les IP publiques réelles
@@bartounet16 Aucun risque la configuration est sur ton volume, donc préservé, le pire qu'il puisse arriver c'est d'avoir à merger de temps en temps avec le nouveau fichier de configuration s'il est mis à jour. Ca ne m'est jamais arrivé sur ce fichier jusqu'à présent. Pour le reste, toute ma sécurisation est faite dans le reverse proxy, l'intégralité du trafic extérieur y passe, et donc mon fail2ban est localisé dedans. C'est un peu l'objectif justement, ne pas multiplier les points de configuration et tout concentrer.
Bonjour.Encore une fois très bonne vidéo. J'ai tenté l'installation de swag avec heimdall en suivant la méthode indiquée sur le site de linuxservver par contre j'ai un souci car heimdall (bien qu'accessible ) n'est pas reconnu comme un certificat ssl valide. Si quelqu'un a une piste je suis preneur.Merci
Il faut que le domaine ou le sous domaine soit bien dans la liste fournie pour la création du certificat sinon évidemment il ne sera pas valide. Donc ça dépend comment tu l'as activé (sous dossier ou sous domaine) et comment tu as configuré swag ...
@@GuiPoM merci pour ta réponse. J'ai suivi la méthode sous dossier indiquée sur le site linuxserver. Je vais creuser un peu car en fait avec cette méthode je vois que quand je tape un sous domaine qui n'existe pas j'arrive sur la page heimdall. Il faut juste que je trouve comment faire en sorte que le domaine principal soit pris en compte. Encore merci
Ca se fait automatiquement. Tu peux le forcer mais je ne sais pas pour quelle raison tu aurais besoin de le faire, peut etre si la machine est tout le temps éteinte.
au niveau du cadenas, mon certificat est expiré bien qu'il soit valide. dans details, mon certificat n'est plus validedepuis aout. Par contre je peux toujours accéder a mon homeassistant depuis le web. Par contre pas de soucis pour mon instance nextcloud via le web@@GuiPoM
C'est un poil plus complexe mais c'est le même type de procédé pour tous les fournisseurs, c'est plutot le cas de duckdns qui est à part et qui du coup à des limitations.
Ce n'est malheureusement pas avec ce niveau d'info que je peux deviner ce qui se passe sur ta machine. J'ai un discord, tu y trouveras peut etre de l'aide!
@@LeKraken53 Est-ce que tu pourrais en dire plus ou alors mettre le lien du forum, car j'ai exactement le même problème et je ne comprends pas d'où cela vient ? merci d'avance.
pour vscode ruclips.net/video/9XTYshvg8FE/видео.html&ab_channel=GuiPoM-G.test%C3%A9%21 pour les nas voir la play liste ruclips.net/video/cmH-rMCF5B4/видео.html&ab_channel=GuiPoM-G.test%C3%A9%21 bon visionnage
Salut sympa la vidéo mais dommage de supprimer des lignes sans dire a quoi elles servent ok on va sur le github et on le saura mais dommage quand même.
Je suis obligé d'aller a l'essentiel, ce que je ne montre pas ne sert pas pour le contenu, et c'est ensuite aux gens de creuser par eux même. Je peux pas faire plus sinon les vidéos qui sont déjà très longues deviennent interminables pour des détails qui ne servent pas à tout le monde. En particulier la configuration dns est spécifique à chaque fournisseur, et je ne montre qu'un seul gratuit.
Bonjour Super vidéo, merci Je faisais déjà du reverse proxy simple sans savoir que c'était ça, a la main avec apache, une galère pas possible à gérer. Quand j'ai vu ta vidéo, je me suis dit, fonces, fais ça, ça sera plus simple et en plus, proxmox, docker, ... en plus. J'utilise OVH et j'ai réussi à faire mon wilcard non sans mal. En parallèle, j'utilise Domoticz et non Jeedom pour ma domotique. Celui-ci se base sur l'IP pour demander un login/MDP et n'en demande pas quand l'IP est local (192.168.0.*; 127.0.0.*). Depuis que j'ai swag, Domoticz croit que je suis toujours en local et ne me demande plus mon identifiant depuis l'extérieur. Gros problème !! As tu une solution ou une idée à creuser pour que l'IP externe soit transmit au site cible? J'ai plusieurs autres mini sites perso que j'ai dev sur le même principe (je trouve ça pratique) et je ne les ai pas encore sécurisé dans SWAG à cause de ce problème. Merci A+
Je me réponds à moi même car ça peut être utile pour les autres Dans Domoticz, il suffit de renseigner l'IP de SWAG dans les paramètres "RemoteProxyIPs". Par contre, pour les sites hébergés par Apache, il faut activer le module "remoteip" - Connexion en SSH sur le Raspberry pi - « cd /etc/apache2 » Pour aller dans le dossier - « sudo a2enmod remoteip » pour activer le module - « sudo nano mods-available/remoteip.conf » pour éditer le fichier de configuration - Y coller les deux lignes ci dessous avec A.B.C.D : l'IP de SWAG RemoteIPInternalProxy A.B.C.D RemoteIPHeader X-Real-IP - Sauvegarder et quitter - « sudo systemctl restart apache2 » pour redémarrer Apache2 Avec ça, en PHP, "SERVER['REMOTE_ADDR'] " devrait donner l'IP du visiteur. Mais donne l'IP de la box sur le réseau local. J'espère que c'est tout bon car j'ai modifier beaucoup de fichiers pour mes tests et je ne suis peut être pas bien revenu au strict minimum. Pour un server NGNIX, je n'ai pas testé ne l'utilisant pas pour mes hébergements
Malheureusement je n'utilise pas Apache pour ce type de choses, donc je ne peux pas trop te dire pour ce genre d'usage ! Le dernier serveur Apache en production que j'utilise c'est celui de Jeedom et je n'ai pas ce problème.
est-ce que la certification mets du temps à arriver? Je vois bien mon site en https sur internet sauf que la connexion n'est pas sécurisée je vois pas comment y remédier
Comment ca "la connexion n'est pas sécurisée" ? tu es en https, ou tu ne l'es pas. Il faut aller au dela de ce que t'indiques ton navigateur et regarder le certificat qui est délivré, voir s'il est valide, généré pour quel domaine, et donc s'il s'applique bien à la navigation que tu fais.
