Vue d'ensemble
Documentation Infrastructure OBBConnect — Montréal
Version
v5.9 — 24 April 2026
Serveur
homeserver · 192.168.1.21
Matériel
GMKtec NucBox K8 Plus · AMD Ryzen 7 8845HS · 32 Go · 1 To SSD
OS
Ubuntu 24.04.4 LTS Server · Kernel 6.8.0-107-generic
Réseau
UniFi Dream Machine SE · VLAN 1/30/50/60
Domaine
obbconnect.net · Cloudflare Zero Trust : obbconnect
Audit sécurité 05/04/2026 complété. HomeKit filtré 07/04/2026. Rapport Graylog Intelligent déployé 10/04/2026. Harmony Hubs intégrés HA 10/04/2026. TR-004U migré NAS Storage Mode 09/04/2026. Vault épinglé 1.17.6 (15/04/2026). 1641 — WiZ Entrée 1+2 intégrés HA + automation crépuscule (19/04/2026). Sun2 + binary sensors solaires template (golden_hour, blue_hour_reelle, nuit_nautique_reelle) déployés. Sensibo Air Pro x2 installés (Chambre Gauche + Droite) + 12 automations Sensibo déployées (20/04/2026).
Document de référence opérationnelle pour l'administration du homeserver domotique OBBConnect. Généré automatiquement — toujours à jour.
Section 1
Inventaire des machines
Rôles et adresses IP de chaque équipement
| Machine | IP | VLAN | Rôle |
|---|---|---|---|
| homeserver (GMKtec NucBox K8 Plus) | 192.168.1.21 | VLAN 1 Admin | Mini PC principal · AMD Ryzen 7 8845HS · 32 Go · 1 To · Héberge tous les conteneurs Docker · Refroidissement : dual-fan Hyper Ice Chamber 2.0 (CPU Fan + System Fan) · BIOS Full Speed abaissé à 65°C (10/04/2026) |
| QNAP TS-435XeU | 192.168.1.60 | VLAN 1 Admin | NAS — sauvegardes automatiques SMB, serveur NTP primaire. TR-004U : Storage Pool 2 (External RAID), Volume VOL_TR004U 21.61 TB, partages FILMS / TV_SHOWS / IPHONE_OBB |
| Raspberry Pi 4 | 192.168.1.70 | VLAN 1 Admin | Monitoring températures rack — Prometheus + Grafana |
| UDM-SE | 192.168.1.1 | VLAN 1 Admin | UniFi Dream Machine SE — routeur/firewall, VLANs, WireGuard |
| CyberPower UPS | 192.168.1.62 | VLAN 1 Admin | Onduleur CP1500PFCLCDa — monitoring batterie, interface web, alertes Uptime Kuma |
| MacBook Pro | DHCP | VLAN 1 Admin | Poste d'administration — SSH ed25519 via 1Password + Touch ID |
Section 2
Services Docker — homeserver
14 conteneurs · Structure normalisée /opt/docker/[service]/
Tous les services sont dans
/opt/docker/[service]/docker-compose.yml. Structure normalisée le 05/04/2026.| Conteneur | Image | Port(s) | Dossier compose | URL externe |
|---|---|---|---|---|
| homeassistant | ghcr.io/home-assistant/home-assistant:stable | 8123 | /opt/docker/homeassistant/ | ha-ext.obbconnect.net |
| music-assistant | ghcr.io/music-assistant/server:latest | 8095/8097 | /opt/docker/music-assistant/ | ma-ext.obbconnect.net |
| portainer | portainer/portainer-ce:latest | 9000 | /opt/docker/portainer/ | — |
| adguardhome | adguard/adguardhome:latest | 53/3000 | /opt/docker/adguard/ | — |
| nginx-proxy-manager | jc21/nginx-proxy-manager:latest | 80/443/81 | /opt/docker/nginx-proxy-manager/ | — |
| graylog (stack) | graylog/graylog + MongoDB + OpenSearch | 9001 | /opt/docker/graylog/ | — |
| n8n | n8nio/n8n:latest | 5678 | /opt/docker/n8n/ | — |
| vault | hashicorp/vault:1.17.6 | 8200 (interne Docker) | /opt/docker/vault/ | — |
| cloudflare-ddns | favonia/cloudflare-ddns:latest | — | /opt/docker/cloudflare-ddns/ | — |
| cloudflared | cloudflare/cloudflared:latest | — | — | Tunnel ZT |
| watchtower | containrrr/watchtower:latest | — | /opt/docker/watchtower/ | — |
| uptime-kuma | louislam/uptime-kuma:1 | 3001 | /opt/docker/uptime-kuma/ | — |
Port 8097 requis pour Music Assistant (streamserver Sonos) — règle firewall IoT → homeserver distincte du port 8095.
