# Présentation du besoin

Présentation du besoin : Isoler au maximum mon cloud personnel qui tourne sous Yunohost tout en le laissant accessible de façon contrôlée. Cas d'usage : pouvoir accéder au Nextcloud depuis le bureau/locaux de l'entreprise, par la famille et en mobilité (via Wireguard).

La machine est hébergée sur un mini PC, chez moi, derrière une Freebox. Elle fait tourner Yunohost et différents services.

# Prérequis

– Savoir faire des redirections dans la configuration du NAT de la Freebox
– Savoir mettre des IP fixes (via le DHCP de la Freebox ou autre).
– Savoir activer et configurer le serveur Wireguard sur la Freebox

# Est-ce un mode Airgap ?

Non, la machine reste connectée à Internet et aux machines du réseau local. Je restreins juste l'accès.

# Pourquoi faire ça ?

Comme dit en introduction, il s'agit d'un cloud personnel qui n'a pas pas vocation à être accessible publiquement. Je fais mes mises à jour, je sécurise comme je peux (mot de passe fort, double authentification...). Je ferai un article plus précis et dédié car étudiant les logs du serveur, j'ai vu qu'il contenaitdes tentatives de connexion, bannies ensuite par fail2ban de machines dont les IP sont identifiées comme compromises. Le risque de sécurité, les IA & autres LLM qui cherchent partout. J'ai donc décidé de voir pour couper la machine d'Internet ou presque.

# Pourquoi derrière un nom de domaine et pas un nom en local ?

Parce que je l'ai déjà loué. Parce que je peux pouvoir revenir en arrière.
La machine doit donc rester accessible sur mondomaine.com, pour que je ne change pas mes habitudes, à quelle adaptation /changement prêt que nous verrons.

# IPv6 ?

J'avais déjà désactivé IPv6 par choix du coup, pour avoir uniquement une machine accessible via l'IPv4 fixe et publique full stack de la Freebox (avec redirection des ports au niveau de la configuration du NAT de la Freebox).

# Préparation

Pour des raisons de simplicité, c'est la Freebox qui me sert de serveur DHCP sur le réseau. J'attribue des bails statiques à certaines machines (PC, smartphone) qui auront besoin d'avoir accès à Yunohost. Cela facilitera certaines choses par la suite (au niveau des règles de redirection de port sur la configuration du NAT de la Freebox).

# Smartphone

Sur mon smartphone, j'utilise différentes choses dont DavDroid pour la synchronisation des contacts & agenda, le client Nextcloud...

En local, je passe par le Wifi, j'ai une IP locale autorisée /redirigée au niveau NAT.
A distance, je lance la connexion VPN Wireguard (le serveur Wireguard étant la Freebox) et je me retrouve sur mon réseau local avec une IP fixe identifiée.

Je n'ai rien à changer sur le smartphone par rapport à avant.

# PC Personnel

En local, je passe par le Wifi ou une connexion filaire, les 2 ont une IP locale autorisée /redirigée au niveau NAT.
A distance, je lance la connexion VPN Wireguard (le serveur Wireguard étant la Freebox) et je me retrouve sur mon réseau local avec une IP fixe identifiée.

# PC Pro

J'ai des besoins d'accès ponctuels à mon cloud (pour consulter mon agrégateur RSS par exemple sur la pause du midi)

J'utilise mon PC professionnel en télétravail, la machine a une IP fixe sur le réseau.
A distance, au bureau, je lance Wireguard.

# Autres accès - la famille

Ma famille accède ponctuellement à des services de mon cloud personnel. C'est via une connexion depuis une Freebox (PC ou smartphone depuis leurs domiciles). Ces Freebox ont une IP fixe, j'autorise ces IP là à accéder à ma machine au niveau de la redirection NAT.

# Quid de la supervision du coup ?

J'ai un serveur VPS avec un UptimeKuma pour faire de la supervision de base de différentes choses dont des Freebox, cf mon article Uptime Kuma et surveillance de Freebox.

Cette machine a une IP fixe connue. Là encore, j'autorise cette machine via son IP à se connecter à mon serveur Yunohost sur le port 443.
J'utilise un autre port (non redirigé du coup) pour la supervision de la box en elle-même (le port du FreeboxOS).