@@GuiPoM non je me suis mal exprimé, je viens de comprendre que le certificat et délivré pour tous les sous domaines. C’est pour ça que pour mon domaine je suis en https mais avec un certificat non valide
@@loicrichard573 si tu veux que ton domaine soit également dans le certificat en plus des sous domaines il faut le déclarer comme indiqué dans la documentation de swag. Ici je montre un exemple avec duck DNS qui ne supporte pas les domaines racine.
![SWAG, mon reverse proxy 💖[docker, authelia, letsencrypt, fail2ban] - Découverte ! (01/XX)](http://i.ytimg.com/vi/CDyDpnjaLW4/mqdefault.jpg)
![SWAG, mon reverse proxy 💖[docker, authelia, letsencrypt, fail2ban] - Découverte ! (01/XX)](/img/tr.png)
![SWAG, mon reverse proxy 🔒 Sécurisation avec authelia [mot de passe, 2FA, utilisateurs ...] (03/XX)](/img/1.gif)
Franchement, une nouvelle fois génial. Tous tes "tutos" sont extrêmement bien expliqué ! J'ai regardé tes vidéos plusieurs fois avant de me lancer et je ne suis pas déçu du résultat. J'ai appris énormément de choses, j'ai pu déployer les services que je souhaitais en allant me documenter sur les sites que tu nommes. Et en plus avec un nom de domaine OVH où j'ai réussi mon "défi". J'en ai bavé, mais comme tu le dis, c'est en faisant que l'on comprend plutôt que de suivre "bêtement" un pas à pas. Maintenant let's go pour la sécurisation !
Il faut être prêt à y investir du temps, à la fois à l'installation et sur le long terme, mais quand on maitrise son installation on est ensuite bien plus armé pour répondre à des besoins sur mesure.
Par contre effectivement la sécurisation de l'ensemble est cruciale est c'est là où il faut vraiment creuser le plus, on a vite fait de faire une bêtise aux conséquences facheuses!
@@GuiPoM Merci du conseil, je vais bien regarder plusieurs fois, me documenter pour comprendre au mieux avant de me lancer.
Merci beaucoup guillaume, pour ton temps, et ton partage 👍 calme, efficace et sans fioritures
Merci pour ton retour !
Lontemps que je cherchais à accéder à mon NAS avec une adresse https, c'est chose faite, j'attaque les autres vidéo traitant de ce sujet rapidement. Un grand merci pour tes tutos toujours complets et enrichissants.
avec plaisir !
Trop bien expliqué ! J'aurais perdu moins de temps si j'avais regardé cette vidéo avant de déployer swag chez-moi...
😃
Super bien expliquée ta vidéo. J'aurais pu éviter des heures de troubleshooting si seulement elle était sortie quelques mois plus tôt ;). Mais bon, c'est comme ça qu'on apprend aussi. Hâte de voir la partie sur Authelia, pour laquelle je ne me suis pas encore aventuré.
Exactement, on apprend beaucoup mieux de ses expérimentations et de ses éventuelles erreurs qu'en regardant une solution ! 😀
Merci merci merci merci merci 🥰. Grace a vos videos, j’avance pas a pas dans l’installation de mon NAS… C’est super bien fait - vous etes devenu mon dieu du NAS 😁👍
Merci ! 😀👍
La suite ! La suite ! La suite !
J'aimerais surtout sur le fail2ban.
Au top tes vidéos.
Je ne crois pas que la suite sera sur fail2ban :)
Par contre il faudra encore patienter un peu ... beaucoup. Je fais ça quand j'ai du temps !
La qualité des ces vidéos est juste remarquable, chapeau !
Je ne parviens pas à (j'ai pris un peu d'avance sur la prochaine je crois) à définir heimdall en page d'accueil de swag malgré avoir réalisé la modif de son fichier subdomain et commenté la localisation dans le fichier default... (je soupçonne une explication côté usage du port 443 swag / heimdall) Vivement que tu traites ce sujet :-p
Merci! Non, je ne pense pas qu'une vidéo prochaine sera sur heimdall, j'ai déjà parlé d'heimdall dans ma précédente vidéo mais ensuite c'est aussi un choix personnel de configuration de reverse proxy d'avoir une page d'accueil, et laquelle, donc heimdall ne fait pas partie de cette serie sur swag.
Tu as toute une section de la documentation de swag sur la configuration de heimdall en page d'accueil et les templates de configuration arrivent avec sa configuration qu'il suffit de décommenter.
docs.linuxserver.io/general/swag#using-heimdall-as-the-home-page-at-domain-root
@@GuiPoM J'ai beau chercher, je ne vois pas comment faire pour résoudre mon problème (j'ai swag et heimdall sur le même docker) de port 443 utilisé pour afficher heimdall en page d'accueil de swag 🤔 alors que heimdall n'utilise pas ce port car deja pris par swag...
