Bienvenue sur WordPress. Ceci est votre premier article. Modifiez-le ou supprimez-le, puis commencez à écrire !
Un UPS (Uninterruptible Power Supply) est un dispositif électronique qui assure une alimentation électrique de secours en cas de panne de courant, protégeant ainsi les appareils contre les coupures et les fluctuations de tension.
Le principe de base est très simple : en cas de coupure d’approvisionnement électrique de vos appareils, ces derniers (branchés à l’UPS) pourront toujours être alimentés, le temps que la batterie interne le permette.
Il faut donc composer en fonction de la puissance* sous-tirée pour dimensionner son UPS afin d’avoir le temps nécessaire de se retourner en cas de coupure prolongée.
\[
\text{Temps d’autonomie (en heures)} = \frac{\text{Capacité de la batterie (en Wh)}}{\text{Puissance consommée par l’équipement (en W)}}
\]
Si je prends par exemple le modèle que j’ai acheté Eaton 3S 550VA qui a une capacité de 330W (THEORIQUE) , à raison de 40W de puissance de mon homelab, j’obtiens une autonomie réel d’environ 45 minutes.
On est donc bien loin de la théorie…!
Cette estimation affichée dans le tableau de home-assistant (une fois le service NUT paramétré) est réaliste et plus fiable qu’un rapide calcul ! Celui-ci tient compte de la courbe de décharge en fonction de la technologie de la batterie, de son état ainsi que de la puissance sous-tirée.
Une chose à laquelle je n’avais pas pensé c’était le consommation électrique de l’UPS, car oui, il consomme environ 4,6Wh soit 110,4Wh/j ou encore 40,296kWh/an…
Il me fallait un UPS simple qui puisse rentrer dans un espace technique exiguë, pas trop onéreux mais surtout connecté afin d’avoir un retour dans home-assistant.
Mes appareils, pour le moment, ne consomment pas beaucoup (environ 40W)
Je me suis orienté vers la gamme de chez EATON (3S) et j’ai opté pour le plus petit modèle répondant à mes besoins : le Eaton 3S 550 FR.
Sous 200W de consommation, il a une autonomie (théorique) maximale de 6 minutes, ce qui laisse le temps de lancer des automatismes en cas de détection de coupure prolongée.
La batterie à l’intérieur est une 12V 5ah remplaçable généralement après quelques années seulement (technologie au plomb). Comptez entre 20 et 40€.
Précision si besoin, la moitié des prises seulement sont protégées par la batterie. L’autre moitié est juste protégé des sur-intensités.
NUT = Network UPS Tools.
C’est juste un petit service qui parle avecl’onduleur via USB, récupère son état (batterie, autonomie, mode secteur/batterie, etc.), et partage ces infos au réseau (Proxmox, Home Assistant, etc.).
En gros :
Grandes lignes :
Une fois le bloc UPS en place, relié, branché, on va installer ce qu’il faut sur l’hôte (et non un conteneur/VM).
lsusb
Vous devriez voir une ligne type “Eaton” ou « UPS ».
apt update
apt install nut
nano /etc/nut/ups.conf
Ajoutez :
[eaton3s]
driver = usbhid-ups
port = auto
desc = "Eaton 3S 550"
Toujours dans le même fichier, on va en profiter maintenant pour modifier :
LISTEN 127.0.0.1 3493
En :
LISTEN 0.0.0.0 3493
Ca évite d’être limité au seul port local à écouter.
Chez moi j’ai du le modifier ainsi sinon HA ne pouvait accéder à l’UPS…
nano /etc/nut/nut.conf
Remplacez la ligne par :
MODE=standalone
nano /etc/nut/upsd.users
Ajouter un utilisateur pour Home Assistant et Proxmox :
[homeassistant]
password = 1234
upsmon master
[monproxmox]
password = 4321
upsmon slave
systemctl restart nut-server
systemctl restart nut-monitor
systemctl enable nut-server
systemctl enable nut-monitor
upsc eaton3s
→ Vous devriez voir battery.charge, battery.runtime, ups.status, etc.
S’il affiche “OL” = On Line (sur secteur).
En coupure secteur → “OB” (On Battery).
battery.charge: 100
battery.runtime: 600
ups.status: OL
Maintenant que le serveur est fonctionnel, on va y connecter home-assistant afin qu’il y puise les informations !
Dans home-assistant on va commencer par installer une intégration du nom de… NUT !
La saisie des information devrait être simple.
✍️ N’hésitez pas à afficher les entités « Diagnostic » qui ne sont pas toute activées par défaut.
Maintenant que l’on a la remontée des informations, on va pouvoir en faire quelque chose !
Il est nécessaire de rajouter une instruction dans le fichier configuration.yaml.
Nous verrons par la suite comment configurer l’accès SSH s’il n’est pas déjà activé.