Réseaux Docker
| Réseau Docker | Subnet | Usage |
|---|---|---|
| nginx-proxy-manager_default | 172.19.0.0/16 | NPM, AdGuard, Graylog, cloudflared, n8n, Vault |
| bridge (défaut) | 172.17.0.0/16 | Portainer, Watchtower, Uptime Kuma |
| host | — | homeassistant, music-assistant — utilisent directement l'IP du homeserver |
Les IPs Docker (172.19.x.x) changent à chaque reboot. NPM doit toujours pointer vers les noms de conteneurs, jamais vers des IPs Docker.
Section 3
Réseau & VLANs
UniFi Dream Machine SE · Zones firewall
| VLAN | Nom | Subnet | Équipements / Usage |
|---|---|---|---|
| VLAN 1 | Admin | 192.168.1.0/24 | homeserver, NAS, Pi, UDM-SE, UPS, MacBook Pro. DNS : 192.168.1.21 |
| VLAN 30 | IoT | 192.168.30.0/24 | Sonos, Philips Hue, Lutron, Apple TV, Shelly EM (à venir) |
| VLAN 50 | Guest | — | THE INVADERS — réseau invités isolé |
| VLAN 60 | Apt | 192.168.60.0/24 | 1641 — appartement isolé. WiZ: .40-.49 · Sensibo: .30-.32 · Lutron Bridge Pro: .10 · Apple TV: .20 |
Règles firewall IoT → homeserver
| Règle | Proto | Port | Destination | Raison |
|---|---|---|---|---|
| ALLOW IoT → HA | TCP | 8123 | 192.168.1.21 | Home Assistant API |
| ALLOW IoT → MA API | TCP | 8095 | 192.168.1.21 | Music Assistant commandes |
| ALLOW IoT → MA Stream | TCP | 8097 | 192.168.1.21 | Sonos streamserver audio |
Section 4
Règles UFW — homeserver
Audit sécurité 05/04/2026 · Règles ciblées par port et subnet
Audit UFW 05/04/2026 — règles larges ALLOW Anywhere depuis LAN et IoT supprimées. DNS port 53 restreint aux 4 subnets légitimes. Toutes les règles sont maintenant ciblées par port et subnet.
