OBBConnect — Network

Internet / WAN

Bell Canada PPPoE

WAN IP 70.24.246.252

DDNS via CF toutes les 5 min

Cloudflare DNS — obbconnect.net

Cert *.obbconnect.net

Expire 21 juin 2026

VLAN Admin — 192.168.1.x

UDM-SE — Gateway

192.168.1.1 — Firewall · VLANs

WireGuard VPN · UniFi

MacBook Pro (Olivier)

Admin principal

1Password SSH · Touch ID · 7 tunnels

GMKtec K8 Plus

homeserver · 192.168.1.21

Ubuntu 24.04 · 32GB · 1TB

QNAP TS-435XeU

192.168.1.60 · 21.61TB

TR-004U · FILMS · TV · IPHONE

Raspberry Pi 4

REGIE-PI · 192.168.1.70

VPN: 192.168.2.2

UPS CyberPower

192.168.1.62

Apple TV × 2

.168 Salon · .169 Loft

Hubs HomeKit

Harmony Hub × 2

.137 Salon · .120 Loft

Intégration différée

WireGuard VPN

192.168.2.0/24

vpn.obbconnect.net

Services Docker — /opt/docker/

Home Assistant

:8123

Nginx Proxy Mgr

:80 :443

AdGuard Home

DNS :53

n8n

:5678

Graylog

:9001

Vault

:8200 interne

Music Assistant

:8095 :8097

Uptime Kuma

Alerting

Portainer

:9000

Grafana

:3000

CF DDNS

toutes les 5 min

Certbot

cron 3h15

OpenSearch 2

Index Graylog

MongoDB 7

DB Graylog

VLAN IoT — 192.168.30.x

Philips Hue Bridge Pro

192.168.30.60

Lutron Caseta Bridge 2

192.168.30.62

Sonos × 12+ enceintes

.40–.52 IPs statiques

Nest Doorbell + Hubs

Google Cast VLAN30

Shelly 1 Mini Gen4

Porte avant

IKEA FYRTUR + DIRIGERAplanifié

Shelly EM Gen3 50Acommandé

VLAN Apt — 192.168.60.x

Schluter DITRA-HEAT-E-RS1HACS planifié

Thermostat — WAN only

Accès externe — Cloudflare Zero Trust

ha-ext → ha.obbconnect.net

Tunnel :8123 · auth Tutanota

nas-ext / ups-ext / ma-ext

3 tunnels · policy Accès OBB

SSH Tunnels — Mac

7 ports locaux via ProxyJump

Sauvegarde cloud

Backblaze B2 — AES-256

rclone · cron 2h00 · 30j rolling

b2homeserver (raw) + b2crypt (chiffré)

— SÉLECTIONNER UN ÉLÉMENT

Clique sur n'importe quelle carte pour afficher ses détails complets : IP, ports, dépendances, notes de configuration.

Règles UFW — homeserver 192.168.1.21

SSH — Administration

192.168.1.0/24→ALLOWSSH homeserverTCP 22

192.168.2.0/24→ALLOWSSH via VPN WireGuardTCP 22

DNS — AdGuard Home

192.168.1.0/24 Admin→ALLOWAdGuard DNSTCP/UDP 53

192.168.30.0/24 IoT→ALLOWAdGuard DNSTCP/UDP 53

192.168.2.0/24 VPN→ALLOWAdGuard DNSTCP/UDP 53

172.19.0.0/16 Docker→ALLOWAdGuard DNSTCP/UDP 53

HTTP/HTTPS — Nginx Proxy Manager

0.0.0.0/0→ALLOWNPM HTTP/HTTPSTCP 80TCP 443

Home Assistant

192.168.1.0/24→ALLOWHA accès localTCP 8123

172.19.0.0/16 Docker→ALLOWHA via NPMTCP 8123

Music Assistant — Sonos cross-VLAN

192.168.30.0/24 IoT→ALLOWMusic Assistant APITCP 8095

192.168.30.0/24 IoT→ALLOWMusic Assistant StreamTCP 8097

Docker API — n8n

172.19.0.0/16 Docker→ALLOWDocker TCP API (n8n)TCP 2375

Vault — interne seulement

172.19.0.0/16 Docker→ALLOWVault via NPMTCP 8200

0.0.0.0/0→DENYVault WAN/LAN bloquéTCP 8200

Politique par défaut

Entrant→DENYTout le reste bloqué

Sortant→ALLOWTout autorisé

Kernel→INFO6.8.0-107-generic · Zéro secret en clair

3 vérifications routinières — sécurité Vault

dig vault.obbconnect.net→ doit retournerIP privée 192.168.1.21 seulement

docker ps vault→ ne doit PAS afficher0.0.0.0:8200 dans PORTS

curl 192.168.1.21:8200→ doit retournerréponse vide (connexion refusée)

