NeoX a écrit 18045 commentaires

ip link set eno1 down
ip link set enp3s0 down

et hop, plus de connexion
bon tu peux aussi juste débrancher le câble en fait

si tu passes la box en bridge, tu perds surement la boxTV, le telephone,

mais tu gères ensuite tout sur ton serveur l'ip publique arrive sur eth0,
et tu fais ce que tu veux du flux,
mais tu exposes aussi directement cette machine sur internet.

si tu laisses la box operateur, tu peux n'ouvrir que les ports nécessaires provenant d'internet vers le serveur.

évidemment tu le fais déjà, il doit y avoir un réseau different sur eth0 et eth1
ex : 192.168.0.X/24 sur eth0 et 192.168.1.x/24 sur eth1, et 192.168.2.x derrière le routeur wifi

tu veux proteger la navigation des postes utilisateurs (RJ45/wifi)

alors le chiffrement VPN va se faire entre le serveur UNIX eth0 et un serveur VPN qui se trouve à l'extérieur (et il te faut donc un fournisseur VPN, et installer le client VPN sur le serveur unix)

ensuite ton réseau local derrière le wifi/reseau local reste en clair. et c'est un réglage en mode routeur/firewall qu'il te faut.

tu peux déjà tester sans le VPN, ça te permet de mettre les options de routage (ip_forward), de filtrage (firewalld, iptables, etc)

et seulement en derrière étape le VPN qui chiffre le flux sortant et masque ton IP

tu veux te connecter, depuis l'extérieur, à ton serveur

c'est alors la redirection de port qui va permettre cela,

• tu installes un serveur (openvpn par exemple) sur le serveur, par défaut c'est le port 1194
• tu le configures pour écouter sur la carte eth0
• tu configures ta box pour renvoyer le port extérieur 1194 vers l'IP eth0 de ton serveur (la redirection de port)

• tu configures un client DYNDNS sur le serveur pour mettre à jour un DNS quelquepart

• tu installes le client openvpn sur le PC qui va sortir du domicile pour se connecter sur le dyndns

Est ce que c'est possible et simple (une seule plage d'@ dans les 3 vlans),si je remplace ipcop par pfsense…

ce sera possible exactement de la même manière, que tu le fasses avec 1 logiciel ou un autre,

tu veux 4 réseaux (internet, et 3 réseaux clients) avec 2 cartes
donc il te faut un WAN/rouge/danger, et une carte LAN/vert/ok et 3 vlans sur la carte verte.

ensuite pour que ton firewall cause sur le switch il faut lui aussi qu'il ait les vlans,
cela fait autant de carte réseau virtuelle

et pour que tout le monde parle au firewall, il faut un range réseau pour chaque vlan,
avec passerelle = ip sur le vlan du firewall

voilà des choses pas très compliqué

pas très compliqué pour "toi", mais pour un ordinateur ou un développeur ça peut être plus compliqué

une version qui fait donc un peu tout ce que je peux faire avec mon w10 (internet , messenger) […] mail, bureautique

toutes peuvent le faire,
y compris youtube, Netflix, etc

jeux en réseau (steam , uplay et j'en passe )

là ça se complique,
si les moteur steam et uplay peuvent exister sur les plateformes Linux,
les jeux eux peuvent être parfois limité à windows uniquement (choix des développeurs)

alors on peut parfois "tricher" avec parfois de belles réussites, en installant WINE ou ses variantes (playit, playonlinux, crossover…) certaines sont open source, gratuite, payante, etc

WINE
playonlinux
playit
crossover

mais suivant ta machine, le mieux reste peut-être de garder le double démarrage
pour utiliser couramment le Linux, et ne retourner sous windows que pour les jeux.

pour chaque vlan il faut ajouter une carte réseau physique "green" à ipcop ?

oui, actuellement ton port 24 envoie les 3 vlans 10/20/30 sur la carte physique de ipcop
et Il faut differencier ces vlans sur l'ipcop par autant d'interfaces GREEN/vert/LAN

idéalement ce serait des interfaces physiques, sur autant de port du switch,
mais comme on n'en a qu'une, elle peut être "virtuelle", basée sur une seule interface physique.

d'ailleurs quand tu demandes à ajouter un VLAN sur l'ipcop, il te demande surement quelle sera l'interface physique.

ensuite sur chaque interface green il te faudra une IP pur chaque réseau client comme évoqué plus haut.

enfin si ton IPCOP n'a qu'une seule interface, c'est compliqué de faire de la vraie sécurité
car il faudrait une 2e carte physique, qui serait le "rouge" (WAN/internet)

internet -> [interface A] rouge (IPCOP) green [interface B] -> switch

ou alors tu fais tout en vlan
1 vlan => RED/Rouge => internet, la box operateur
1 vlan par utilisateur => green/vert => un sous réseau par utilisateur.