| Règle | Action | Source | Commentaire |
|---|---|---|---|
| 22/tcp | ALLOW | 192.168.1.0/24 | SSH — Admin VLAN uniquement |
| 8123/tcp | ALLOW | 192.168.1.0/24 | Home Assistant — Admin VLAN |
| 8123/tcp | ALLOW | 192.168.30.0/24 | Home Assistant — IoT VLAN |
| 8123/tcp | ALLOW | 172.16.0.0/12 | Home Assistant — réseaux Docker |
| 9000/tcp | ALLOW | 192.168.1.0/24 | Portainer — Admin VLAN |
| 9001/tcp | ALLOW | 192.168.1.0/24 | Graylog UI — Admin VLAN |
| 5140/tcp+udp | ALLOW | 192.168.1.0/24 | Graylog Syslog — Admin VLAN |
| 3000/tcp | ALLOW | 192.168.1.0/24 | AdGuard UI — Admin VLAN |
| 81/tcp | ALLOW | 192.168.1.0/24 | NPM Admin — Admin VLAN |
| 80/tcp · 443/tcp | ALLOW | Anywhere | NPM HTTP/HTTPS |
| 53/tcp+udp | ALLOW | 192.168.1.0/24 | AdGuard DNS — Admin VLAN |
| 53/tcp+udp | ALLOW | 192.168.30.0/24 | AdGuard DNS — IoT VLAN |
| 53/tcp+udp | ALLOW | 192.168.2.0/24 | AdGuard DNS — WireGuard VPN |
| 53/tcp+udp | ALLOW | 172.16.0.0/12 | AdGuard DNS — Docker networks |
| 21064 | ALLOW | 192.168.1.0/24 | HomeKit Bridge — Admin VLAN |
| Anywhere | ALLOW | 192.168.2.0/24 | WireGuard VPN clients — accès admin complet |
| 8095/tcp | ALLOW | 192.168.30.0/24 | Music Assistant API — IoT VLAN Sonos |
| 8097/tcp | ALLOW | 192.168.30.0/24 | Music Assistant Streamserver — IoT VLAN Sonos |
| 8095/tcp | ALLOW | 172.19.0.0/16 | Music Assistant — NPM Docker |
| 5678/tcp | ALLOW | 172.19.0.0/16 | n8n — NPM Docker |
| 2375/tcp | ALLOW | 172.19.0.0/16 | Docker API — n8n |
| 22/tcp | ALLOW | 172.19.0.0/16 | SSH — n8n Docker network |
| 3001/tcp | ALLOW | 192.168.1.0/24 | Uptime Kuma — Admin VLAN |
Section 5
Accès distant
VPN · Cloudflare Zero Trust · Tunnels SSH
| Méthode | Portée | Détails | Usage |
|---|---|---|---|
| SSH direct | Local + VPN | ssh homeserver — ed25519 via 1Password + Touch ID | Administration système, Docker CLI |
| WireGuard VPN | Distant | vpn.obbconnect.net:51820 — split-tunnel subnets LAN | Accès complet LAN depuis l'extérieur |
| Cloudflare Zero Trust | Distant sans VPN | Tunnel chiffré — policy Accès OBB (Tutanota, 1 mois) | ha-ext, nas-ext, ups-ext, ma-ext |
| Nabu Casa | Distant (fallback) | Compte iCloud — Alexa + Google Assistant | Apps mobiles HA, assistants vocaux |
| Tunnels SSH | Local + VPN | ssh -N tunnel-[service] — 7 tunnels configurés | Secours si NPM ou VPN indisponible |
Tunnels SSH Mac
| Alias SSH | Port local | URL après tunnel |
|---|---|---|
| tunnel-ha | 18123 | http://localhost:18123 |
| tunnel-portainer | 19000 | http://localhost:19000 |
| tunnel-adguard | 13000 | http://localhost:13000 |
| tunnel-graylog | 19001 | http://localhost:19001 |
| tunnel-nas | 18080 | http://localhost:18080 |
| tunnel-vault | 18200 | http://localhost:18200/ui |
| tunnel-n8n | 15678 | http://localhost:15678 |
Toujours fermer le tunnel avec
Ctrl+C après utilisation.WireGuard VPN
| Paramètre | Valeur |
|---|---|
| Domaine | vpn.obbconnect.net (Cloudflare DNS only, TTL 2 min) |
| Port | 51820/UDP |
| Subnet VPN | 192.168.2.0/24 — gateway 192.168.2.1 |
| Clients | OBB24 (192.168.2.2), MacBook Pro OBB (192.168.2.3), CLIENT_NAS_CATH (192.168.2.4) |
| Split-tunnel | 192.168.2.0/24 + 192.168.1.0/24 + 192.168.30.0/24 |
Fix 27/03/2026 : route statique 192.168.2.0/24 ajoutée dans /etc/netplan/50-cloud-init.yaml + règle UFW ALLOW from 192.168.2.0/24.