# Extinction demandé du homelab
shell_command:
shutdown_proxmox: >
ssh -i /config/ssh_keys/id_ed25519
-o StrictHostKeyChecking=no
root@192.168.0.11 "/root/shutdown_homelab.sh"
Voici directement le code yaml pour créer l’automatisme :
alias: Gestion complète UPS Eaton / Homelab
description: Notifications + arrêt Proxmox si autonomie faible
triggers:
- id: coupure_30s
entity_id:
- sensor.eaton3s_code_d_etat
to:
- OB
for:
hours: 0
minutes: 0
seconds: 5
trigger: state
- id: autonomie_critique
entity_id: sensor.eaton3s_code_d_etat
to: ALARM OB OL
for:
seconds: 30
trigger: state
- id: courant_retour
entity_id:
- sensor.eaton3s_code_d_etat
to:
- OL
trigger: state
- id: check_remaining
trigger: event
event_type: mobile_app_notification_action
event_data:
action: CHECK_REMAINING
conditions: []
actions:
- choose:
- conditions:
- condition: trigger
id: coupure_30s
sequence:
- action: notify.mobile_app_sm_s928b
data:
title: ⚠️ Coupure électrique détectée
message: >-
{% set s = states('sensor.eaton3s_autonomie_de_la_batterie') |
int(0) %} {% if s > 0 %}
{% set h = s // 3600 %}
{% set m = (s % 3600) // 60 %}
{% set sec = s % 60 %}
{% set end = (now() + timedelta(seconds=s)).strftime("%H:%M:%S") %}
L'UPS est sur batterie depuis plus de 30 secondes.
**Autonomie restante : {{ "%02d:%02d:%02d" | format(h, m, sec) }}**
**Extinction estimée à : {{ end }}**
{% else %}
L'UPS est sur batterie depuis plus de 30 secondes.
Autonomie inconnue.
{% endif %}
data:
sticky: true
channel: UPS Alerts
importance: high
priority: high
actions:
- action: CHECK_REMAINING
title: Vérifier l'autonomie
- action: FORCE_SHUTDOWN
title: Forcer l'arrêt du homelab
- conditions:
- condition: trigger
id: autonomie_critique
sequence:
- action: notify.mobile_app_sm_s928b
data:
title: ⛔ Arrêt automatique homelab
message: >-
L'UPS signale un niveau de batterie < 20% (`ALARM OB OL`).
Extinction immédiate et propre du cluster Proxmox.
data:
sticky: true
clickAction: NONE
channel: UPS Alerts
importance: high
priority: high
- delay:
seconds: 30
- action: shell_command.shutdown_proxmox
- conditions:
- condition: trigger
id: courant_retour
sequence:
- action: notify.mobile_app_sm_s928b
data:
title: 🔌 Courant rétabli
message: >-
L'alimentation secteur est revenue. L'UPS fonctionne
normalement.
data:
sticky: true
clickAction: NONE
channel: UPS Alerts
importance: high
priority: high
- conditions:
- condition: trigger
id: check_remaining
sequence:
- action: notify.mobile_app_sm_s928b
data:
title: 🔍 Autonomie actuelle
message: >-
{% set s = states('sensor.eaton3s_autonomie_de_la_batterie') |
int(0) %} {% if s > 0 %}
{% set h = s // 3600 %}
{% set m = (s % 3600) // 60 %}
{% set sec = s % 60 %}
{% set end = (now() + timedelta(seconds=s)).strftime("%H:%M:%S") %}
Check-in.
**Autonomie restante : {{ "%02d:%02d:%02d" | format(h, m, sec) }}**
**Extinction estimée à : {{ end }}**
{% else %}
**Autonomie : inconnue**.
**Extinction estimée à : inconnue**
{% endif %} **État UPS :** {{ states('sensor.eaton3s_etat') }}
data:
sticky: true
clickAction: NONE
channel: UPS Alerts
importance: high
priority: high
actions:
- action: FORCE_SHUTDOWN
title: Forcer l'arrêt du homelab
mode: single
Ce que ça fait :
3 déclencheurs différents pour 3 niveaux différent.
Après 30 secondes de coupure d »alimentation (donc de décharge de l’UPS) une notification est envoyée sur le téléphone pour signaler la dite coupure et notifier du temps restant estimé.
Un bouton d’action est présent pour demander l’arrêt (en douceur) immédiate des VM/LXC et arrêter le homelab.
Si le temps restant est inférieur à 5 minutes, l’arrêt de Proxmox est automatiquement déclenché ainsi qu’une notification sur le téléphone portble.
Si le courant est rétabli avant l’extinction du homelab, une notification est envoyée.
Si le homelab s’est éteint, aucune notification sera envoyée.