Énorme merci Guillaume! Je suis ta chaîne depuis un bon bout de temps et j'adore la façon dont tu explique la façon de faire! Je viens de me monter un NAS et j'ai installer SWAG mais je n'arrive pas à le faire fonctionner avec mon domaine cloudflare...j'ai configuer le fichier .ini comme le dis la documentation mais rien à faire!
Quelqu'un à une procédure pour savoir comment fonctionner avec cloudflare ??
toujours au top , une autre vidéo detaillée et bien expliquée, merci a vous et j'attends les prochains episodes avec impatience
Merci ! il ne faudra pas se montrer trop impatient !
Salut @GuiPoM,
Quelles adresses utilises tu pour enregistrer tes applis locales sur SWAG? Est ce que chaque applications possèdent son propre sous-domaine public? Cela voudrait dire que lorsque tu es en local, tu repasse pas l'@IP publique de ta box pour revenir sur ton LAN via SWAG? ou bien as tu configuré ton DNS local pour renvoyé une IP locale lorsque tu requêtes localement sur un sous domaine public? J'espère que mes questions sont claires...
L'idée c'est que les accès via SWAG fonctionnent aussi bien en local qu'en distant...
Au top, j'apprends énormément de chose avec tes vidéos c'est super.
Autre petit truc, est-ce que le certificat se renouvelle automatiquement ? et est-ce que le dns expirer au bout d'un certain temps ?
aucune idée pour duckdns, je pense qu'ils ne suppriment pas de comptes ou de domaine tant qu'ils n'enfreignent pas les conditions d'utilisation.
Pour le certificat, certbot inclus dans swag se charge de le renouveler. Il vérifie à chaque démarrage s'il est valide et le renouvelle la veille de l'expiration, il me semble.
Bonjour, il faut bien être root pour accéder aux répertoires des conteneurs par ssh ?
T'explique tellement bien :)
Petite suggestion, utiliser Windterm au lieu de VS Code pour faire du SSH c'est plus léger :)
Ouhlà mais ca fait tellement plus que du SSH ! ^^
Rien que pour éditer des yaml, faire de la comparaison/fusion, utiliser VSCode vaut le coup.
Je préfère présenter des outils plus généralistes, qui répondent à un peu plus de besoins.
@@GuiPoM Ah mais oui effectivement dans ce cas c'est bien plus complet, merci de ta réponse :)
J'ai un soucis par contre, j'ai jeedom égaleemnt sur une VM proxmox, mais c'est extrêmement lent en HTTPS je ne comprends pas pourquoi, j'ai pourtant fait comme les autres sous-domaines, que ce soit dans cloudflare ou en utilisant un template générique NGINX, mais non rien n'y fait : les autres s'affichent instantanément, mais jeedom met plusieurs minutes à s'afficher, je ne comprends pas trop, tu as mis quoi dans ton fichier conf ?
@@Jayknightfr Aucune idée. J'ai pris le template et j'ai juste indiqué dedans le nom d'ip de machine vers le port http
Merci beaucoup, j'ai vu que tu utilises Bitwarden. Tu as installé quelle image? L'original ou vaultwarden?
J'utilise vaultwarden, l'open source.github.com/dani-garcia/vaultwarden
Je ne l'utilise que pour faire un backup de mes secrets, au quotidien ce n'est pas mon manager.
Du coup, tu as un manger en particulier ?
Depuis le temps que j'apprends par cœur cette playlist sur SWAG, je me lance enfin. Super bien expliqué comme d'habitude. Ca fonctionne, testé avec portainer et omv.
Je basculerai mes autres containers au fur et à mesure.
Mais je bloque pour Home Assistant qui est sur une VM proxmox (400: bad request), je ne pense pas que le problème vient de swag, mais plutôt du côté de home assistant. Qu'est ce qu'on galère pour les cas particulier qui ne sont pas dans ton tuto lol. Il doit y avoir une ligne à renseigner dans la configuration.yaml, je cherche désespérément ma réponse sur le net.
Si quelqu'un à la réponse par hasard ?
C'était bien HA le problème, tout fonctionne, ensuite pour les containers c'est d'une facilité, je vais pouvoir monter d'un cran et installer authelia (même si tu m'as mis un peu le doute du fait qu'il n'y a pas trop de mise à jour, je changerais si tu fais une vidéo sur mieux)
Merci pour tes tuto et très bonne vidéo. Je voulais savoir si tu avais un tuto pour mettre en place le dashboard sur swag ?
Il y en a un de prévu, mais rien pour le moment de publié
Oui, toutes tes vidéos sont très bien faites c'est clair. MERCI ET BRAVO. SAUF ici pour moi celle la ne fonctionne pas et j'ai tous fais comme toi???
L'idée générale de mes vidéos c'est de donner des indications. A partir du moment ou tu fais tout comme moi ca ne peut pas marcher puisque tu as besoin d'adapter à ta configuration.
Avec ton message je ne peux malheureusement ni t'aider ni te conseiller, "ca ne marche pas" ne permet absolument pas à distance d'avoir la moindre idée de ce qu'il se passe.
Salut Guillaume, j'ai suivi les instructions et toute fonctionne bien merci. Mais j'ai un petit souci, je n'est accès qu'en local au service swag même après avoir ouvert les ports 443 et 80 . Aurais tu une idée ? ou besoin de plus d'information?
Effectivement aucune chance que je puisse donner une indication avec si peu d'information. Le fait d'ouvrir les ports ne les rend pas disponibles sur internet, il faut les router via un NAT sur la bonne machine.