Section 6
Nginx Proxy Manager
Certificat SSL wildcard *.obbconnect.net · Proxy hosts par nom
| Paramètre | Valeur |
|---|---|
| Ports exposés | 80 (HTTP), 443 (HTTPS), 81 (interface admin) |
| Certificat SSL | Wildcard *.obbconnect.net — Let's Encrypt + Cloudflare DNS |
| Expiration cert. | 21 juin 2026 — renouvellement automatique cron 3h15 via Certbot |
| Compose | /opt/docker/nginx-proxy-manager/docker-compose.yml |
| Certbot config | /opt/docker/certbot/config/ |
| Cert NPM | /opt/docker/nginx-proxy-manager/letsencrypt/live/npm-1/ |
Proxy Hosts HTTPS actifs
| URL publique | Backend (nom conteneur) | Service |
|---|---|---|
| ha.obbconnect.net | homeassistant:8123 | Home Assistant |
| ma.obbconnect.net | 172.17.0.1:8095 | Music Assistant (host network) |
| portainer.obbconnect.net | portainer:9000 | Portainer Docker |
| adguard.obbconnect.net | adguardhome:3000 | AdGuard Home |
| graylog.obbconnect.net | graylog:9001 | Graylog logs |
| n8n.obbconnect.net | n8n:5678 | n8n automatisation |
| npm.obbconnect.net | 127.0.0.1:81 | NPM interface admin |
| vault.obbconnect.net | vault:8200 | HashiCorp Vault (Docker interne) |
| nas.obbconnect.net | 192.168.1.60:443 | QNAP NAS |
| grafana.obbconnect.net | 192.168.1.70:3000 | Grafana Pi |
| ups.obbconnect.net | 192.168.1.62 | CyberPower UPS |
Tous les proxy hosts utilisent les noms de conteneurs (ex: vault, adguardhome) — jamais les IPs Docker qui changent après reboot.
Section 7
Cloudflare DNS & Zero Trust
obbconnect.net · Plan Free · team: obbconnect
Entrées DNS actives
| Sous-domaine | Type | Cible | Proxy | Notes |
|---|---|---|---|---|
| vpn | A | 70.24.246.252 | DNS only | WireGuard — IP WAN Bell, MAJ par cloudflare-ddns |
| ha / portainer / graylog / adguard / ma / npm / n8n / vault | A | 192.168.1.21 | DNS only | Services homeserver via NPM |
| nas | A | 192.168.1.60 | DNS only | QNAP NAS via NPM |
| grafana | A | 192.168.1.70 | DNS only | Grafana Pi — accès direct port 3000 |
| ups | A | 192.168.1.62 | DNS only | CyberPower UPS — accès direct |
| home | CNAME | obbconnect-home.pages.dev | Proxied | Dashboard Cloudflare Pages |
| docs | CNAME | obbconnect-home.pages.dev | Proxied | Documentation Cloudflare Pages |
Tunnels Zero Trust exposés
| URL externe | Backend | Notes |
|---|---|---|
| ha-ext.obbconnect.net | homeassistant:8123 | trusted_proxies 172.19.0.0/16 dans HA |
| nas-ext.obbconnect.net | 192.168.1.60 (HTTPS+NoTLS) | Accès NAS externe |
| ups-ext.obbconnect.net | 192.168.1.62 | Accès UPS externe |
| ma-ext.obbconnect.net | homeassistant:8095 | Accès Music Assistant externe |
Politique Access "Accès OBB" — email Tutanota uniquement, session 1 mois. Portainer NON exposé via tunnel. vault.obbconnect.net résout en IP privée uniquement.
