NeoX a écrit 18045 commentaires

veux tu que letsencrypt soit sur ton instance HAPROXY ? ou sur le serveur final (backend) ?

si tu veux que ce soit le serveur final, il faut faire du proxy TCP pour le port 443,
ainsi les connexions arrivent directement au serveur final

mais je relis ton post et vois que le tutu parle bien d'avoir le letsencrypt sur le serveur qui gere haproxy.

de plus, tu sembles utiliser un domaine test.fr
je doute que letsencrypt puisse revenir chez toi par ce domaine (mais c'était peut-être pour ne pas dévoiler ton vrai domaine ici)

autre piste, tu as vu que le tutu est découpé en 3 parties :
* l'installation de base, qui intercepte TOUT le trafic sur le port 80 à la recherche du l'adresse .acme….
* la gestion du certificat sur le disque (concatenation pour haproxy)
* config qui contient enfin le certificat et va gérer le cas du renouvellement.

Même si je ne suis pas un joueur c'est quand même dommage non ?

oui et non

OUI si tu veux faire de la 3D, du calcul (parfois la retouche photo ou le montage video peut utiliser la puissance de la carte)

NON car cette carte 3D va consommer plus de courant que la carte intel, donc tu auras moins d'autonomie sur ton portable.

bref, dommage, ca depend surtout du point de vu.
J'ai une machine qui comme toi peut faire les 2, et basculer en automatique, ben je la règle sur iGPU car je n'ai pas encore vu de perte de performance pour mon usage avec la carte Intel intégrée.

mes efforts de récupérer des fiches sauvegarder 2018.

utiliser le logiciel avec lequel tu as fait la sauvegarde

ls n'est pas qualifié pour calculer les tailles des sous-dossiers

tu vois donc des dossiers qui font 4,0K (snap, mnt, var)
là ou ils peuvent faire plusieurs Go.

en ligne de commande, j'utilise du -hsm *
ca donne la taille en Mo des dossiers et fichiers visibles là ou tu es.

couplé à sort :
du -hsm * | sort -nk1
ca t'affiche classé par taille (du plus petit au plus gros)

en classant à l'envers on a les plus gros en haut
du -hsm * | sort -nrk1

on peut faire un top10 avec head
du -hsm * | sort -nk1 | head -n 10

une fois que tu as repéré les plus gros, tu vas dedans, et tu recommences.

évidemment il ne faut pas purger sauvagement les gros dossiers, certains étant vitaux à ton linux.

sinon en mode graphique, il y avait Baobab, je ne sais pas s'il existe encore.

là comme ca, ca va pas aider, on n'a aucune info.

il faudrait au moins que tu nous disent quel linux tu utilises, quel navigateur (chrome, firefox,…)

en dehors des mises à jour demandées, quel est le message d'erreur envoyé par Netflix ?

Je peux me tromper mais d'après ce que je trouve sur internet,

snapshot est un système qui permet de faire une "photo" (sauvegarde) de ton système à un instant T

pour lire un snapshot, il doit falloir lancer une procedure de restauration à partir de ce meme logiciel, pour "retourner dans le temps" et remettre par exemple ta machine à ce qu'elle était il y a 2h quand tu as voulu installer un logiciel inconnu, ou pour retrouver des données que tu as effacées entre temps…

ce n'est pas parce qu'une roadmap est vide que le projet est abandonné.
juste qu'il n'y a plus de projet figé, et que le projet évolue tout seul, au grès de bug et des features request.

la preuve, le repo GitHub a été mis à jour en janvier (2020)

=> soit en conclusion, il vaut mieux être connecté en VPN sur mon routeur ou sur mon serveur ?

question de choix de config.
à quoi te sert le VPN ?

chez moi le VPN me sert à revenir à la maison,
comme mon routeur ne fait pas serveur VPN ou qu'il peut être changer par l'opérateur, j'ai choisi de mettre le serveur VPN sur une machine derriere le routeur.

le routeur reçoit le flux sur son IP publique, renvoie les ports qui vont bien au serveur, qui me connecter au VPN.

puis je configure le client VPN pour tout passer dans mon VPN, et ca me permet de ressortir comme si j'étais à la maison.

si tu ne veux pas que le client VPN accede à toute la maison, il faut mettre le serveur VPN sur le routeur, ce sera alors un 3e reseau (LAN, WAN, VPN) et tu pourras alors dire ce que peut faire le VPN, peut-être juste accéder qu'au serveur (mais alors pourquoi lui avoir mis une IP publique ?)

man commande

ex : man sync

qui va t'expliquer ce que fait sync, ses options

maintant si tu lis bien la description que tu as envoyé

sync synchronizes in memory files or file systems to persistent storage.

la commande sync force le system a écrire sur le disque les données qui sont en memoire, dans les caches

en aucun ca ce n'est prévu pour synchroniser des fichiers entre deux dossiers/stockage.

comme évoqué plus haut, ce que tu cherche c'est plus rsync avec ou sans interface graphique (unison, unison gtk)

le service VPN est forcement sur ton serveur/routeur (asso ou perso)
c'est le client VPN qui est sur la 3G/4G

lsblk la detecte mais elle n'est pas montée automatiquement et quand je fais un umount ou un sudo umount j'ai un message d'erreur

si tu fais unmount sur une clef pas montée, c'est normal que ca râle.