vu que tu débutes un sous réseau en 192.168.X.0/24
avec X numéroté de 1 à 254 pour chacun de tes clients fera l'affaire (plus facile à suivre dans les lots du firewall)

avec l'expérience, tu feras un 192.168.X.Y/30
cela donne alors une seule machine dans chaque vlan :

• Client 1 : 192.168.X.1, ipcop 192.168.X.2
• Client 2 : 192.168.X.5, ipcop 192.168.X.6
• Client 3 : 192.168.X.9, ipcop 192.168.X.10 etc

mais c'est plus complexe à suivre dans les lots

tu veux séparer les utilisateurs en mettant chaque machine dans un vlan ?
il te faut alors une interface/vlan sur le ipso, avec un range IP pour ton utilisateur, une IP sur l'ipcop qui sera la passerelle de cet utilisateur

ensuite il faut que les vlans existent sur le switch :
- en mode native vlan, access ou paid selon les switch, sur l'interface qui va à l'utilisateur
- en mode trunk avec tous les vlans sur l'interface qui va à l'interface de ipcop

tu as alors des flux
utilisateur -> port du switch -> vlan X -> switch -> port du ipcop -> vlan X -> firewall

Mais malheureusement (pas de connexion)
sauf si je branche le câble dans un des deux vlan donc pas de connexion à l’autre vlan

et tu as bien des IPs différentes sur tes vlans ?
Vlan A : 192.168.1.0/24 => ipcop sur IP 192.168.1.1 par exemple
Vlan B : 192.168.2.0/24 => ipcop aussi sur IP 192.168.2.1
Vlan C : 192.168.3.0/24 => ipcoop sur IP 192.168.3.1
etc

chaque vlan son adressage, et IPCOP a une carte/interface/vlan avec une IP dans chaque adressage

a réponse du terminal vous n’êtes pas useors nous signalons le problème

comme dit plus haut,
ajouter l'utilisateur au groupe sudo
se déblogguer, se relogguer

AMD Sync sert plutôt à baisse les FPS de l'écran si on le souhaite

baisser le FPS d'un écran ???

non en gaming on cherche les FPS les plus élevés, d'ou les cartes graphiques performantes, chères

mais bon je peux me tromper

j'envisageais le AMD Sync

pourquoi faire ?
tu fais des videos à plus de 60FPS, qui necessite une image parfaitement synchroniser sans ghosting pour ameliorer les temps de reaction (PC de gamer)

ou tu fais du montage video ?

d'apres le tableau, tu ne pourras faire du 3200Mhz qu'en mettant 2 barrettes maxi

si tu en met 4, ce sera alors du 2933 voir 2666
mais pour un :

• CPU Ryzen matisse
• des RAMs sur des frequences non XMP (protocole entre la CM et les RAM qui definit les frequences possibles de la RAM)

si ces solutions sont à mon niveau, mûres pour de la prod, et qu'elles n'occasionnent pas trop de travail d'admin en plus.

mures pour la prof = oui, je tourne la dessus depuis plus de 5 ans (proxmox en cluster)

trop de travail = une fois installée, ça reste un Linux classique, pour lequel il faut faire les mises jours quand même, mais pas plus que pour ton serveur dédié.

ensuite les VMs/Conteneurs sont des machines à part entières, donc il faut les gérer aussi, faire les mises à jours, etc

Carte graphique ASUS GeForce RTX 2070 - DUAL-RTX2070-8G

avant de claquer ton budget la dedans, il te faut regarder si les logiciels que tu comptes utiliser son compatible ou savent utiliser cette carte.

en effet certains moteurs de rendus vont utiliser openCL, CUDA, VULKAN pour passer des calculs dans le GPU plutôt que sur le CPU,

mais tous les logiciels ne savent pas le faire,
et même en sachant le faire, toutes les cartes graphiques ne sont pas compatibles

quand tu as installé ta debian il t'a demandé 2 utilisateurs
- root (qui a tous les pouvoirs sur la machine)
- ton utilisateur (qui ne peut qu'utiliser la machine)

donc quand tu veux installer ou supprimer un logiciel il faut être root
cela se fait en faisant su - suivi du mot de passe de root
et ensuite les commandes que tu veux taper pour installer ou virer un logiciel
puis exit pour sortir de la ligne de commande de root

dans divers tutoriels tu trouveras sudo la commande
cette commande permet de faire une commande en tant que root

mais dans debian, la commande sudo n'est pas installé, et ton utilisateur n'est pas dans le groupe sudo.