J’ai déjà paramétré l’ordre d’allumage et donc d’extinction des machines gérées par l’hyperviseur Proxmox.
Mais il faut une petit script pour commander (via SSH) l’ordre effectif d’arrêt en douceur, propre et sans encombre.
nano /root/shutdown_homelab.sh
#!/bin/bash
LOG=/var/log/proxmox_safe_shutdown.log
echo "===== Shutdown triggered at $(date) =====" >> $LOG
# Configuration Home Assistant
HA_URL="http://192.168.0.100:8123" # IP ou nom de la VM HA
HA_TOKEN="TON_LONG_LIVED_ACCESS_TOKEN" # Token persistant dans HA
echo "[0/5] Arrêt propre de Home Assistant..." | tee -a $LOG
HA_VM_ID=$(qm list | awk 'NR>1 {print $1, $2}' | grep "homeassistant" | awk '{print $1}')
if [ -n "$HA_VM_ID" ]; then
echo "→ Envoi stop à Home Assistant..." | tee -a $LOG
curl -s -X POST -H "Authorization: Bearer $HA_TOKEN" \
-H "Content-Type: application/json" \
"$HA_URL/api/services/homeassistant/stop"
echo "→ Attente 30s pour HA..." | tee -a $LOG
sleep 30
else
echo "→ VM Home Assistant non trouvée, passage..." | tee -a $LOG
fi
echo "[1/5] Arrêt propre des VM..." | tee -a $LOG
for vm in $(qm list | awk 'NR>1 {print $1}'); do
echo "→ VM $vm : shutdown ACPI" | tee -a $LOG
qm shutdown $vm --timeout 120 --skiplock 1
done
echo "[2/5] Attente arrêt complet des VM..." | tee -a $LOG
for vm in $(qm list | awk 'NR>1 {print $1}'); do
echo "→ Attente extinction VM $vm..." | tee -a $LOG
qm wait $vm 2>>$LOG
done
echo "[3/5] Arrêt des conteneurs LXC..." | tee -a $LOG
for ct in $(pct list | awk 'NR>1 {print $1}'); do
echo "→ CT $ct : stop" | tee -a $LOG
pct shutdown $ct --timeout 60 --forceStop 0
done
echo "[4/5] Attente arrêt complet des conteneurs LXC..." | tee -a $LOG
for ct in $(pct list | awk 'NR>1 {print $1}'); do
while pct status $ct | grep -q "running"; do
echo "→ Attente extinction CT $ct..." | tee -a $LOG
sleep 5
done
done
echo "[5/5] Arrêt du nœud Proxmox..." | tee -a $LOG
shutdown -h now
Il faut donc adapter les lignes :
HA_URL="http://192.168.0.100:8123" # IP ou nom de la VM HA HA_TOKEN="TON_LONG_LIVED_ACCESS_TOKEN" # Token persistant dans HA
Depuis Home Assistant, il faut ouvrir un terminal.
👉Le faire via le plugin Advanced SSH & Web Terminal.
ssh-keygen -t ed25519
Appuiez 3× Entrée (emplacement + mot de passe vide).
La clé sera créée ici :
/root/.ssh/id_ed25519 /root/.ssh/id_ed25519.pub
☝️ Si on vous demande d’écraser un fichier déjà existant, c’est que vous aviez déjà généré un clé et il vaut mieux ne pas l’écraser sinon vous risqueriez d’être bloqué quelque part…
cat /root/.ssh/id_ed25519.pub
→ Copiez TOUTE la ligne affichée (commence par ssh-ed25519 AAAA…).
nano /root/.ssh/authorized_keys
→ Colle la clé → Enregistre (Ctrl+O / Ctrl+X)
☝️Si le fichier n’est pas nouveau ou vide, insérer le code sur une nouvelle ligne, tout simplement. Ne rien supprimer.
chmod 600 /root/.ssh/authorized_keys
chmod 700 /root/.ssh
Testez SSH avec exactement la même commande que dans Home Assistant :
ssh -i /root/.ssh/id_ed25519 -o StrictHostKeyChecking=no root@192.168.0.11 "echo OK"
Le résultat attendu est sobrement :
OK
Si ça fonctionne, bravo !
Si ça demande un mot de passe → la clé n’est pas acceptée.
Si “permission denied” → clé absente ou droits incorrects.