Section 8
Home Assistant
Domotique centrale · HACS · Mushroom Cards · Kiosk Mode
| Intégration | Bridge / IP | VLAN | Notes |
|---|---|---|---|
| Philips Hue | Hue Bridge Pro | IoT 30 | Intégration native HA |
| Lutron Caseta | Bridge Pro | IoT 30 | Intégration native HA |
| Sonos | IPs manuelles | IoT 30 | IPs fixes dans configuration.yaml HA — mDNS ne traverse pas les VLANs |
| Google Cast | Auto-discovery | Admin 1 | Nest Hub, Chromecast, TV Streamer |
| Apple TV Salon | 192.168.1.168 | Admin 1 | Hub HomeKit cross-VLAN |
| Apple TV Loft | 192.168.1.169 | Admin 1 | ATV-LOFT |
| HomeKit Bridge | Port 21064 | Admin 1 | iPhone → ATV Salon → HASS Bridge → HA → IoT. Domaines exposés : light, climate, cover, switch, remote, sensor, media_player. Limite 150 appareils — scene/button/automation exclus (07/04/2026) |
| Nabu Casa | Cloud (iCloud) | — | Alexa + Google Assistant. 0 entité exposée volontairement |
| WiZ 1641 — Entrée | 192.168.60.40 / .41 | Apt 60 | UDP 38899 (HA→WiZ) + 38900 (WiZ→HA). Firewall UniFi: Internal→WiZ + WiZ→HA. Automation crépuscule: fade 100%→50% sur golden/blue hour, 50% nuit, météo le jour |
| Sensibo Air Pro — 1641 Chambre Gauche | 192.168.60.30 | Apt 60 | climate.chambre_gauche. AirQ intégré (CO2, TVOC). Cloud API. 6 automations: Confort Climatique, Alerte CO2, Alerte Filtre, Lumière, Alerte TVOC, Firmware. |
| Sensibo Air Pro — 1641 Chambre Droite | 192.168.60.31 | Apt 60 | climate.chambre_droite. AirQ intégré (CO2, TVOC). Cloud API. 6 automations identiques Chambre Gauche. MAC: 10:06:1C:50:8B:84. |
| Music Assistant | 8095 / 8097 | IoT 30 | Sonos multi-pièces — port 8097 streamserver |
Assistants vocaux
| Assistant | Méthode | Status |
|---|---|---|
| Amazon Alexa | Skill 'Home Assistant' via Nabu Casa | Actif |
| Google Assistant | Skill 'Home Assistant Cloud by Nabu Casa' | Actif |
| Synthèse vocale HA | BrigitteNeural — français | Actif |
trusted_proxies resserré à 172.19.0.0/16 (réseau Docker NPM uniquement) — audit 05/04/2026.
Section 9
HashiCorp Vault
Gestionnaire de secrets machine · Isolé réseau Docker · AWS KMS
| Paramètre | Valeur |
|---|---|
| Image Docker | hashicorp/vault:1.17.6 — épinglée (latest incompatible kernel Ubuntu 15/04/2026) |
| Compose | /opt/docker/vault/docker-compose.yml |
| Config | /opt/docker/vault/config/vault.hcl |
| Secrets AWS KMS | /opt/docker/vault/vault.env (chmod 600, root) |
| Port binding | Interne Docker uniquement — aucun port publié sur le host (audit 05/04/2026) |
| api_addr | http://192.168.1.21:8200 |
| Auto-unseal | AWS KMS — us-east-2 |
| Accès HTTPS | https://vault.obbconnect.net (via NPM, nom conteneur vault) |
| Accès tunnel SSH | ssh -N tunnel-vault → http://localhost:18200/ui |
| Emergency Kit | 1Password : Vault — Emergency Kit — homeserver |
3 contrôles routiniers Vault :
1.
2.
3.