Et que veut dire "y avoir accès", ça ne veut pas dire grand chose. Via le nom de domaine, une adresse IP. Le nom de domaine marcherait en local mais pas sur internet ?
oui j'avoue la complexité . J'ai bien ouvert le port sur la machine dédier (quand je met ex. Heimdall sur le port ça fonctionne) et oui quand je tape mon adresse mondns.ovh ça fonction localement seulement. Sinon ça écrit refusé en public??? Donc, Swag prend le Control du 443 vue qu'il rend la connexion a refusé mon compose se résume à ça
---
version: "2.1"
services:
swag:
image: lscr.io/linuxserver/swag:latest
container_name: swag
cap_add:
- NET_ADMIN
environment:
- PUID=1001
- PGID=100
- TZ=America/Montreal
- URL=***.duckdns.org
- VALIDATION=duckdns
- SUBDOMAINS=wildcard
- DUCKDNSTOKEN=***
- EMAIL=***@gmail.com
volumes:
- /home/docker/swag/appdata/config:/config
ports:
- 443:443
restart: unless-stopped
et le log dit que le serveur est ready ?
Merci pour cette présentation de SWAG.
A 29:45 : Pourquoi ne pas avoir utilisé l'adresse IP de l'hôte Docker (donc OMV) et le port 9000 pour attaquer Portainer ?
Parce que lors des mises à jour de conteneurs swag ou authelia la connexion peut etre brutalement coupée et c'est un vrai soucis, il vaut donc mieux toujours laisser un accès aussi direct que possible pour la maintenance.
Bjr Super video je viens de me lancer sur Authelia pour te devancer mais je galère donc VITEEEE la nouvelle video Top Job Bravo
Ah non n'espère pas l'avoir rapidement, j'ai un métier et une vie perso, authelia n'arrivera pas je pense avant quelque chose comme la fin de l'été.
D'autant plus que la partie OpenID connect est encore beta, donc je me tate meme à évoquer le sujet et à me concentrer juste sur la partie classique de sécurisation et d'authentification.
Mais de mon coté ca tourne depuis un an sans problème !
@@GuiPoM désolé je ne voulais pas te mettre la pression . J'ai un tuto qui devrait m'aider. A suivre donc à l'automne Bonne journée
@@wawefr Pas de soucis, c'est juste que je veux etre clair, ma chaine RUclips est une activité secondaire et donc malheureusement il ne faut pas s'attendre à des miracles, je sors déjà une vidéo par semaine, ce qui est énorme, je ne peux pas progresser sur tous les sujets très vite.
Et donc meme s'il y a des contenus que j'ai prévu, je sais qu'ils ne pourront pas sortir rapidement, surtout avec l'été qui approche.
@@GuiPoM J'ai beaucoup de respect et remerciements car j'ai progressé dans bien des domaines grâce à des personnes comme toi qui partagent leurs savoirs. Donc profites bien.
Bonjour, un grand merci pour cette vidéo (et les autres). J’ai beaucoup appris !👍🏼
Avec plaisir 🙂
Merci beaucoup. Premiers tests avec Infomaniak et duckdns OK !! Merci :-)
👍
Merci pour ta vidéo, très pédagogique comme d'habitude.
J'avais une question, si on souhaite que notre reverse proxy puisse communiquer avec un autre hôte docker. Par exemple l'hote docker DMZ(SWAG) avec l'hote docker APPS( nextcloud, bitwarden, etc...) qui est dans un autre réseau que DMZ ?
Il y a plusieurs options, l'une d'elles étant une simple connexion HTTPS vers le service en question.
Tu peux aussi établir des tunnels sécurisés entre les machines.
Et l'autre option c'est du docker swarm/kubernetes.
Tout ça bien sûr combiné avec des règles de routage très bien réglées car ce n'est pas normal qu'une machine de DMZ aille consulter une machine hors DMZ.
Bonjour, Swag est-il compatible avec un site comme No-Ip ? Ayant déjà mes adresses dessus, je me demande si je dois tout recréer avec duckdns..;
Tu peux faire fonctionner swag avec une IP dynamique, c'est mon cas je suis chez Orange.
Mais pas avec le service no-ip, il me semble que ce qu'ils font est complètement propriétaire et non standard, c'est pour ca qu'ils ont une offre payante pour générer des certificats.
une mine d'information, merci bcp pour ton travail !!🦾👍
Super boulot video très instructive .
Perso je n'arrive pas a mettre en https heimdall en nom de domaine , il doit y avoir une configuration de swag qui permet cela mais soit j'ai :
- heimdall en sous nomdedomaine en https
- heimdall en nom de domaine http
Vivement le suite ...
Salut salut merci pour l'aide encore une fois
J'ai une question sur les réseaux : a un moment tu dis qu'on peut les rendre persistants
J'ai testé plein de chose et je n'ai pas réussi à faire quelque chose qui fonctionne. La documentation que j'ai trouvé ne m'aide pas vraiment.
Je cherche deux choses : faire appartenir à 1 réseau de manière persistante sans problème
Et deuxieme est ce qu'on peut mettre sur deux réseaux à la fois les différents containers ?
En soit tu dis que tu expliqueras ça dans une prochaine vidéo mais sauf si je me suis loupé, je ne l'ai pas encore vu passer.
Ca se trouve juste une vidéo de moins de 10 minutes pour expliquer ça suffirait (meme si tu aimes bien parler et etre très précis)!
Merci encore et bel été
Malheureusement ça fait parti des vidéos qui n'apparaitront probablement jamais sur cette chaine, faute de vues.