/mnt/share/pc_auto-shutdown\\192.168.0.105\pc_auto-shutdown.On va créer un dossier qui sera partagé par la suite.
mkdir -p /mnt/share/pc_auto-shutdown
ls -ld /mnt/share/pc_auto-shutdown
drwxr-xr-x 2 root root 4096 Aug 26 14:56 /mnt/share/pc_auto-shutdown
Pour que le conteneur LXC 105 puisse accéder au dossier « pc_auto-shutdown » précédemment créé, il faut lui donner le chemin. C’est ce que l’on appel « monter un dossier ».
nano /etc/pve/lxc/105.conf
mp0: /mnt/share/pc_auto-shutdown,mp=/srv/pc_auto-shutdown
Explications :
mp0 « Montage Point #0 » Si vous aviez déjà d’autres points de montage, mettez simplement le numéro qui suit./mnt/share/pc_auto-shutdown est le chemin du partage.mp=/srv/pc_auto-shutdown indique que ce partage (point de montage) doit être monté dans…
pct reboot 105
L’outil Samba doit être déjà installé et fonctionnel.
L’utilisateur « pve01 » avec son mot de passe (identique) est déjà connu.
systemctl status smbd
Vous devriez voir en vert l’information « Active: active (running)« .
On va à présent configurer Samba pour exposer notre point de montage sur le service.
nano /etc/samba/smb.conf
[pc_auto-shutdown]
path = /srv/pc_auto-shutdown
browseable = yes
read only = no
guest ok = no
valid users = pve01
Enregistrez et quitter.
id pve01
Vous devriez voir quelque chose comme :
uid=1000(pve01) gid=1000(pve01) groups=1000(pve01),100(users)
Notez bien ceci quelque part car si chez vous ces chiffres sont différents, il faudra en tenir compte pour la suite.
chown -R 1000:1000 /srv/pc_auto-shutdown
chmod -R 775 /srv/pc_auto-shutdown
On va synchroniser la définition des « temps » (heure) entre les machines en s’appuyant sur notre home-serveur (Proxmox) qui va servir à récupérer l’heure via le composant chrony pour servir de service NTP.
Ce service sera alors la pierre angulaire pour redistribuer l’heure exact aux machines de votre réseau local (après configuration individuelle…) pour qu’elles soient toutes synchronisées à la seconde près.
Donc l’hôte Proxmox aillant (normalement) déjà le composant chrony d’installé, nous allons le configurer puis configurer les clients (conteneur LXC Debian + Windows) afin que tout ce petit monde soit raccord.
# Vérifier si chrony est installé
dpkg -l | grep chrony
Si rien ne s’affiche c’est que le service est absent. Pour l’installer :
apt update
apt install chrony -y
nano /etc/chrony/chrony.conf
# Autoriser les clients du LAN à se synchroniser
allow 192.168.0.0/24
pool 2.debian.pool.ntp.org iburst
systemctl restart chrony
systemctl enable chrony --now
systemctl status chrony
Le service doit apparaître en vert à l’état de « running ».
ss -ulpn | grep 123
chronyc sources
chronyc tracking
Maintenant que l’hôte reçoit une heure universelle, on va la récupérer sur notre client conteneur LXC Debian.
apt update
apt install chrony -y
nano /etc/chrony/chrony.conf
# Serveur NTP : l'hôte Proxmox
server 192.168.0.11 iburst
systemctl restart chrony
systemctl enable chrony --now
systemctl status chrony
chronyc sources
chronyc tracking
Coté Windows, nous allons faire exactement la même chose : utiliser l’hôte Proxmox comme référent prioritaire à la synchronisation NTP de l’heure. En cas de soucis si l’hôte Proxmox ne répond pas, il y aura moyen de joindre les serveurs directement pour ne pas « crasher ».
w32tm /config /manualpeerlist:"192.168.0.11,0.fr.pool.ntp.org,1.fr.pool.ntp.org" /syncfromflags:manual /reliable:yes /update
net stop w32time
net start w32time
w32tm /resync /rediscover
w32tm /query /status
w32tm /query /peers
Explications :
192.168.0.11 → serveur interne (celui de votre hôte Proxmox)0.fr.pool.ntp.org, 1.fr.pool.ntp.org, 2.fr.pool.ntp.org → serveurs publics comme backupsyncfromflags:manual → utilise uniquement les serveurs listésreliable:yes → indique que ce PC peut être considéré comme une source fiable sur le LANupdate → applique immédiatement la configurationWindows va interroger dans l’ordre les adresse configurées donc si la première est HS, ils consultera la suivante puis celle d’après…
Pour retrouver exactement où HAOS à monté le dossier « PC_HA » il faut se diriger du coté du terminal SSH.
mount | grep cifs
Une liste (ou une seule ligne) apparaissent avec tous les détails comme par exemple :
//192.168.0.105/pc_auto-shutdown on //192.168.0.105/pc_auto-shutdown on /share/PC_HA type cifs (rw,relatime,vers=3.1.1,cache=strict,upcall_target=app,username=pve01,uid=0,noforceuid,gid=0,noforcegid,addr=192.168.0.105,file_mode=0755,dir_mode=0755,soft,nounix,mapposix,reparse=nfs,rsize=4194304,wsize=4194304,bsize=1048576,retrans=1,echo_interval=60,actimeo=1,closetimeo=1) type cifs (rw,relatime,vers=3.1.1,cache=strict,upcall_target=app,username=pve01,uid=0,noforceuid,gid=0,noforcegid,addr=192.168.0.105,file_mode=0755,dir_mode=0755,soft,nounix,mapposix,reparse=nfs,rsize=4194304,wsize=4194304,bsize=1048576,retrans=1,echo_interval=60,actimeo=1,closetimeo=1)
C’est assez imbuvable mais l’information que l’on cherche se trouve ici : /share/PC_HA
Nous venons d’identifier l’emplacement exact où HAOS gère ce partage.