1.
dig vault.obbconnect.net +short → doit retourner IP privée (192.168.1.21) uniquement2.
docker ps | grep vault → doit afficher 8200/tcp sans IP host devant3.
curl -s --max-time 3 http://192.168.1.21:8200 → doit retourner videSecrets engines actifs
| Chemin | Type | Contenu |
|---|---|---|
| obbconnect/backup/unifi | KV | UNIFI_PASS — mot de passe UniFi pour scripts backup |
| obbconnect/backup/rclone | KV | account, key, crypt_password, crypt_password2 — Backblaze B2 |
| obbconnect/ai/anthropic | KV | Clé API Claude — workflows n8n |
| obbconnect/graylog/config | KV | Credentials Graylog |
| obbconnect/network/cloudflare-ddns | KV | Token Cloudflare DDNS |
| obbconnect/network/unifi-proxy | KV | Credentials UniFi proxy |
Architecture secrets OBBConnect
Règle fondamentale : un humain tape le secret → 1Password. Un processus lit le secret → Vault.
| Coffre | Type | Contenu |
|---|---|---|
| 1Password | Humain | Logins, SSH keys, accès admin, emergency kits, credentials cloud |
| HashiCorp Vault | Machine | Tokens API, credentials scripts, secrets Docker, rclone B2 |
Section 10
n8n — Automatisation
Workflows · Rapport Graylog Intelligent · Ops Advisor v4 · Telegram
| Paramètre | Valeur |
|---|---|
| Port | 5678 |
| Compose | /opt/docker/n8n/docker-compose.yml |
| Données | /opt/docker/n8n/data/ (bind mount — migré de volume anonyme 05/04/2026) |
| Accès HTTPS | https://n8n.obbconnect.net |
| Tunnel SSH | ssh -N tunnel-n8n → http://localhost:15678 |
Workflows actifs
| Workflow | Déclencheur | Action |
|---|---|---|
| 🔴 Alerte Docker - Services Down | Cron toutes les 5 min | Docker TCP API → Telegram si service down |
| 🧠 Rapport Graylog Intelligent - OBBConnect | Cron 7h00 | Graylog API → Claude #1 (analyse + commandes SSH) → SSH homeserver → Claude #2 (décision) → Switch action → Telegram |
| ⚙️ Graylog → Claude Ops Advisor v4 | Webhook /webhook/graylog-alert | Claude → analyse → action Docker ou SSH Pi |
Ops Advisor v4 — Actions supportées
| Action | Méthode | Cible |
|---|---|---|
| restart_homeassistant | Docker API 172.19.0.1:2375 | Conteneur homeassistant |
| restart_musicassistant | Docker API 172.19.0.1:2375 | Conteneur music-assistant |
| restart_nginx | Docker API 172.19.0.1:2375 | Conteneur nginx-proxy-manager |
| restart_adguard | Docker API 172.19.0.1:2375 | Conteneur adguardhome |
| restart_graylog | Docker API 172.19.0.1:2375 | Conteneur graylog |
| reboot_pi | SSH credential SSH Private Key pi | 192.168.1.70 |
Credentials SSH
| Credential n8n | Cible | Usage |
|---|---|---|
| SSH Private Key Homeadmin | 192.168.1.21 (homeadmin) | Rapport Graylog Intelligent — diagnostics SSH |
| SSH Private Key pi | 192.168.1.70 (pi) | Ops Advisor v4 + Rapport Intelligent reboot Pi |
Section 11
Dashboard
home.obbconnect.net · Cloudflare Pages · GitHub
| Paramètre | Valeur |
|---|---|
| URL | https://home.obbconnect.net |
| Protection | Cloudflare Access — OTP email Tutanota, session 1 mois |
| Hébergement | Cloudflare Pages — déploiement auto à chaque git push |
| Repo GitHub | github.com/olivierbb73/obbconnect-home (privé) |
| Clone local Mac | ~/Documents/obbconnect-home/ |
