OBBConnect — Network

Internet / WAN

Bell Canada PPPoE

WAN IP 70.24.246.252

DDNS via cloudflare-ddns

Cliquer pour les détails →

Cloudflare DNS — obbconnect.net

Cert *.obbconnect.net

Expire 21 juin 2026

Cliquer pour les détails →

VLAN Admin — 192.168.1.x

UDM-SE — Gateway

192.168.1.1 — Firewall · VLANs

WireGuard VPN · UniFi

Cliquer pour les détails →

MacBook Pro (Olivier)

Admin principal

1Password SSH · Touch ID · 7 tunnels

Cliquer pour les détails →

GMKtec K8 Plus

homeserver · 192.168.1.21

Ubuntu 24.04 · 32GB · 1TB

Cliquer pour les détails →

QNAP TS-435XeU

192.168.1.60 · 21.61TB

TR-004U · FILMS · TV · IPHONE

Cliquer pour les détails →

Raspberry Pi 4

REGIE-PI · 192.168.1.70

VPN: 192.168.2.2

Cliquer pour les détails →

UPS CyberPower

192.168.1.62

Détails →

Apple TV × 2

.168 Salon · .169 Loft

Hubs HomeKit

Détails →

Harmony Hub × 2

.137 Salon · .120 Loft

Intégration différée

Détails →

WireGuard VPN

192.168.2.0/24

vpn.obbconnect.net

Détails →

Services Docker — /opt/docker/

Home Assistant

:8123

Détails →

Nginx Proxy Mgr

:80 :443

Détails →

AdGuard Home

DNS :53

Détails →

n8n

:5678

Détails →

Graylog

:9001

Détails →

Vault

:8200 interne

Détails →

Music Assistant

:8095 :8097

Détails →

Uptime Kuma

Alerting

Détails →

Portainer

:9000

Détails →

Grafana

:3000

Détails →

CF DDNS

toutes les 5 min

Détails →

Certbot

cron 3h15

Détails →

OpenSearch 2

Index Graylog

Détails →

MongoDB 7

DB Graylog

Détails →

VLAN IoT — 192.168.30.x

Philips Hue Bridge Pro

192.168.30.60

Détails →

Lutron Caseta Bridge 2

192.168.30.62

Détails →

Sonos × 12+ enceintes

.40–.52 IPs statiques

Détails →

Nest Doorbell + Hubs

Google Cast VLAN30

Détails →

Shelly 1 Mini Gen4

Porte avant

Détails →

IKEA FYRTUR + DIRIGERAplanifié

Détails →

Shelly EM Gen3 50Acommandé

Détails →

VLAN Apt — 192.168.60.x

Schluter DITRA-HEAT-E-RS1HACS planifié

Thermostat — WAN only

Détails →

Accès externe — Cloudflare Zero Trust

ha-ext → ha.obbconnect.net

Tunnel :8123 · auth Tutanota

Détails →

nas-ext / ups-ext / ma-ext

3 tunnels · policy Accès OBB

Détails →

SSH Tunnels — Mac

7 ports locaux via ProxyJump

Détails →

Sauvegarde cloud

Backblaze B2 — AES-256

rclone · cron 2h00 · 30j rolling

Détails →

Règles UFW — homeserver 192.168.1.21

SSH

192.168.1.0/24→ALLOWSSH homeserverTCP 22

192.168.2.0/24→ALLOWSSH via VPNTCP 22

DNS — AdGuard Home

192.168.1.0/24 Admin→ALLOWAdGuard DNSTCP/UDP 53

192.168.30.0/24 IoT→ALLOWAdGuard DNSTCP/UDP 53

192.168.2.0/24 VPN→ALLOWAdGuard DNSTCP/UDP 53

172.19.0.0/16 Docker→ALLOWAdGuard DNSTCP/UDP 53

HTTP/HTTPS

0.0.0.0/0→ALLOWNPM HTTP/HTTPSTCP 80TCP 443

Home Assistant

192.168.1.0/24→ALLOWHA localTCP 8123

172.19.0.0/16 Docker→ALLOWHA via NPMTCP 8123

Music Assistant — Sonos cross-VLAN

192.168.30.0/24 IoT→ALLOWMA APITCP 8095

192.168.30.0/24 IoT→ALLOWMA StreamTCP 8097

Docker API / n8n / Vault

172.19.0.0/16 Docker→ALLOWDocker API (n8n)TCP 2375

172.19.0.0/16 Docker→ALLOWVault via NPMTCP 8200

0.0.0.0/0→DENYVault WAN/LAN bloquéTCP 8200

Politique par défaut

Entrant→DENYTout le reste bloqué

Sortant→ALLOWTout autorisé

3 vérifications Vault

dig vault.obbconnect.net→IP privée 192.168.1.21 seulement

docker ps vault→Ne doit PAS afficher 0.0.0.0:8200

curl 192.168.1.21:8200→Réponse vide (connexion refusée)