J'ai fortement revu mes priorités sur le sujet, trop de temps passé pour trop peu de visionnage, j'ai suspendu la création de nouvelles vidéos sur cette thématique.
Je ne dis pas que je n'en parlerai jamais, mais je préserve mon temps libre. Désolé !
Merci pour tes vidéos elle sont super bien réalisé et ultra complète le tout en français +1+1+1. Serait il possible que tu approfondisses l'installation / configuration de FileBrowser avec Swag. Car c'est a première vue pas du tous facile même en utilisant les connaissances de tes vidéos. Ce serait super cool.
Salut ! Peu probable qu'une vidéo de ce type sort, vu l'audience de cette série j'ai sorti les derniers sujets que je voulais aborder et je pense que je vais en rester là.
Pour info filebrowser est vraiment hyper simple à déployer, il suffit de suivre la documentation à la lettre et le proxy swag est déjà existant.
@@GuiPoM Bonjour ok merci je comprend. J'ai malheureusement pas le même niveau informatique. Autant installer omv ,duckdns en compose c'est simple , swag avec ton tuto nickel mais alors filebrowser c'est pas évident. Aprés plusieurs container j'ai compris comment ajouter /srv que je voulais utiliser , le /data il ce génère mais /config au secours . Tu aurais un exemple de dockercompose pour filebrowser qui termine pas en heally au final ?
Bravo pour cette série mais j'ai toujours Erreur 502 pour acceder à Nextcloud alors que j'accède à OMV sans problème. Un idée ? D'avance merci
Eh non ! ce n'est pas une chaine de voyance 🔮!
il faut partager un peu d'information, en particulier ce qui a été fait dans les fichiers docker compose, dans les proxy, pour espérer avoir une chance de trouver une solution !
Une erreur 502 indique une erreur côté nextcloud, je commencerais par regarder dans les logs de nextcloud
.@@GuiPoM Merci GuyPom, j'ai trouvé la solution par la suite. le problème était dans la connexion des réseaux entre swag et nextcloud
Merci beaucoup pour les différentes vidéos ça m'a aidé à franchir le pas ! Tout marche nikel ! J'aurais voulu pousser un peu plus loin la config de SWAG sans savoir si c'est réalisable ou pas, notamment en gérant plusieurs nom de domaine avec des dns différents (ex un chez Gandi et l'autre chez Duckdns) le tout en wildcard , est ce c'est réalisable ? (je fais des essaies chez moi sans réelles résultats pour l'instant^^) . En tout cas Bravo !!
C'est possible, oui, principalement en utilisant EXTRA_DOMAINS . Mais il est aussi possible de configurer le serveur nginx en interne (plus de maintenance) ou encore d'avoir deux instances swag (moins sympa)
J'arrive à accéder à mes services avec le URL à l'extérieur de mon network, mais à l'intérieur les URL duckdns ne fonctionne pas (je dois toujours utiliser le IP et le port local).
Probablement que ton nom de domaine n'est pas résolu localement ou pas accessible. J'ai parlé dans une vidéo de adguard home, c'est un service DHCP/DNS qui permet justement de faire de résolution locales de nom de domaine et donc de pouvoir utiliser indifféremment son NAS avec un nom de domaine, mais des IPs internes ou externes.
Bonjour, malgrés avoir suivi tes instructions, je n'arrive pas à faire communiquer mon HA qui est sur un RPi avec SWAG qui est sur le nas dans un container dans OMV6.
Je me permet de te solliciter pour de l’aide, j'ai fait un sujet sur le forum HA, aurais-tu l’amabilité de m’éclairer de tes lumières s’il te plaît ?
Bon et là je comprend pas ça fait 3 fois que mon commentaire avec le lien vers le sujet du forum disparaît donc j'essaie sans
Tu ne pourras pas mettre de lien, youtube bloque ce type de message en tant que spam, il n'y a rien à faire, je ne peux pas faire d'exception sinon je suis obligé de lire une montagne de spam et d'insultes, et je n'ai pas spécialement envie, désolé.
Désolé je ne fréquente pas le forum hacf mais j'ai vu ton message.
Je n'ai pas configuré ha depuis un moment, mais je pense qu'il y a des trusted proxies à ajouter entre autres.
@@GuiPoM Ne soit pas désolé je comprend tout à fait, déjà que tu passe un temps non négligeable à faire ces vidéos et à répondre, te faire emmerder par des abrutis physiques ou numériques n'est pas acceptable.
J'avais espoir que tu es basculé sur HA, mais tu es pro jeedom et ce n'est pas un reproche.
Il y a en effet du trusted proxies à mettre dans le configuration.yaml de HA comme l'indique le fichier homeassistant.subdomain.conf mais je ne dois pas mettre la bonne adresse puisque je tombe sur cette foutue erreur 400: Bad Request. J'ai plein de tests à faire ce week-end.
En tout cas merci de la réponse.
@@tatouland5052 Je ne suis pas du tout pro jeedom, c'est juste que HA n'existait pas quand j'ai migré vers Jeedom et qu'une nouvelle migration serait bien trop couteuse pour le moment, mais je continue à étudier la possibilité.
J'essayerai de vérifier plus tard sur mes serveurs de test, mais probablement pas dans la semaine qui arrive !
Bonjour, pas mal je ne connaissais pas swag, par contre pour moi next cloud, c’est plus un Google drive qu’un cloud , car un cloud c’est tellement vaste en terme de techno
Par vraiment non, Nextcloud est une suite productive auto hébergée.
Si tu dois la comparer, ca serait plutot à la Google Suite, donc à Google Workspace.