Il faut donc d'abord faire

su -
taper le mot de passe root
adduser tonutilisateur sudo
apt install sudo
exit

puis redémarrer ton ordi pour que la modification soit prise en compte.

de là tonutilisateur pourra faire sudo commande
et c'est alors le mot de passe de tonutilisateur qu'il faudra utiliser

Oui c'est une bonne idée à laquelle je n'avais pas songé. Après je voulais aussi éviter d'avoir à gérer en plus du Linux/Mysql, la partie "infra" sous-jacente Windows/ESX.

donc en gros tu veux un truc automatique, géré par le fournisseur ?

alors oriente toi vers du mutualisé,
tu n'as alors plus qu'un acces FTP pour deposer tes fichiers,
et ton wordpress pour l'utiliser courrament

le fournisseur s'occupe du serveur de base de données, du serveur de fichier,
et toi tu geres ton site

il n'y a pas de windows dans l'histoire,

• proxmox est une debian avec une surcouche, tu peux faire la meme chose avec un debian de base, et des outils comme lxc/kvm/virt-manager
• esxi est un OS baremetal

les deux, une fois installée se gere par une interface web dédié, tu peux ne jamais mettre la main sur la ligne de commande.

divise deja par presque 2 pour les charges, frais divers, impots
=> CA Net (benefice selon la situation)

et c'est peut-etre 600euros/jours brut => 300 net
mais il va surement travailler 2 jours par ci, 2 jours par là.

et si tu trouves un contrat à 20jours/mois sur 12 mois, alors t'es riche.
mais t'as pas pris un jour de congé pendant 12 mois, t'as pas été malade et tu as bossé 10h/jour, 20 jours/mois

herche donc à me tourner vers l'hébergement Cloud, qui me semble apporter un peu plus de souplesse, mais aussi quelques inconvénients:
- Avantage : Possibilité de lancer des snapshots pour "copier" l'image de la VM, utile pour tester des mises à jour, le retour arrière devient une formalité.
- Inconvénients pressentis : Tarification moins prévisible que du Bare-metal, performances.

solution intermediaire :
tu prend un bare-metal pour toi et tu installes une solution "cloud" dedans (en fait virtualisation) du genre proxmox, esxi…

tu peux alors faire tes snapshots, tes upgrades et tu maitrises tes couts (le prix du bare-metal)

c'est en tout cas ce qu'on a fait avec des copains/assos, on partage un bare metal, ca nous revient au meme prix qu'un petit baremetal, mais on a les fonctionnalités "cloud"

chaque asso peut eteindre sa VM, faire ses backups, ses upgrades, etre root sur ces VMs
et moi je gere la machine physique

L'ensemble des votes est nominatif

et dans ton appli sur la tablette, comment la personne qui vote va faire voter ses pouvoirs ?

par un changement de profil ?
si elle a 5 pouvoirs, sortir 5 fois de son profil pour faire voter les pouvoirs, et revenir à son profil pour continuer à voter ?

evidemment tous les votants sont experts informatiques/tablettes et maitriseront la bascule de profil…

ou en mettant dans un champs texte pour qui elle vote
moi : vote A
personne1 : vote A
personne2 : vote B
personne3 : vote A

qu'est ce qui m'empeche alors de mettre
personne4 (absent pour laquelle je n'ai pas de pouvoir) : vote A

la telecommande, tu signes à l'entrée de la reunion, on te donne autant de telecommande que de pouvoir, pas une de plus,

si les votes doivent "nominatifs" pour savoir que la société A, ou le votant A prefere la solution S1 avec option O2, ca reste possible en mettant le nom sur la commande, ou un numero de votant

et si le vote peut etre anonyme pour juste savoir qu'on a 5 pour, 10 contre, 1 abstention
alors 5 telecommandes données à la personne qui vote me semble quand meme plus pratique et securisé que de changer 5 fois de profile pendant le vote.

D'où l'idée d'une tablette pour gérer ce besoin.

faut plutot voir à configurer çà du coté de l'appli pour garantir tes votes.

sinon comment tu garanties que moi je ne fasse pas voter les morts ou les absents en cliquant 3 ou 4x sur l'option de mon vote

je cherche une appli web que je puisse auto héberger

un bloc note avec moteur de recherche (moteur de wiki) peut suffire si c'est juste stocker et chercher tes recettes

apres si tu veux faire une recherche de recette avec ce qu'il te reste dans le frigo, c'est plus compliqué

ah une epoque j'avais un client "powervote" specialisé dans ce genre de solution,
mais je ne sais pas s'ils sont toujours actifs, et s'ils font du libre.