Et il n’y a pas d’autres solution que d’en passer par l’utilitaire graphique pour que le « supervisor » accepte et gère convenablement les droits !
Maintenant que HAOS à un accès configuré pour aller y déposer un fichier (qui déclenchera l’arrêt du PC) nous allons écrire la commande qui effectuera à proprement parler cette tâche.
# Moyen pour arrêter le PC
shell_command:
create_shutdown_file: "date '+%Y-%m-%dT%H:%M:%S%:z' > /share/PC_HA/shutdown.txt"
La date est inscrite comme contenu du fichier et son format garanti une portabilité maximale.
service: shell_command.create_shutdown_file
data: {}
Si vous obtenez une réponse différente de :
stdout: ""
stderr: ""
returncode: 0
… c’est qu’il y aura eu un problème.
ls -l /share/PC_HA
Vous devriez voir apparaître le fichier shutdown.txt
\\192.168.0.105\pc_auto-shutdown vous devez aussi trouver le fichier bien visible.Pour y parvenir, nous allons avoir besoin d’utiliser PowerShell Admin [CTRL + X > A] et d’installer quelques outils intermédiaires…
Chocolatey est un peu comme une suite de mini logiciels/fonctions. Pur plus de facilité nous allons en passer par lui.
choco --version
Si vous obtenez un numéro de version, Chocolatey est déjà installé.
Si c’est un message d’erreur, il faudra l’installer.
Set-ExecutionPolicy Bypass -Scope Process -Force; `
[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol -bor 3072; `
iex ((New-Object System.Net.WebClient).DownloadString('https://community.chocolatey.org/install.ps1'))
Une fois l’installation terminée, fermez et rouvrez la fenêtre PowerShell pour vérifier avec la commande choco --version
C’est ce logiciel que nous visions et son installation est plus aidée via Chocolatey. Donc ce dernier étant installé, nous allons procéder à l’installation de NSSM.
C’est un petit logiciel, léger et sûre même si un peu ancien.
nssm version
Vous vous recevez un numéro de version c’est bon. Sinon, en cas d’erreur, vous êtes bon pour l’installer.
choco install nssm -y
Le -y répond automatiquement “oui” à toutes les confirmations.
Chocolatey va télécharger NSSM et le placer dans son dossier (C:\ProgramData\chocolatey\bin par défaut).
Normalement, Chocolatey ajoute automatiquement les exécutables à ton PATH.
Si tu obtiens une erreur en tapant nssm, ajoute manuellement :
Pour ceux qui ont la flemme, le script suivant (copier/coller toujours dans une fenêtre PowerShell Admin) est fait pour vous !
# Vérifier si Chocolatey est installé
Write-Host "Vérification de Chocolatey..."
if (!(Get-Command choco -ErrorAction SilentlyContinue)) {
Write-Host "Chocolatey n'est pas installé. Installation en cours..."
Set-ExecutionPolicy Bypass -Scope Process -Force
[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol -bor 3072
iex ((New-Object System.Net.WebClient).DownloadString('https://community.chocolatey.org/install.ps1'))
# Recharge la session pour activer choco
refreshenv
} else {
Write-Host "Chocolatey est déjà installé."
}
# Vérifier la version de Chocolatey
choco --version
# Installer NSSM
Write-Host "Installation de NSSM..."
choco install nssm -y
# Vérifier NSSM
Write-Host "Vérification de NSSM..."