Tu n'as pas que du stockage, c'est de la gestion collaborative d'équipes avec Chat, Calendriers, édition en ligne, collaborative, plugins et extensions, ca va très loin !
Bonsoir Guillaume et merci pour tes vidéos
Ma question concerne la différence entre swag et nginx proxy manager ?
Je viens d’installer ce dernier et je tombe sur ta vidéo à l’instant donc je me pose la question sur le mieux ou moins pire 😉
Est la simplicité d’accès à fail2ban par exemple et sa configuration de règle ?
En te remerciant
Sinon tu as fait un vidéo sur les volumes docker ? Car je souhaite déporter les choses sur mon Synology
Il n'y a pas vraiment de mieux ou pire. Ma préférence va très largement à swag, parce que nginx proxy manager donne la fausse très bonne impression qu'un reverse proxy c'est facile avec son interface graphique, et ce serait un très bon point si dès qu'on souhaite installer des choses un peu intéressante il ne soit pas en capacité d'aller plus loin.
Donc je préfère le controle total de swag. Mais c'est un choix personnel.
Et non je n'ai pas fait de vidéo sur les volumes docker, et je pense pas en faire.
Merci bcp pour ton retour très rapide
Je suis dans la découverte de tout ceci donc je chercher une voix la moins mauvaise pour explorer mettre en place et confirmer en production 😃
Je comprends ton choix je vais tester cette solution dans tous les cas pour le faire un avis aussi
Dommage pour la petit vidéo docker et gestion des volumes cela aurait répondu à des interrogations que je peux encore avoir
En tout merci pour tout ce travail
Bonjour encore moi
Je viens d'installer nextcloud et pour lui donner l'accès externe sécurisé, vu que mon swag est dans un container différent, j'ai fait comme ton exemple pour portainer en mettant nextclould sur le network swag-default.
Hors tu parle de pouvoir mettre en persistant dans les stacks mais je n'ai pas trouvé cette info dans tes vidéos, ou alors je l'ai loupé, il y tellement de chose et à force je me noie un peu ...
Pourrais-tu développer ça ou m'indiquer où tu en parle s'il te plait ?
Il suffit de définir les réseaux dans la stack swag
networks:
default:
name: swag
nextcloud:
external: true
name: nextcloud
et de les assigner dans les différents services des autres stacks
services:
nextcloud:
networks:
- nextcloud
@@GuiPoM Désolé de ma lenteur mais merci de ta réponse, je suppose qu'il est plus "sûr" d'utiliser cette méthode et faut-il mieux placer ces lignes à la fin de la stack ou juste par exemple avant la ligne restart: ?
@@tatouland5052 aucune importance, selon tes habitudes et préférences, docker s'en moque tant que c'est correct.
Bonjour,
Penses-tu qu'il existe une solution pour faire fonctionner swag sur un cluster kubernetes ?
Regarde plutôt du côté de traefik. Déployer sur kubernetes est différent de docker et traefik propose entre autres des scripts helm pour faciliter le déploiement. Cependant, pour un particulier et a moins de besoin très spécifique je n'irai pas explorer du côté de k8s
Moi j'ai une question : j ai suivi pour la config nextcloud du coup ça intègre swag.
Si je rajout la stack swag je vais avoir des conflits. Je dois reprendre le paramétrage du docker compose de nextcloud en supprimant la parti swag et refaire un paramétrage avec la stack de swag?
La question à se poser c'est as tu vraiment besoin de revenir sur ta configuration initiale. Si tu comptes multiplier les services derrière swag, oui, ça peut valoir le coup, sinon ce sera probablement plutôt inutile.
Si tu souhaites séparer nextcloud de swag dans le docker-compose c'est très simple, il suffira de l'isoler comme je le montre dans cette vidéo mais de lui raccrocher les volumes déjà existant et ca va etre quasiment instantané. Au pire il y aura juste un petit ajustement au niveau réseau docker, comme je le montre également.
Merci pour cette video très instructive, mais j'ai des difficultés avec le port 443 car j ai deja Home assistant sur ce port, je vois également que tu as jeedom avec une redirection mais impossible avec la freebox de mettre le port 443 vers 443 pour OMV.
Jeedom n'est pas hébergé sur cette machine, j'ai juste un proxy dessus.
Pour le port 443 seul swag l'utilise, tous les autres services sont sécurisés derrière.
Salut
J'ai un petite question. J'espère que tu as la réponse ou que quelqu'un l'aura.
J'ai maintenant une freebox et je n'arrive pas à sortir de mon réseau local en entrant mon nom de domaine. Si je le rentre dans mon réseau local aucun probleme mais si je veux en sortir, c'est impossible...
Est ce que tu sais s'il y a des réglages à faire en particulier mis a part la redirection du port 443 ?
Bonjour GuiPom ! Encore une fois, une excellente vidéo !
Comme toujours, j'ai quelques questions : par rapport au docker-compose de la vidéo sur Nextcloud et Swag (ruclips.net/video/vmCp0TZEzoA/видео.html), la validation n'est pas la même, le sous-domaine non plus et le token est présent. Le docker-compose de la vidéo sur Nextcloud et Swag fonctionne mais pas ce nouveau docker-compose. Une idée de l'origine de ce problème ?
Celui que j'ai montré la dernière fois utilise une sécurisation d'un seul domaine, et avec une validation http-01, celui que je montre cette fois ci supporte les sous domaines wildcard, avec une validation par API duckdns. Les deux fonctionnent parfaitement, c'est ce que je dis dans la vidéo, quand ça ne marche pas c'est que les mêmes étapes n'ont pas été reproduites, vu que j'ai filmé l'intégralité en partant de zéro.