le site web semble maintenant s'appeler ANGAGE
https://www.angage.com/

boitier specifique, prevu pour et qui ne fait que ca
donc pas de probleme de tablette/liseuse qui galere à se connecter au wifi de la salle de conference, etc
https://www.angage.com/en/voting-system/

quand on branche un ecran secondaire (la TV via HDMI), l'ordinateur a plusieurs choix :
- prendre l'image et sa taille de l'interne vers l'externe
- prendre les reglages de l'ecran externe vers l'interne (avec du coup parfois un aspect modifié,coupé, bureau virtuel ou il faut utiliser la molette)

il peut aussi choisir que l'ecran exterieur devienne l'ecran primaire,
ainsi au login, c'est la tv qui affiche la fenetre login/pass, l'ecran interne reste alors gris tant que le bureau est lancé

tu peux aussi choisir d'avoir un bureau etendu avec des reglages differents sur les ecrans, des positions particulieres,
comme interne à gauche, externe à droite, et tu peux alors passer tes fenetres de l'une à l'autre.

bref on peut faire pas mal de chose.

dans ton cas, peut-etre faudrait-il commencer par debrancher la TV et la prise HDMI de l'ordi, pour voir si ca revient à la normale, avec redemarrage eventuel

1.
configuration de la zone dans : #/etc/bind/named.conf.local#

 zone "pclocal.cf" {
      type master;
      file "/etc/bind/db.pclocal.cf";
      allow-transfer {ip_local_type_master;};
      allow-query{any;};
      notify yes;
 };

Commentaire Question :
Pour l'adresse #ip_local_type_master# je ne sais pas qu'elle IP je dois mettre ici

Reponse : tu mets un # devant, car tu n'as qu'un seul serveur DNS
si tu en avais plusieurs, tu aurais un DNS master et tu mettrais cette ligne sur les slave qui vont recevoir les modifications de leur master

2.
Commentaire :
pour la configuration d’un fichier de zone dans #/etc/bind/db.pclocal# :

$TTL 3600
@ IN SOA "que dois je mettre ici". root.pclocal.cf. (
2011020906 ; SERIAL
3600; REFRESH
15M; RETRY
1W; EXPIRE
600 ) ; Negative Cache TTL
 ;
 ; NAMESERVERS
 ;
pclocal.cf. IN NS "que dois je mettre ici"
pclocal.cf.fr. IN NS "que dois je mettre ici"
 ;
 ; Nodes in domain
 ;
www IN A "que dois je mettre ici"
mail IN A "que dois je mettre ici"
ns1 IN A "que dois je mettre ici"
smtp IN A "que dois je mettre ici"
pop IN A "que dois je mettre ici"
ftp IN A "que dois je mettre ici"
imap IN A "que dois je mettre ici"
pclocal.cf. IN A "que dois je mettre ici"
pclocal.cf. IN MX 10 "que dois je mettre ici"
 ;
 ; subdomains
 ;
*.pclocal.cf. IN A "que dois je mettre ici"

en face d'un IN A
tu dois mettre l'IP de la machine qui va fournir le service pour ce domaine.
imap IN A une adresse IP qui fournira le service imap.pclocal.cf

idem pour le MX, sauf que lui, c'est celui qui recoit les emails @pclocal.cf

les lignes sont optionnelles, si tu n'as pas de services sous ce nom.
et à l'inverse tu peux avoir
PC1 IN A IP_a_b_c_d
PC2 IN A IP_e_f_g_h

NB : quand tu changes la configuration dans le fichier db.pclocal.cf
il faut augmenter le serial qui est generalement la date du jour 20190919xxx
avec xxx le numero de la modification dans la journée

3.
Je suis chez Free.
Qu'elle adresse du nom de serveur DNS je dois mettre pour le type primaire et le type secondaire.

j'imagine que c'est pour les "forwarders" à qui le DNS BIND va demander s'il ne connait pas un domaine,

perso j'utilise les DNS de OPENDNS, mais tu peux aussi utiliser ceux de google (8.8.8.8) , ou de cloudflare (1.1.1.1)

Cependant, je trouve étonnant qu'en http tu n'arrives plus à accéder à tes sites. Je ne vois pas ce que l'activation du certificat SSL change à Apache ? ! ?

apache ne se lancerait plus quand il remplace les certificats par defaut d'apache par ceux de letsencrypt ?

letsencrypt a besoin d'un nom de domaine pour generer le certificat,
et lors de sa creation, il essaie d'acceder à http://ton.domaine.tld

s'il n'y arrive pas, il ne genere pas de certificat.

si dans ton cas il a généré un certificat, c'est que le domaine est accessible du point de vue de letsencrypt (de l'exterieur de chez ta machine/ton reseau)

en local, il te faut alors un DNS qui renvoie un client de ton.domaine.tld -> ip locale du serveur local