nssm version
Le fichier exécutable se trouve ainsi installé à C:\ProgramData\chocolatey\bin
C:\Scripts\shutdown_watcher.ps1
# -----------------------------------------------------------------------------
# Script de surveillance pour extinction du PC via fichier déclencheur (log amélioré)
# -----------------------------------------------------------------------------
Start-Sleep -Seconds 30
# Monter le partage réseau (si nécessaire)
net use \\192.168.0.105\pc_auto-shutdown /user:pve01 pve01 /persistent:yes
$shutdownFile = "\\192.168.0.105\pc_auto-shutdown\shutdown.txt"
$logFile = "C:\Scripts\shutdown_watcher.log"
# --- Nettoyage automatique du log au démarrage ---
if (Test-Path $logFile) {
# Option 1 : vider le fichier
Clear-Content $logFile
# Option 2 : archive le fichier (décommenter si besoin)
# Rename-Item $logFile ("C:\Scripts\shutdown_watcher_" + (Get-Date -Format "yyyyMMdd_HHmmss") + ".log")
}
# Fonction de log (préfixe les nouvelles lignes en haut du fichier)
function Log {
param([string]$msg)
$timestamp = (Get-Date).ToString("yyyy-MM-dd HH:mm:ss")
$newLine = "$timestamp $msg`r`n"
# Lire l'ancien contenu
$old = ""
if (Test-Path $logFile) { $old = Get-Content $logFile -Raw }
# Écrire le nouveau bloc en haut
Set-Content -Path $logFile -Value ($newLine + $old)
}
# Formats ISO8601 tolérés
$formats = @(
"yyyy-MM-ddTHH:mm:ssK",
"yyyy-MM-ddTHH:mmK",
"yyyy-MM-ddTHH:mm:ss"
)
Log "=== Script démarré ==="
while ($true) {
if (Test-Path $shutdownFile) {
try {
# Séparation des tentatives
Log "----- Nouvelle tentative -----"
$raw = Get-Content $shutdownFile -Raw
$fileContent = ($raw -replace "^\uFEFF","").Trim()
Log "Contenu brut : [$raw]"
Log "Contenu nettoyé : [$fileContent]"
# Conversion tolérante
$shutdownTime = New-Object DateTime
if (-not [datetime]::TryParse($fileContent, [ref]$shutdownTime)) {
throw "Impossible de convertir l'horodatage : [$fileContent]"
}
$now = Get-Date
$diff = ($now - $shutdownTime).TotalSeconds
Log "Heure Windows : $now"
Log "Horodatage fichier : $shutdownTime"
Log "Ecart en sec : $diff"
# Tolérance : 45 secondes maximum, uniquement si le fichier est dans le passé
if ($diff -ge 0 -and $diff -le 45) {
Log "✅ Décision : Extinction demandée (écart $diff sec)"
Remove-Item $shutdownFile -Force
Start-Process "shutdown.exe" -ArgumentList "/s /f /t 0" -NoNewWindow
exit
}
else {
Log "❌ Décision : Ignoré, horodatage ancien ou futur (écart $diff sec)"
Remove-Item $shutdownFile -Force
}
}
catch {
Log "⚠️ Erreur : $($_.Exception.Message)"
Log "DEBUG brut : [$raw]"
Remove-Item $shutdownFile -Force
}
}
Start-Sleep -Seconds 5
}
Explications :
Cette « double vérification » fait suite à un constat que j’ai effectué lors de mes essais : si mon PC est déjà éteint mais que l’automatisme (ou autre) déclenche l’envoi du fichier shutdown.txt dans le dossier partager (Proxmox), lors de l’ouverture de la session Windows, le script de surveillance va tout de suite trouver le fichier et va alors arrêter le PC avant même que vous aillez eu le temps de vous logger !
Un système de « log » est mis en place, c’est ce qui m’a permis de constater une différence dans l’horodatage. Du coup, impossible d’éteindre le PC. Nous avons mis en place un moyen de synchroniser les « temps » (service NTP) entre les machines donc vous ne devriez plus avoir de soucis.
Maintenant que tous les outils sont en place, nous allons installer un « watcher » grâce à NSSM.
nssm install PCShutdownWatcher
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Scripts-NoProfile -ExecutionPolicy Bypass -NoLogo -NonInteractive -File "C:\Scripts\shutdown_watcher.ps1"
nssm start PCShutdownWatcher
Pour information, ce service ne me prend que 1,4Mo de RAM. Autrement dit : rien !
Enregistrez tout votre travail car votre PC va s’arrêter à l’issue du test.
Donc 2 possibilités :
– Écrire manuellement le fichier « shutdown.txt » dans \\192.168.0.105\pc_auto-shutdown\
– Faire écrire le fichier via une simulation d’action depuis HAOS
Le premier cas étant d’une évidence enfantine, je ne vais pas la détailler préfèrent tester une simulation depuis HAOS.
Reportez vous en fait au chapitre « Commande shell » qui explique exactement quoi faire.
En cas de doute, vous pouvez redémarrer le service avec la commande PowerShell nssm restart PCShutdownWatcher
Nous arrivons ENFIN à l’automatisation !