Maintenant dire ce qui ne marche pas sans aucune information, c'est de la voyance, pas de l'informatique ...
Hello vidéo cool, le certificat il est en 2048 ou 4096 et si 2048 y a la possibilité de faire un 4096 ?
github.com/linuxserver/docker-swag/blob/master/root/etc/cont-init.d/50-config#L343
Les certificats sont demandés avec une taille de clé de 4096 en RSA.
Il est possible de faire du ECDSA avec certbot mais ce n'est pas intégré à ma connaissance dans swagger.
@@GuiPoM Merci pour la réponse rapide, j'avais pas vu pour le RSA juste la DH Param.
Bonjour, super sympa comme vidéo, cependant j'ai fais exactement le process et cela me met que swav est en control limited, pourquoi ? :(
Je pense que non, tu n'as pas fait les même étapes, puisque je pars de 0 dans chaque vidéo pour être sûr que j'aboutis bien au résultat que je présente.
Je dirais que les UID/GID ne sont pas corrects. Ou un soucis avec le user docker et ses droits sur le système de fichiers.
Pour info j'ai déployé une bonne dizaine de fois en suivant toujours cette méthode, sur un environnement omv, mais aussi sur une installation docker custom, et ca marche bien !
Donc si tu veux un peu d'aide, il faut m'en dire plus là ou ca coince !
@@GuiPoM Je te remercie pour la réponse apportée. Je vais refaire les manipulations, les UID/GID sont ceux d'un utilisateur créer pour prendre la place d'admin d'OMV. A bientôt
@@arlanluck9725 ok. A quel endroit vois tu un message de ce type exactement? Et quel est le message exact?
Merci Guipom pour ta vidéo
comme toujours très intéressant
Comme je te l'ai déjà évoqué, j'aimerai utiliser swag, mais je ne trouve pas le moyen facilement d'utiliser mon propre certificat wildcard payant et d'intégrer ça au stack docker
C'est pour ça que je suis pour l'instant sur NPM qui lui gère très bien ce cas de figures
Tu ne peux pas empecher swag de faire son boulot, donc générer un certificat, mais rien ne t'empeche dans la config de nginx de lui fournir tes propres certificats à la place de ceux générés par certbot
@@GuiPoM Ok mais c'est un peu la galère
Je pense que ça va tout casser des que tu récré le stack ou si il y a une mise à jour
Autre question as tu mis en place des paramètrages pour forward les IP publiques réelles aux serveurs derrières les reverse proxy ?
Je trouve ça pas clean d'avoir l'ip du RP dans les logs ...
D'autant plus que si tu veux protéger ton serveur via croWdsec ou fail2ban sans le faire sur le rp tu ne peux pas car ce ne sont pas les IP publiques réelles
@@bartounet16 Aucun risque la configuration est sur ton volume, donc préservé, le pire qu'il puisse arriver c'est d'avoir à merger de temps en temps avec le nouveau fichier de configuration s'il est mis à jour. Ca ne m'est jamais arrivé sur ce fichier jusqu'à présent.
Pour le reste, toute ma sécurisation est faite dans le reverse proxy, l'intégralité du trafic extérieur y passe, et donc mon fail2ban est localisé dedans. C'est un peu l'objectif justement, ne pas multiplier les points de configuration et tout concentrer.
Bonjour.Encore une fois très bonne vidéo. J'ai tenté l'installation de swag avec heimdall en suivant la méthode indiquée sur le site de linuxservver par contre j'ai un souci car heimdall (bien qu'accessible ) n'est pas reconnu comme un certificat ssl valide. Si quelqu'un a une piste je suis preneur.Merci
Il faut que le domaine ou le sous domaine soit bien dans la liste fournie pour la création du certificat sinon évidemment il ne sera pas valide. Donc ça dépend comment tu l'as activé (sous dossier ou sous domaine) et comment tu as configuré swag ...
@@GuiPoM merci pour ta réponse. J'ai suivi la méthode sous dossier indiquée sur le site linuxserver. Je vais creuser un peu car en fait avec cette méthode je vois que quand je tape un sous domaine qui n'existe pas j'arrive sur la page heimdall. Il faut juste que je trouve comment faire en sorte que le domaine principal soit pris en compte. Encore merci
@@GuiPoM En fait ça fonctionne quand je mets www.domaine.duckdns mais pas si je ne mets pas les www
Bonjour GuiPoM, comment renouvelle t on le certificat stp?? Preneur si quelqu'un un a une idée. Et évidemment, merci pour le temps consacré GuiPoM.
Ca se fait automatiquement. Tu peux le forcer mais je ne sais pas pour quelle raison tu aurais besoin de le faire, peut etre si la machine est tout le temps éteinte.
au niveau du cadenas, mon certificat est expiré bien qu'il soit valide. dans details, mon certificat n'est plus validedepuis aout. Par contre je peux toujours accéder a mon homeassistant depuis le web. Par contre pas de soucis pour mon instance nextcloud via le web@@GuiPoM
super vidéo !, comment vous avez fait le portail d'application s'il vous plaît ?
C'est expliqué dans la vidéo que ce sera le sujet d'un futur contenu. C'est Heimdall le portail en question
@@GuiPoM D'accord merci beaucoup je regarderai, et merci pour la réactivité.
marche nickel avec cloudflare comme fournisseur DNS. Un peu plus "pénible" que sur duckdns de ce que je vois, mais ca marche très bien
C'est un poil plus complexe mais c'est le même type de procédé pour tous les fournisseurs, c'est plutot le cas de duckdns qui est à part et qui du coup à des limitations.