# En résumé, liste des redirections

Voici en résumé une liste de redirections de ports configuré au niveau du NAT de la Freebox :
* IPs locales de Wireguard port 443 vers Yunohost port 443 : pour les accès en mobilité
* IPs locales des machines (PCs portables, smartphones...) port 443 vers Yunohost port 443 : pour les accès depuis la maison
* IPs publiques des routeurs (Freebox) de la famille port 443 vers Yunohost port 443 (une ligne par Freebox)

# Aller plus loin et reste à faire ?

Aller plus loin, ce sera mettre en place un firewall (PfSense, OpnSense) entre la Freebox et Yunohost. C'est dans ma todo depuis longtemps. Le présent article et la mise en place du projet ont pris toutefois moins de temps que de me former à ces firewall.

Dans le reste à faire, il y a deux choses à voir :
– quid des certificats Let's Encrypt et de leur renouvellement automatique : je ferai un article sur le sujet ;
– quid du partage d'un fichier ou d'un dossier à quelqu'un d'extérieur sur le Nextcloud : là encore, il y a une réflexion à avoir. Cela fait partie des limites actuelles : ce n'est pas envisagé.

# Bilan

La machine n'est donc plus exposée sur Internet, à quelques IP précises prêt. C'est donc potentiellement "Plus sécurisé" Pas autant qu'une machine Airgap, mais un bon compromis contre quelques manipulations/contraintes (nécessité de lancer Wireguard par exemple).

# A voir aussi
– Connexion VPN via le Wireguard de la Freebox et utiliser le DNS local de type PiHole AdGuard
– Wireguard comme serveur VPN, avec une Freebox et avec Yunohost

#Freebox et son système de Backup 4g

Il y a quelques temps, j'avais eu un problème de connexion à Internet (armoire fibre vandalisée) et j'avais pu bénéficier de l'offre de backup 4G de Free, qui venait tout juste de lancer cette offre. J'avais communiqué sur mes comptes de réseaux sociaux et j'avais fourni les photos permettant d'éditer le tutoriel Busyspider.fr - TUTO Nouveau backup 4G internet Free mis en place en cas de panne Freebox (je n'en avais moi-même pas rédigé, préférant laisser ce soin à un site plus spécialisé et avec plus de visibilité).

Élément repris sans mon accord (je suis juste mentionné, sans lien) sur le site UniversFreebox

Je suis le geek informaticien de la famille, donc quand la Freebox de mes parents a eu un soucis de connexion, j'ai contacté le support FreeProxy, l'incident a été confirmé comme étant impactant pour le quartier. J'ai demandé une connexion de secours et elle a été fournie. L'occasion de compléter le tutoriel du coup.

#Rétablissement de la connexion à Internet

Une fois l'antenne branchée, la connexion en 4g donne lieu à ces informations au sein de l'interface :

L'IP publique est une IPv4 full stack, mais différente de l'IP habituelle.

# Comment j'ai eu ces informations à distance ?

Je suis (du verbe suivre) la connexion de mes parents à distance de deux façons : via FreeboxOS (j'y accède via le VPN Wireguard de la Freebox pour être sur le réseau local) et via l'application Freebox.

Pour l'accès à FreeboxOS, j'avais utilisé la possibilité d'avoir un nom de domaine personnalisé, de la forme parents.freeboxos.fr (cf le tutoriel Création d'un Nom de domaine personnalisé chez Free)

Depuis l'application Freebox sur smartphone, où j'avais associé les différents Freebox que je surveille, j'ai pu retrouvé "le vrai nom de domaine" associé à la Freebox https://oklazvtu.fbxos.fr:12345/ A noter que cette application n'est plus maintenue. Et que je ne sais pas comment retrouver autrement cette adresse.

La résolution DNS de ce nom de domaine par défaut est mis à jour très rapidement dès lors que la connexion de la Freebox via la 4G et que la nouvelle IP est définie (dans les 10 minutes suivant l'activation). Le nom de domaine personnalisé, de la forme lui ne marche pas et reste associé à l'IP full stack associé à la connexion fibre.

Pour accéder à l'interface de FreeboxOS, je passe donc par la connexion VPN et le nom de domaine oklazvtu.fbxos.fr et non parents.freeboxos.fr, et je peux ainsi surveiller la Freebox de mes parents.

A prendre en compte pour mettre à jour la supervision par exemple (cf mon article Uptime Kuma et surveillance de Freebox)

Notes hebdomadaires N°52 Semaines du 26 janvier 2026 au 16 février 2026

L'année commence très fort niveau professionnel avec beaucoup de choses intéressantes à faire.

#Mes plaisirs

Déjà mentionné dans les notes hebos précédentes, Bluey. On regarde l'intégrale avec les enfants. Des moments de tendresse. Des leçons de vie. Une famille dans laquelle je me reconnais. J'aime vraiment beaucoup ce dessin animé.