Ensuite :

"Incomplete multi-sector transfer: magic: 0x454c4946 size: 1024 usa_ofs: 48 usa_count: 1 data: 5836 usn: 5813: Erreur d'entrée/sortie
Record 0 has no FILE magic (0x44414142)
Failed to load $MFT: Erreur d'entrée/sortie
Failed to mount '/dev/sdb': Erreur d'entrée/sortie
NTFS is either inconsistent, or there is a hardware fault, or it's a
SoftRAID/FakeRAID hardware. In the first case run chkdsk /f on Windows
then reboot into Windows twice. The usage of the /f parameter is very
important! If the device is a SoftRAID/FakeRAID then first activate
it and mount a different device under the /dev/mapper/ directory, (e.g.
/dev/mapper/nvidia_eahaabcc1). Please see the 'dmraid' documentation
for more details."

parle d'un problème avec /dev/sdb
c'est un disque, pas un partition
généralement, on utilise directement le disque pour faire du raid logiciel (softraid)

si ta clef est bien /dev/sdb, alors oui, il est possible que tu aie un souci.

ca dit aussi que ca trouve du NTFS (format microsoft) dans un état inconsistent et recommande de faire un check disk sur le windows.

Mon serveur est chez moi tout à fait.

mais du coup, tu veux pouvoir te connecter à ton serveur privé (chez toi) depuis une connexion publique (3G/4G) via la connexion publique (IP_36) de ton FAI_asso ?

ou tu veux juste accéder au serveur en 3G/4G comme si tu était à la maison ?

dans le premier cas, ben c'est le cas de base, tu connectes ton smartphone à l'IP_36, ca remonte dans le VPN existant, et hop, ca te connecte

dans le 2e, il te faut le service VPN sur ton routeur (ou sur le serveur)
avec les redirections de ports qui vont bien, et tu connecte le client VPN/3G/4G sur l'IP publique de la BOX, qui renvoie au routeur (ou au serveur)…

mais ton serveur il est ou dans ton schema ?

s'il est chez toi, alors c'est chez toi qu'il faut monter le serveur VPN,
ton client 3G/4G se connecte alors chez toi et devient l'equivalent de s'il était connecté à ton wifi.

et oui, au dela du routeur ASSO, tu redeviens en clair.
donc si tu consultes des sites "interdits", c'est l'asso qui va prendre le contrôle de police, qui fournira peut-être des logs pour dire que c'est tel ou tel client qui a fait des choses interdites…

le VPN ne sert qu'à éviter l'espionnage sur la ligne

Cet ordinateur est le "Master" des machines virtuelles en dessous. J'utilise Promox.

donc ca peut être une VM/CT qui consomme ta RAM
il faut analyser les graphes de chaque VM/CT

mais comme indiquer plus haut, tant que la machine ne swap pas, c'est normal que l'usage de RAM augmente, il faut regarde les valeurs

ici par exemple :

free -m
total used free shared buff/cache available
Mem: 32016 9961 11025 303 11029 21301
Swap: 3068 0 3068

sur 32Go (total), il n'en reste certes que 11Go de libre (free), mais il y en a 11Go de pris dans le buff/cache

free a la bonne idée de preciser qu'en fait il y a en réalité 21Go de dispo (available)
car ton noyau va réduire l'usage du cache s'il a besoin d'utiliser plus de memoire pour les programmes.

note que le SWAP ici n'est pas utilisé

une copie de la réponse ici, ou un lien vers le forum pourra aider une autre moule qui passerait par là ;)

au passage, deb.debian.org n'est pas un miroir français

il est pourtant suggéré par défaut sur la localisation française de l'installer

Quelle différence y a t-il entre mettre en place un VPN sur routeur ou plutôt sur une machine derrière le routeur avec debian ?

aucune

peu importe ou tu mets ton servicee VPN, il faut gérer l'ip forward entrant/sortant du VPN, les règles de firewall (peut-être que ton VPN ne doit pas donner accès à toutes tes machines).

par contre si j'ai bien suivi tes pérégrinations reseaux, tu es en train de monter un truc du genre

PC -> routeur_maison (VPN_1_1) => opérateur internet => (VPN_1_2) FAI asso/machine VPS (VPN_2_1) => (VPN_2_2 )Opérateur VPN2 => IP publique ?

je me répond à moi meme

Mes tests :
* je suis sous virtualbox,
* en NAT ou en bridge,
* DNS de la Freebox (Fibre Optique) ou bien openDNS
* image ISO 10.1 ou 10.3, live-cinnamon ou net install
* mirror français : deb.debian.org ou ftp.u-picardie.fr

tous mes essais se soldent par un blocage à l'étape
"scanning the mirror"

ce n'est pas un problème de reseau puisque mes machines arrivent bien à trouver les depots, et j'arrive à surfer dessus avec un browser.

alors que la meme ISO (10.1) a parfaitement fonctionné avant lors de mes essais de février.