Admin (Docker) → IoT

HA 172.19.x→Hue BridgeTCP 80/443

HA 172.19.x→Lutron BridgeTCP 23

HA 172.19.x→Sonos .40–.52TCP 1400

MA 172.19.x→Sonos .40–.52TCP 1400

HA 172.19.x→Google CastTCP 8009

HA 172.19.x→Nest DoorbellTCP 443

IoT → homeserver

Sonos 30.x→Music Assistant APITCP 8095

Sonos 30.x→Music Assistant StreamTCP 8097

IoT → IoT→DENYIsolation totale

IoT → Admin→DENYSauf ports explicites

VLAN Apt 60.x — Isolation locataire

VLAN60 → WAN→ALLOWCloud Schluter uniquement

VLAN60 → Admin→DENYIsolation totale

VLAN60 → IoT→DENYIsolation totale

WireGuard VPN — 192.168.2.0/24

Mac VPN client→Admin 192.168.1.0/24

Mac VPN client→Pi 192.168.2.2

Split-tunnel—1.0/24 + 2.0/24 tunnelés

UFW homeserver→ALLOWVPN subnetTCP 22

UDM-SE→ALLOWWG entrantUDP 51820

Accès externe

Internet→CF Zero Trust TunnelHTTPS

Internet→WireGuard UDM-SEUDP 51820

Mac SSH→Pi / NAS via ProxyJumpTCP 22

n8n → Anthropic→api.anthropic.comTCP 443

n8n → Telegram→api.telegram.orgTCP 443

Uptime Kuma→smtp.mail.me.comTCP 587

rclone backup→Backblaze B2TCP 443

Certbot (CF API)→api.cloudflare.comTCP 443

Ordre de démarrage — 14 services Docker

Couche 1 — Réseau (aucune dépendance)

1

cloudflare-ddns

Indépendant · Vérifie IP WAN toutes les 5 min · Met à jour vpn.obbconnect.net

2

adguardhome

Dépend de : réseau · Fournit DNS :53 à toute l'infra · Upstream Cloudflare DoH + Quad9 DoH

Couche 2 — Proxy et certificats

3

nginx-proxy-manager

Dépend de : réseau · Crée le réseau partagé nginx-proxy-manager_default · :80 :443

4

certbot

Dépend de : NPM · Renouvelle *.obbconnect.net · cron 3h15 · credentials.ini chmod 600 root

Couche 3 — Secrets

5

vault

Dépend de : réseau NPM · Auto-unseal AWS KMS us-east-2 · KV v2 obbconnect/ · Fournit tokens à n8n, backup, graylog, ddns, unifi-proxy

Couche 4 — Logs et observabilité

6

mongodb

Dépend de : réseau · Base de données pour Graylog · MongoDB 7

7

opensearch

Dépend de : réseau · Index de logs pour Graylog · OpenSearch 2

8

graylog

Dépend de : MongoDB + OpenSearch · Collecte tous les logs · :9001 · Filtre level<4 AND NOT source:music-assistant*

9

grafana

Dépend de : OpenSearch · Dashboards · :3000 · grafana.obbconnect.net:3000

Couche 5 — Services applicatifs

10

homeassistant

Dépend de : NPM · Vault · Hue .30.60 · Lutron .30.62 · Sonos IPs statiques · :8123 · restart après ajout script

11

music-assistant

Dépend de : NPM · Sonos IPs · Ports 8095+8097 ouverts IoT→homeserver · cron restart 3h30

12

n8n

Dépend de : Vault (API keys) · Graylog :9001 · Docker API :2375 · SSH credentials id_n8n · :5678

13

portainer

Dépend de : Docker socket · Interface admin · :9000 · NON exposé CF Tunnel · tunnel SSH :19000

14

uptime-kuma

Dépend de : NPM · SMTP iCloud :587 · Surveille 15+ endpoints · alert: alerts@obbconnect.net

Tâches cron — root@homeserver

02:00 nightlycloud-backup.sh → Backblaze B2 (rclone AES-256)