Via CloneWeb sur Bluesky La RTS a retrouvé Jean Chalopin pour une petite interview sur les séries cultes qu'il a créé dans les 80s (Gadget, les Cités d'Or, Ulysse 31). S'il a le look d'Ulysse 31, c'est normal, c'est lui-même qui a servi d'inspiration pour le design !

Un constructeur chinois commercialise des SSD externes, avec l'apparence d'une disquette. Et il existe la même chose en version K7 audio. Inutile mais indispensable pour les nostalgeek !

Multiples vulnérabilités dans SPIP corrigée dans la version 4.4.8 (version en cours, maintenue), et le package Yunohost est à jour quelques heures après. Donc faites vos mises à jour ! Et surtout cette année, cela fera 22 ans que mon blog tourne sur SPIP. Et je continue ! Car Spip est pour moi un exemple pour le logiciel libre ;-)

#Mes peines

Décès de James Van Der Beek connu pour son rôle dans la série Dawson. A une époque où le streaming n'existait pas j'étais religieusement chaque dimanche après midi devant ma télévision pour suivre cette série. Jai tout vu. Elle a abordait des thèmes nouveaux comme l'homosexualité ou les femmes libres. Bref. James était malade depuis de nombreuses années. Encore merci pour tout ces moments qui m'ont accompagné dans la fin de mon adolescence.

Pensée du jour : Je vois des donneurs de leçons "Ado & Porno, c'est au parent de gérer l'accès etc." Quand on voit l'illettrisme numérique, les difficultés à gérer le quotidien, la difficulté à comprendre comment ça marche AI fakenews, comment un parent peut-il mettre en place un filtre parental efficace quand lui même ne sait et en comprend pas "la technologie" ? L'éducation au numérique à tout âge et l'accompagnement est plus que nécessaire. Et le gouvernement lui, il veut juste "réguler".

#Vus ou entendus

Petite compilation de vidéos à voir.

Pourquoi le streaming a rendu le son objectivement pire (et personne n'en parle). Une dizaine de minutes sur l'évolution de l'écoute de la musique à la consommation, et l'impact du passage du support physique au streaming. Intéressant.

Collector's Quest Saison 4 ! L'arcade à la maison !!! (Ep.3) avec Florent Gorges, qui continue sa série d'interview.

Visite de la maison de Davy Mourier (Nolife, une case en moins, Badstrip) avec un aperçu de sa collection de jouets. On aurait envie de plus s'attarder. Ca tombe bien Davy fait des compils des unboxing de ses commandes Vinted. Que de nostalgie !

Sur la chaîne belge RTBF iXPé, Aurelien Sama et Nadiro nous parle de Linux vs Windows : qui est le meilleur pour le GAMING ? Intéressant avec un vrai comparatif objectif.

Sujet incontournable du moment
– Frandroid - Il se passerait quoi si les USA nous coupaient l'accès à TOUT ? (Apple, Amazon, Tesla...)"
– Nowtech - Peut-on vivre sans Google, Apple, Microsoft… (et toute la tech américaine) ?
– Vivre sans Google, Amazon et Meta : nos alternatives aux Big Tech • FRANCE 24 avec du Murena - Gaël DUVAL dedans. Quand les chaînes de TV grand public commence à s'intéresser à ce sujet, c'est que ça se démocratise et touche un plus grand public. Et que l'enjeu est bel et bien là.

# Mes projets

Je suis à titre professionnel et personnel la Suite de la DINUM. Et c'est en partie packagée par Yunohost. Je vais un peu plus communiquer spécifiquement là-dessus (#Teaser, Webinaire ? Webinaire !)

En attendant, à lire le blog de Souverain https://souverain.ovh dont ses articles d'expérimentation complet et détaillé (avec les difficultés rencontrées, les contributions/rapports de bugs faits etc.)
– De Docs à Meet : quand La Suite numérique s'invite sur mon YunoHost
– J'ai réussi à installer La suite – Docs de la DINUM
– Souveraineté numérique : LaSuite (DINUM) peut-elle remplacer les suites collaboratives dominantes ?

Et à voir
Auto-hébergement Grist avec Yunohost sur le Peertube de la DINUM, parmi de nombreuses autres vidéos

# Mes contributions

Le podcast Projets libres a besoin de vous pour savoir les sujets qui vous intéresse. Ca prend 2 minutes, c'est rapide. Et écoutez le podcast, je recommande car de qualité !