Via le plugin « Local Files Editor » nous allons ajouter au fichier « automation.yaml » le bloc suivant pour commencer :
- id: '1756310101388'
alias: PC - Toggle (allumer / éteindre)
description: ''
triggers:
- domain: mqtt
device_id: b9e8f93bf99b9c0b6366842e4e2db0f0
type: action
subtype: single
trigger: device
conditions: []
actions:
- choose:
- conditions:
- condition: and
conditions:
- condition: state
entity_id: switch.prise_antela_ordinateur
state: 'on'
- condition: state
entity_id: device_tracker.msi_pc_fixe_lan
state: home
- condition: numeric_state
entity_id: sensor.prise_antela_ordinateur_puissance
above: 90
enabled: true
sequence:
- action: light.turn_on
metadata: {}
data:
brightness_pct: 100
rgb_color:
- 255
- 0
- 0
target:
area_id: bureau
- action: light.turn_on
metadata: {}
data:
flash: long
target:
area_id: bureau
- action: shell_command.create_shutdown_file
metadata: {}
data: {}
enabled: true
- delay:
hours: 0
minutes: 0
seconds: 55
milliseconds: 0
- condition: numeric_state
entity_id: sensor.prise_antela_ordinateur_puissance
enabled: true
below: 90
- action: light.turn_off
metadata: {}
data: {}
target:
area_id: bureau
- action: switch.turn_off
metadata: {}
data: {}
target:
device_id: 70ecb632ddad3328a7c11ddcd55024b7
enabled: true
alias: Eteindre le PC
- conditions:
- condition: or
conditions:
- condition: state
entity_id: switch.prise_antela_ordinateur
state: 'off'
- condition: state
entity_id: device_tracker.msi_pc_fixe_lan
state: not_home
- condition: numeric_state
entity_id: sensor.prise_antela_ordinateur_puissance
below: 45
sequence:
- action: switch.turn_on
metadata: {}
data: {}
target:
device_id: 70ecb632ddad3328a7c11ddcd55024b7
- delay:
hours: 0
minutes: 0
seconds: 4
milliseconds: 0
- action: wake_on_lan.send_magic_packet
metadata: {}
data:
mac: D8:BB:C1:CA:A6:FF
alias: Allumer le PC
mode: single
Bien évidement, cela correspond aux éléments qui sont présents chez moi avec leur nom et leur ID
Cela, encore une fois répond à MON besoin qui était de couper l’alimentation électrique de la prise qui alimente mon PC avec les écrans et les lumières.
Donc il fallait tenir compte de plusieurs facteurs ce qui a complexifier pas mal la chose.
Pour la « déco » j’ai aussi mis un petit système de lumières qui s’animent en cas d’arrêt demandé. Bref, vous avez l’idée içi. A vous d’adapter.
Sous son air anodin, sa petite taille et se promesses aguichantes, se cache en réalité des mécanismes et des fonctions insoupçonnés. De la plus trivial à quelque chose de plus abouti.
Je ne vais pas vous représenter en long, en large ni en travers l’objet ni même son utilisation rudimentaire.
Cela ne m’intéresse pas et ce n’est pas le but.
Il existe en plusieurs versions (WiFi, Zigbee, Tuya), fonctionne avec 2 piles AAA (vendues séparément) avec la référence UFO-R11 (MOES).
Une copie sans marque sous la référence ZS06 et trouvable mais elle est filaire (donc routeur Zigbee, c’est un avantage).
Je vais vous emmener sur un terrain que je ne soupçonnais même pas lors de l’achat de ce boitier de renvoi de signaux infra-rouge.
Mon modèle :
Pouvoir piloter sa climatisation qui n’est pas « intelligente » (connectée) sauf via sa télécommande à infra-rouge.
Au départ j’ai acheté ce boitier IR car il offre la possiblilité de capturer des signaux émis par une télécommande à proximité pour les enregistrer et les rejouer via sa box domotique (home-assistant).
C’est largement documenté de part la toile et je m’apprêtais à reproduire bêtement la même chose.
Ensuite, bah il fallait faire des boutons ainsi que tout le tralala… l’idée ne me réjouissait pas trop rien qu’au fait de penser que ça allait être « moche ».
Comme beaucoup, je pensais que 1 bip = 1 code = 1 action. Quelque chose somme toute de basique.
Sauf qu’en réalité le code IR renvoyé par de très nombreuses télécommandes de climatisation (ou appareils s’y afférant) est en réalité un savant mélange de toutes les fonctions (de leur réglages donc) mais compilées dans un seul code envoyé en une seule pression !
Oui ! Il est faux de penser que le signal IR ne fait QUE une seule chose à la fois ! C’est certes vrai pour des appareils très simples comme les boitier led RGB à bas coût ou même pour les télécommandes des TV (lorsque l’on voyait encore la led IR s’illuminer dans le noir à chaque pression ^^).
Pour des utilisations plus complexes, le code IR est plus complexe. C’est le cas de nos climatiseurs par exemple.
En plus (ou plutôt en moins, c’est selon) le retour de l’information n’est pas assuré. Votre télécommande envoie un ordre et si cet ordre n’arrive pas, votre télécommande n’en saura rien et elle perdra sa « synchronisation » entre ce qu’elle affiche et ce qui est réellement pris en compte par votre climatiseur.