| Éditeur | VS Code + Claude Code — NE PAS utiliser TextEdit (corrompt UTF-8) |
| Structure repo | scripts/ · dist/ · assets/ · docs/ · index.html · CLAUDE.md |
| Scripts actifs | scripts/generate/generate_current.py → dist/docs.html |
| Images | assets/images/ — dossier unique (sources/ supprimé) |
| Documentation web | home.obbconnect.net — nav → /dist/docs.html · /dist/glossaire.html · /dist/network.html |
Workflow mise à jour doc
# 1. Modifier le script via Claude Code (VS Code) ou directement
# Les scripts sont dans scripts/generate|glossaire|network/
# 2. Régénérer les HTML
python3 ~/Documents/obbconnect-home/scripts/generate/generate_current.py
python3 ~/Documents/obbconnect-home/scripts/glossaire/glossaire_current.py
python3 ~/Documents/obbconnect-home/scripts/network/network_current.py
# 3. Pousser sur GitHub
cd ~/Documents/obbconnect-home && git add -A && git commit -m '...' && git push origin main
# OU utiliser update-obbdoc (place les scripts versionnés dans ~/Downloads/)
update-obbdocNe jamais éditer dist/ directement. HTML générés par les scripts Python. Images dans assets/images/ — dossier unique.
Tuiles actives
| Service | Image | Liens |
|---|---|---|
| Home Assistant | ha.png | Local + HTTPS + Tunnel CF + SSH tunnel |
| Music Assistant | ma.png | Local + HTTPS + Tunnel CF |
| Portainer | portainer.png | Local + HTTPS + SSH tunnel |
| AdGuard Home | adguard.png | Local + HTTPS + SSH tunnel |
| Nginx Proxy Manager | npm.png | Local + HTTPS |
| Cloudflare | cloudflare.png | dash.cloudflare.com + one.dash.cloudflare.com |
| Graylog | graylog.png | Local + HTTPS + SSH tunnel |
| Grafana | grafana.png | Local + HTTPS |
| NAS QNAP | nas.png | Local + HTTPS + Tunnel CF + SSH tunnel |
| CyberPower UPS | ups.png | Local + HTTPS + Tunnel CF |
| Backblaze B2 | backblaze.png | secure.backblaze.com (cloud) |
| Nabu Casa | nabucasa.png | account.nabucasa.com + HA local |
| iCloud | icloud.png | icloud.com + mail + photos + drive + find + appleid |
| HashiCorp Vault | vault.png | Local + HTTPS + SSH tunnel |
| n8n | n8n.png | Local + HTTPS + SSH tunnel |
Section 12
Sauvegardes
Backup quotidien cloud · Backblaze B2 · Certbot auto
| Paramètre | Valeur |
|---|---|
| Fréquence | Quotidienne à 2h00 du matin (cron) |
| Source | /opt/docker/ (toutes les données persistantes) |
| Destination | Backblaze B2 via rclone + chiffrement |
| Rétention | 14 copies — rotation automatique |
| Certbot renouvellement | Cron 3h15 — /opt/docker/certbot/ |
0 2 * * * /usr/local/bin/cloud-backup.sh >> /var/log/cloud-backup.log 2>&1
0 3 * * * /opt/docker/backup-ha.sh >> /var/log/ha-backup.log 2>&1
15 3 * * * docker run --rm -v /opt/docker/certbot/config:/etc/letsencrypt \
-v /opt/docker/certbot/logs:/var/log/letsencrypt \
-v /opt/docker/certbot/cloudflare:/cloudflare \
certbot/dns-cloudflare renew --dns-cloudflare \
--dns-cloudflare-credentials /cloudflare/credentials.ini --quiet
30 3 * * * docker restart music-assistant
0 3 * * 1 /usr/local/bin/vault-renew-tokens.shSection 13
Points de vigilance
Pièges connus · Fixes documentés · Bonnes pratiques
mDNS ne traverse pas les VLANs — Sonos et appareils similaires nécessitent des IPs fixes dans configuration.yaml HA.