Salut, apres avoir suivi toute les etapes je me retrouve toujours sur la page d'acceil de swag. Je n'arrive pas a comprendre pourquoi.
Ce n'est malheureusement pas avec ce niveau d'info que je peux deviner ce qui se passe sur ta machine.
J'ai un discord, tu y trouveras peut etre de l'aide!
@@GuiPoM J'ai réussi à régler le problème sur un forum
@@LeKraken53 Est-ce que tu pourrais en dire plus ou alors mettre le lien du forum, car j'ai exactement le même problème et je ne comprends pas d'où cela vient ? merci d'avance.
@@LeKraken53 Pourrait tu me dire comment tu as fait pour résoudre ce problème ?
@@DarioPerestrelo idem pour moi , t'as trouvé une solution ?
C'est quoi la première vidéo svp
ruclips.net/video/CDyDpnjaLW4/видео.html
pour vscode
ruclips.net/video/9XTYshvg8FE/видео.html&ab_channel=GuiPoM-G.test%C3%A9%21
pour les nas voir la play liste
ruclips.net/video/cmH-rMCF5B4/видео.html&ab_channel=GuiPoM-G.test%C3%A9%21
bon visionnage
Pour information toutes les vidéos sont dans les fiches associées à cette vidéo. Et tu as eu en plus une réponse !
@@olivierbrette9686 merci !
Salut sympa la vidéo mais dommage de supprimer des lignes sans dire a quoi elles servent ok on va sur le github et on le saura mais dommage quand même.
Je suis obligé d'aller a l'essentiel, ce que je ne montre pas ne sert pas pour le contenu, et c'est ensuite aux gens de creuser par eux même. Je peux pas faire plus sinon les vidéos qui sont déjà très longues deviennent interminables pour des détails qui ne servent pas à tout le monde.
En particulier la configuration dns est spécifique à chaque fournisseur, et je ne montre qu'un seul gratuit.
@@GuiPoM oui je comprend bien après pour la partie dans je ne sais pas si c'est spécifié sur leur github pour les différents fournisseurs
👍👍👍👍👍👍👍👍👍👍👍👍👍
Bonjour
Super vidéo, merci
Je faisais déjà du reverse proxy simple sans savoir que c'était ça, a la main avec apache, une galère pas possible à gérer. Quand j'ai vu ta vidéo, je me suis dit, fonces, fais ça, ça sera plus simple et en plus, proxmox, docker, ... en plus.
J'utilise OVH et j'ai réussi à faire mon wilcard non sans mal.
En parallèle, j'utilise Domoticz et non Jeedom pour ma domotique. Celui-ci se base sur l'IP pour demander un login/MDP et n'en demande pas quand l'IP est local (192.168.0.*; 127.0.0.*).
Depuis que j'ai swag, Domoticz croit que je suis toujours en local et ne me demande plus mon identifiant depuis l'extérieur. Gros problème !!
As tu une solution ou une idée à creuser pour que l'IP externe soit transmit au site cible?
J'ai plusieurs autres mini sites perso que j'ai dev sur le même principe (je trouve ça pratique) et je ne les ai pas encore sécurisé dans SWAG à cause de ce problème.
Merci
A+
Je me réponds à moi même car ça peut être utile pour les autres
Dans Domoticz, il suffit de renseigner l'IP de SWAG dans les paramètres "RemoteProxyIPs".
Par contre, pour les sites hébergés par Apache, il faut activer le module "remoteip"
- Connexion en SSH sur le Raspberry pi
- « cd /etc/apache2 » Pour aller dans le dossier
- « sudo a2enmod remoteip » pour activer le module
- « sudo nano mods-available/remoteip.conf » pour éditer le fichier de configuration
- Y coller les deux lignes ci dessous avec A.B.C.D : l'IP de SWAG
RemoteIPInternalProxy A.B.C.D
RemoteIPHeader X-Real-IP
- Sauvegarder et quitter
- « sudo systemctl restart apache2 » pour redémarrer Apache2
Avec ça, en PHP, "SERVER['REMOTE_ADDR'] " devrait donner l'IP du visiteur.
Mais donne l'IP de la box sur le réseau local.
J'espère que c'est tout bon car j'ai modifier beaucoup de fichiers pour mes tests et je ne suis peut être pas bien revenu au strict minimum.
Pour un server NGNIX, je n'ai pas testé ne l'utilisant pas pour mes hébergements
Malheureusement je n'utilise pas Apache pour ce type de choses, donc je ne peux pas trop te dire pour ce genre d'usage ! Le dernier serveur Apache en production que j'utilise c'est celui de Jeedom et je n'ai pas ce problème.
est-ce que la certification mets du temps à arriver? Je vois bien mon site en https sur internet sauf que la connexion n'est pas sécurisée je vois pas comment y remédier
Comment ca "la connexion n'est pas sécurisée" ? tu es en https, ou tu ne l'es pas. Il faut aller au dela de ce que t'indiques ton navigateur et regarder le certificat qui est délivré, voir s'il est valide, généré pour quel domaine, et donc s'il s'applique bien à la navigation que tu fais.
@@GuiPoM non je me suis mal exprimé, je viens de comprendre que le certificat et délivré pour tous les sous domaines. C’est pour ça que pour mon domaine je suis en https mais avec un certificat non valide
@@loicrichard573 si tu veux que ton domaine soit également dans le certificat en plus des sous domaines il faut le déclarer comme indiqué dans la documentation de swag. Ici je montre un exemple avec duck DNS qui ne supporte pas les domaines racine.