EDIT : avec l'iso 10.3 c'est juste un peu "long" pour scanner le miroir, mais ca finit par passer

tcpdump sur linux
par exemple :

tcpdump -vnni any port 5111

devrait d'afficher tout ce qui rentre ou sort de ta machine sur le port 5111

remplace le any par l'interface de ton choix si tu as plusieurs interfaces

je profites du confinement pour faire des essais, et mes VMs debian ne s'installe plus, erreur de depot…

je suis toujours dans l'installer, après le partitionnement :(

ton IP 36.x.y.z c'est celle derriere le VPN ou derriere la box ?

si c'est derriere la box, il y a un renvoi entre ta box et ton mikrotik, mais c'est la box qui gere (ou pas) le hairpinning.

dans tous les cas, tu peux faire ton pinning sur le mikrotik quand meme, en interceptant les paquets qui circulent entre le LAN et l'IP publique.

en jouant du NAT comme évoqué,

SI le paquet vient du LAN et est à destination de 36.x
ALORS

• tu changes la destination par la destination locale (IP LAN de ton serveur)
• mais il faut aussi changer la source par l'IP LAN du mikrotik

ainsi le serveur répond au mikrotik qui refait le chemin inverse.

Oui, mon routeur mikrotik est derrière la box du gros FAI, … je ne sais pas si cela va empêcher la connexion de s'établir.

du coup l'ip publique est ou ?

• derriere la box de l'opérateur, avec un reseau privé entre la box et ton microtik ?
• derriere le microtik, la box étant alors en mode "bridge" si c'est par exemple une Freebox

il me semble que j'ai un message similaire quand, après l'installation, je tente directement un apt install mon_paquet

par contre si je fais apt update avant, ca rafraîchit les listings dispos, et je n'ai alors plus d'erreur lors de l'installation

chez moi j'ai eu des plantages car j'avais activé l'acceleration graphique, j'ai remis zero les réglages en supprimant les dossiers de config de libre office (/home/tonuser/.libreoffice ou /home/tonuser/.config/libreoffice)

sinon ton libreoffice est un peu vieux (6.0) alors que la version 6.3 voire 6.4 est sortie…

regardes si tu peux mettre à jour, ca peut parfois corriger un bug.

1.) deja un reseau en 5.x.y.z ne DOIT pas exister en reseau privé

les reseaux sont normés, et les classes privées sont :

• 10.0.0.0/8
• 192.168.0.0/16
• 172.16.0.0/12

les autres IPs sont dites publiques et peuvent donc être routées entre les fournisseurs.

ainsi rien ne dit que ton trafic venant de 5.x.y.z vers ton 36.10.x.y verra un jour un paquet retour

ton reseau 5.0.20.0 c'est un opérateur syrien

inetnum:        5.0.0.0 - 5.0.127.255
netname:        SY-ISP-TARASSUL
descr:          Tarassul Inetnet Service Provider
address:        Syrian Telecommunication Est
address:        Damascus, Syria

et ton reseau 36.10.206.0 est chez un opérateur japonais

inetnum:        36.8.0.0 - 36.15.255.255
netname:        KDDI
descr:          KDDI CORPORATION
descr:          GARDEN AIR TOWER,3-10-10,Iidabashi,Chiyoda-ku,Tokyo
address:        Urbannet-Kanda Bldg 4F, 3-6-2 Uchi-Kanda
address:        Chiyoda-ku, Tokyo 101-0047, Japan

pour l'ip publique, pourquoi pas, tu as le droit d'avoir une connexion internet ou des serveurs au japon.

2.) une IP se terminant par 471 (36.10.206.471) ne fonctionnera jamais, vu que les valeurs en ipv4 c'est entre 1 et 254

3.) enfin, oui il y a parfois des routeurs qui n'apprécient pas de sortie du LAN pour rerentrer par le WAN vers le LAN
et là il faut voir si ton routeur est tout seul, si le routeur est branché à la box d'un opérateur, etc

pour le 3, oui, il faut jouer du SNAT ET du DNAT pour changer la source de la demande quand une machine du LAN demande l'IP Publique, pour que le flux se passe "normalement"

via des IPs virtuelles par exemple.
un reseau virtuel 10.x.y.z dans ton cas, reseau inconnu autrement que dans le firewall.

ainsi le flux 5.x.y.z -> 36.x.y.z est modifié en 10.x.y.z -> 36.x.y.z grace au SNAT
puis la réponse fait alors 36.x.y.z -> 10.x.y.z -> 5.x.y.z grace à un DNAT

mais deja voir le 1.) car ta machine 36 ne répond peut-être simplement pas car elle n'envoie pas sa réponse au bon endroit pour aller du Japon à la Syrie, il y a surement quelques intermédiaires