Quelques articles et tutoriels publiés
– Affiche sur des alternatives aux services privateurs par Fla
– Ubuntu et services au démarrage
– Tuto - Libreoffice Impress et sommaire de PDF
– Yunohost Soucis d'encodage à l'extraction d'une sauvegarde
et d'autres déjà prêts à publier dans les prochaines semaines

Vous souhaitez reprendre le contrôle de votre vie numérique ? Il existe des solutions !

Il y a quelques temps, Fla (@fla@mastodon.social) membre de Framasoft, contributeur de Diaspora, a prit l'initiative de créer une affiche /liste de solutions alternatives qui est librement disponible sous licence public domaine CC-0.

L'objectif est donc de disposer d'une affiche (que l'on peut imprimer, adapter, modifier, redistribuer...) proposant des solutions alternatives aux services privateurs.

Son approche est pragmatique, la liste des solutions est celle que Fla considère "comme vraiment prêtes à être utilisées. Le but est de vraiment de faire migrer le plus possible de personnes, donc en favorisant l'expérience utilisateur (est-ce que le service s'utilise facilement, est-ce qu'il y a des gens dessus et donc un intérêt...) plutôt que la perfection, sinon on aurait une liste assez différente".

Et comme il le dit dans un de ses messages, avec lequel je suis également en accord

Et si vous ne deviez retenir que deux actions à faire : remplacez Chrome/Edge par Firefox (avec l'extension uBlock origin), et installez l'application de messagerie Signal.

– Source PDF : https://diaspora-fr.org/alternatives.pdf
– Source LibreOffice : https://diaspora-fr.org/alternatives.odg

# Publication des supports de mes conférences

Dans les années 2010, j'ai donné BEAUCOUP de conférences sur différents sujets, dont l'hygiène numérique. J'ai mis la plupart des supports en libre accès et par solution de facilité, sur le service en ligne Slideshare (partage de support de conférences). Pas le temps, pas l'envie , l'effet mode, plein de raisons qui ont fait que c'était sur ce site. Et comme toujours, le cloud étant l'ordinateur d'un autre, en utilisant un service gratuit, dont je suis le produit (l'exploitation du contenu de mes conférences dans une ère AVANT l'IA ne me gênait pas, les supports étaient sous licence CC BY SA), on joue avec les règles de celui qui fournit le service.

Je souhaite dans le présent article, partagé, avec un peu d'humour, la censure automatisée rencontrée, qui, je l'espère, amènera des réflexions plus globales comme j'ai pu le faire.

# Censure de Slideshare

Un matin, j'ai reçu un mail, en anglais qui pourrait se traduire en français part :

Bonjour,
Dans le cadre de nos efforts continus pour maintenir un environnement sûr et conforme pour tous les utilisateurs, nous avons examiné certains contenus associés à votre compte sur Slideshare, signalés pour d'éventuelles violations de nos règles. Cet examen a inclus l'utilisation d'outils automatisés nous aidant à identifier les contenus pouvant être incompatibles avec les politiques de Slideshare. Après une évaluation attentive, nous avons déterminé que ces contenus ne respectaient pas les Conditions d'utilisation et/ou les Règles de la communauté de Scribd, Inc.

Cordialement,
Scribd, Inc.

# Le contenu en question

J'ai parcourus toutes les slides des 3 conférences citées à savoir Rattrapage Geek spécial Manga par l'association The Geek Side, Reprenez le contrôle de votre vie privée
Chiffrofete – Divers éléments de réflexion (3 événéments, un même support dupliqué) et le seul contenu que je vois répondant au critère, c'est Genma en panda, nu qui prend son bain ! Un panda nu ! Bouh !

A moins que ce soit l'expression "partie de jambe en l'air" qui était été prise au pied de la lettre...

Et ce n'est même pas l'abus d'alcool dangereux pour la santé qui a été à l'origine de la censure.

Ca aurait pu également être pour des raisons de copyright/droit d'auteurs, les images étant la propriété de leurs auteurs respectifs (ça reste des images de manga/anime...)

# Mes actions

J'ai tout récupéré et j'ai fermé mon compte. J'avais déjà tous les supports de conférences dans mes archives. Je verrai la pertinence de les remettre en ligne sur un hébergement dont j'ai la maitrise - ou pas pas de remise en ligne, vu que le contenu est daté et obsolète. Mais j'ai surtout réfléchi à quels autres services je pouvais avoir encore l'usage et la censure potentielle que je pouvais subir...