NAT WireGuard disparaît après reset modem — Règle persistée via /data/on_boot.d/10-wireguard-nat.sh avec sleep 10.
Route retour VPN homeserver — La route 192.168.2.0/24 doit être dans /etc/netplan/50-cloud-init.yaml pour survivre aux reboots.
Music Assistant — mode host networking — NPM contacte MA via 172.17.0.1:8095. Ports 8095 et 8097 requis depuis VLAN IoT.
Vault — accès interne Docker uniquement — Vault n'écoute plus sur l'IP du host. Accès via vault.obbconnect.net (NPM) uniquement. Contrôle : dig vault.obbconnect.net → IP privée seulement.
Certificat SSL wildcard — *.obbconnect.net expire le 21 juin 2026 — renouvellement auto cron 3h15 via Certbot.
NPM proxy hosts — noms de conteneurs — Toujours utiliser les noms de conteneurs (ex: vault, adguardhome) — les IPs Docker changent après reboot.
TextEdit corrompt UTF-8 — Toujours utiliser VS Code pour éditer index.html. Jamais TextEdit.
Images dashboard — Toujours copier depuis assets/images/ avant git add. Git compare les hash.
TR-004U — NAS Storage Mode uniquement — Ne jamais reconfigurer en External Storage + Software RAID (mdadm+LVM). QTS ne remonte pas ce type de volume automatiquement au boot. Toujours utiliser NAS Storage Mode natif (Storage Pool 2).
GMKtec — ventilateurs non visibles par Linux — Contrôle propriétaire BIOS. Linux ne lit pas les RPM (cat /sys/class/hwmon/hwmon*/fan*_input → vide). Normal. BIOS modifié : Full Speed 85°C → 65°C (10/04/2026). Dual-fan Hyper Ice Chamber 2.0 : CPU Fan (sous carte mère) + System Fan (sous couvercle transparent). CPU sous stress ≤ 48°C.
Vault — image épinglée à 1.17.6 — Ne jamais utiliser hashicorp/vault:latest — incompatible avec le kernel Ubuntu (CAP_SETFCAP bloqué). Toujours épingler une version explicite.
Structure Docker normalisée — Tous les services dans /opt/docker/[service]/docker-compose.yml. /home/homeadmin/docker/ supprimé le 05/04/2026.
Section 14
Checklist de santé système
Vérifications rapides après maintenance ou reboot
homeserver (192.168.1.21)
- Docker actif —
sudo systemctl status docker - Tous conteneurs UP —
docker ps --format 'table {{.Names}}\t{{.Status}}' - Home Assistant —
curl -s -o /dev/null -w '%{http_code}' https://ha.obbconnect.net - AdGuard DNS test —
dig @192.168.1.21 google.com +short - Route VPN homeserver —
ip route show | grep 192.168.2 - DDNS résolution —
dig vpn.obbconnect.net +short → IP WAN Bell - Tunnel Cloudflare —
docker logs cloudflared --tail 10 - Vault unsealed —
curl -s https://vault.obbconnect.net/v1/sys/health | python3 -m json.tool - Vault non exposé host —
curl -s --max-time 3 http://192.168.1.21:8200 → doit être vide - Backup cloud actif —
ls /var/log/cloud-backup.log
Accès distant
- WireGuard VPN —
App WireGuard iPhone — handshake < 30 secondes - Accès homeserver via VPN — http://192.168.1.21:8123 depuis iPhone 5G + VPN
- Cloudflare Tunnel HA — https://ha-ext.obbconnect.net sans VPN
- Dashboard centralisé —
home.obbconnect.net — OTP Tutanota requis - HashiCorp Vault — https://vault.obbconnect.net
- n8n automatisation — https://n8n.obbconnect.net
- Documentation —
home.obbconnect.net/docs.html