Admin (Docker) → IoT

HA 172.19.x→Hue BridgeTCP 80/443

HA 172.19.x→Lutron BridgeTCP 23

HA 172.19.x→Sonos .40–.52TCP 1400

MA 172.19.x→Sonos .40–.52TCP 1400

HA 172.19.x→Google CastTCP 8009

HA 172.19.x→Nest DoorbellTCP 443

IoT → homeserver

Sonos 30.x→MA APITCP 8095

Sonos 30.x→MA StreamTCP 8097

IoT → IoT→DENYIsolation totale

IoT → Admin→DENYSauf ports explicites

VLAN Apt — Isolation locataire

VLAN60 → WAN→ALLOWCloud Schluter uniquement

VLAN60 → Admin/IoT→DENYIsolation totale

WireGuard VPN

Mac VPN→Admin 192.168.1.0/24

Mac VPN→Pi 192.168.2.2

Split-tunnel—1.0/24 + 2.0/24 tunnelés

UDM-SE→ALLOWWG entrantUDP 51820

Accès externe

Internet→CF Zero Trust TunnelHTTPS

Internet→WireGuard UDM-SEUDP 51820

Mac SSH→Pi / NAS ProxyJumpTCP 22

n8n → Anthropic→api.anthropic.comTCP 443

n8n → Telegram→api.telegram.orgTCP 443

Uptime Kuma→smtp.mail.me.comTCP 587

rclone→Backblaze B2TCP 443

Ordre de démarrage — 14 services Docker

Couche 1 — Réseau

1

cloudflare-ddns

Indépendant · Vérifie IP WAN toutes les 5 min

2

adguardhome

Fournit DNS :53 à toute l'infra · Upstream Cloudflare DoH + Quad9

Couche 2 — Proxy

3

nginx-proxy-manager

Crée réseau nginx-proxy-manager_default · :80 :443

4

certbot

Renouvelle *.obbconnect.net · cron 3h15

Couche 3 — Secrets

5

vault

Auto-unseal AWS KMS us-east-2 · KV v2 obbconnect/ · Fournit tokens à n8n, backup, graylog

Couche 4 — Logs

6

mongodb

Base de données Graylog · MongoDB 7

7

opensearch

Index de logs Graylog · OpenSearch 2

8

graylog

Dépend de MongoDB + OpenSearch · :9001

9

grafana

:3000 · grafana.obbconnect.net:3000

Couche 5 — Applicatifs

10

homeassistant

Dépend de NPM · Vault · IPs Sonos statiques · :8123

11

music-assistant

Dépend de Sonos IPs · Ports 8095+8097 ouverts IoT · cron restart 3h30

12

n8n

Dépend de Vault · Graylog :9001 · Docker API :2375 · :5678

13

portainer

:9000 · NON exposé CF Tunnel · tunnel SSH :19000

14

uptime-kuma

SMTP iCloud :587 · Surveille 15+ endpoints

Tâches cron — root@homeserver

02:00 nightlycloud-backup.sh → Backblaze B2

03:00 nightlyBackup Home Assistant → NAS

03:15 nightlyCertbot renouvellement *.obbconnect.net

03:30 nightlydocker restart music-assistant

Lundi 03:00vault-renew-tokens.sh — 5 tokens TTL 768h

Workflows n8n actifs

Rapport Graylog Intelligentcron 07:00 quotidienactif

Graylog (level<4, NOT music-assistant*) → Claude Sonnet → SSH diagnostic → Telegram

Graylog APIJS Code filtre HomeKit 150Claude Sonnet 4SSH homeadminTelegram bot

Alerte Dockertoutes les 5 minactif

Docker TCP API :2375 · Surveille 7 conteneurs critiques · Alerte Telegram si down

Graylog → Claude Ops Advisor v4webhook Graylogactif

Déclenché par événements Graylog · Claude API HTTP raw + x-api-key header manuel

Uptime Kuma

SMTP→smtp.mail.me.com :587 STARTTLS

Sender→alerts@obbconnect.net

Recipient→o.bb@tutanota.com

Gmail whitelist→obb2408@gmail.com

Procédure rapport quotidien

07:00→n8n génère rapport Graylog

Reçu Telegram→Coller dans chat OBBConnect

Claude triage→Analyse + remédiation

Architecture de sauvegarde

Backblaze B2 — cloud-backup.sh

Sauvegarde chiffrée nightly. Secrets lus depuis Vault via RCLONE_CONFIG_*. rclone.conf sans credential.

cron 02:00AES-256 b2cryptb2homeserver raw30j rolling

Home Assistant — backup nightly

Backup HA copié vers NAS QNAP (VOL_TR004U). Restauration complète possible en cas de panne.

cron 03:00NAS 192.168.1.60/share/TR004U_DATA/

HashiCorp Vault — secrets machine

5 tokens service TTL 768h, renewable. Auto-renew lundi 03:00. Auto-unseal AWS KMS.

AWS KMS us-east-2Emergency Kit 1PasswordLundi 03:00

Points critiques

Cert *.obbconnect.net→Expire 21 juin 2026

rclone.conf→Zéro credential — secrets dans Vault

credentials.ini→Exception Certbot · chmod 600 root

MIGRATION_TR004U→À supprimer sur VOL_VIDEO_PROD