03:00 nightlyBackup Home Assistant → NAS

03:15 nightlyCertbot renouvellement *.obbconnect.net

03:30 nightlydocker restart music-assistant

Lundi 03:00vault-renew-tokens.sh — 5 tokens TTL 768h

toutes 5 mincloudflare-ddns — vérification IP WAN

Workflows n8n actifs

Rapport Graylog Intelligent — OBBConnect cron 07:00 quotidien actif

Pipeline : Graylog (filtre level<4, NOT music-assistant*) → Claude Sonnet (analyse) → SSH diagnostic homeserver → Switch action → Telegram @obbconnect_alerts_bot

Graylog API Basic Auth token/token JS Code node (filtre HomeKit 150) Claude Sonnet 4 SSH homeadmin id_n8n Telegram bot

Alerte Docker — Services Down toutes les 5 min actif

Interroge Docker TCP API (172.19.0.0/16:2375). Surveille 7 conteneurs critiques. Alerte Telegram si service down.

Docker API :2375 7 conteneurs surveillés Telegram alert

Graylog → Claude Ops Advisor v4 webhook Graylog events actif

Déclenché par événements Graylog (alertes streams). Analyse via Claude, action recommandée.

Webhook trigger Claude API HTTP raw x-api-key header manuel

Uptime Kuma — Alerting

SMTP→smtp.mail.me.com :587 STARTTLS

Sender→alerts@obbconnect.net (iCloud)

Recipient 1→alerts@obbconnect.net

Recipient 2→o.bb@tutanota.com

Gmail whitelist→obb2408@gmail.com (Tutanota)

App password→1Password "iCloud SMTP"

Stack Graylog

Graylog→:9001 · graylog-compose.yml

OpenSearch 2→Index des logs

MongoDB 7→Config Graylog

Secrets→Vault obbconnect/graylog/config

Token n8n→Basic Auth = token / "token"

Nabu Casa→Alexa + Google · voix BrigitteNeural

Rapport quotidien — procédure OBBConnect

07:00 — n8n déclenche→Rapport Graylog généré automatiquement

Rapport reçu Telegram→Coller dans chat projet OBBConnect

Claude triage→Analyse anomalies + étapes de remédiation

Chat OBBConnect→Exclusivement triage quotidien (pas infra planning)

Architecture de sauvegarde — OBBConnect

Backblaze B2 — cloud-backup.sh

Sauvegarde chiffrée nightly de tout le homeserver. Secrets lus depuis Vault via variables d'environnement RCLONE_CONFIG_*. Le fichier rclone.conf ne contient aucun credential.

cron 02:00 nightly AES-256 b2crypt b2homeserver (raw) 30 jours rolling Vault obbconnect/backup/rclone

Home Assistant — backup nightly

Backup HA généré automatiquement chaque nuit. Copié vers le NAS QNAP (VOL_TR004U). Permet restauration complète de la config HA en cas de panne du homeserver.

cron 03:00 nightly Destination : NAS 192.168.1.60 VOL_TR004U · /share/TR004U_DATA/

NAS QNAP TS-435XeU — stockage local

Destination locale de tous les backups. Storage Pool 2 · VOL_TR004U (21.61TB Thick, mode NAS natif depuis 09/04/2026). Garantit l'auto-mount au boot sans LVM externe.

192.168.1.60 21.61TB disponible FILMS · TV_SHOWS · IPHONE_OBB nashome2408

1Password — secrets humains

Vault humain : logins, clés SSH, tokens admin, Emergency Kits. Accès via Touch ID sur Mac. op CLI sur homeserver (v2.33.1, sans 2FA physique).

SSH Agent + Touch ID op CLI Mac (brew) Vault "Serveurs & Admin" Emergency Kit Vault dans 1Password

HashiCorp Vault — secrets machine

Vault machine : tokens API, credentials Docker, variables scripts. 5 tokens service (TTL 768h, renewable). Auto-renew cron lundi 03:00. Auto-unseal AWS KMS.

Auto-unseal AWS KMS us-east-2 5 tokens TTL 768h Renouvellement lundi 03:00 Emergency Kit dans 1Password

Points critiques à surveiller

Cert *.obbconnect.net→Expire 21 juin 2026 — certbot cron 03:15

Vault tokens→TTL 768h · renouvellement lundi automatique

MIGRATION_TR004U→À supprimer sur VOL_VIDEO_PROD après vérif finale

rclone.conf→Zéro credential — secrets dans Vault uniquement

credentials.ini→Exception Certbot · chmod 600 root · pas dans Vault