Mais en cas de désynchronisation, il suffit d’appuyer sur une seule touche et c’est comme si vous renvoyez l’intégralité des fonctions de la télécommande. Je vous explique ça ci-dessous.
Septique ? Faites l’essai par vous même :
C’est la preuve que le code envoyé par la télécommande n’est pas « juste » un seul code pour une seule fonction.
Mais cette conclusion, je m’en suis aperçue personnellement qu’après avoir commencé à m’intéresser au sujet au travers de ce boitier UFO-R11.
Pré-requis :
Donc je vais commencer par capter les signaux pour les enregistrer dans un bête fichier texte et ainsi les intégrer plus tart.
On se dirige au choix :
La partie qui nous intéresse pour commencer est la zone ci-dessous.
vous pouvez tester votre code car… parfois ça ne fonctionne pas.Bon là je ne vous serais d’aucune aide aujourd’hui. Il existe tellement de possibilité que… Au lieu d’implémenter les code pour les rendrent utilisables, je vous propose de vous amuser juste avec le la fonction d’envoi du code en utilisant Zigbee via MQTT afin de simuler l’envoie d’une commande avec votre code fraichement appris.
Prêt ? C’est parti ! (après on verra mieux, promis)
Pour récupérer les information nécessaire, avec MQTT il nous faut connaître le sujet (topic) ainsi que le message (payload).
En premier, nous utilisons la zone prévue à cet effet qui fonctionne, ultra simple (trop) mais fonctionnelle.
vous collez un code précédemment appris.
Nous venons de procéder à un envoie de commande via MQTT qui fonctionne mais nous ne savons pas comment ça a fonctionné au juste.
Je vous propose de partir à la découverte de ce qu »il vient de se passer sous vos yeux.
On va déjà fair ele point sur ce qui a fonctionné donc. Dirigeons nous vers le « journal ».
sensor.telecommande_ir_ir_code_to_sendir_code_to_send
 |
 |
Pour ce faire, toujours depuis la page d’intégration de votre boitier UFO-R11 :
MQTT Info (PAS sur les 
)ir_code_to_send/set
zigbee2mqtt/Télécommande IR/set
Notez que la dernière partie (ir_code_to_send) va être utilisée un peu différemment…
Mais vous venez aussi de voir le Nom Familier (Friendly_name) inscrit en clair dans la commande du sujet ! Donc si vous renommez votre appareil via Z2M, il y a de fortes chances pour que tous vos scénarios ne fonctionnent plus car l’appareil sera… différent.
Je ferais certainement un autre article sur le sujet…
Toujours depuis la même fenêtre, depuis le sujet (topic) zigbee2mqtt/<Friendly Name>/set/ir_code_to_send
Donc maintenant, nous avons identifié avec certitude le sujet (topic) ainsi que le message (payload).
Partons maintenant dans la phase expérimentale pour ceux qui n’ont jamais mis les pieds dans la machine.
mqtt.publish« 
Outils de développement – Action : mqtt.publish
zigbee2mqtt/Télécommande IR/set{"ir_code_to_send": "<votre_code_IR>"}ir_code_to_send en tête de ligne oui…Si vous passez en affichage Yaml, le code complet est :
data:
topic: zigbee2mqtt/Télécommande IR/set
payload: >-
{"ir_code_to_send":
"<votre_code_ir>"}
action: mqtt.publish
Le principe reste le même, c’est juste que l’on passe par l’outil depuis l’intégration MQTT.
zigbee2mqtt/Télécommande IR/set{"ir_code_to_send": "<votre_code_ir>"}Avant de parler de l’application en elle-même, il faut bien comprendre une chose.
Les codes capturés lors de la phase d’apprentissage par notre boitier MOES UFO-R11 sont au format « Tuya » !
Pour preuve, un simple passage vers ce convertisseur en ligne va nous aider à les confondre.
Ce plugin génial répertorie pas moins de 120 références de télécommandes déjà prises en charge ! Et cerise sur le gâteau, une tuile (climate) ergonomique fonctionnel et en Français est proposée pour vos dasboards !
Le plugin de base (dépôt Git) semble toujours maintenu en activité mais il souffre d’un gros déficit de fonctions pourtant proposées par la communauté (PR) mais le propriétaire rechigne à les intégrer.
C’est le cas de la prise en charge de notre boitier de renvoie IR référence MOES UFO-R11…
Parmi la liste des télécommandes prise en charge, j’ai trouvé la mienne AR-REB1E !
Raison pour laquelle je me suis vite intéressé à ce plugin.
SmartIR – Liste des télécommandes
Ce plugin est une petite pépite et sa petite documentation vous explique comment fonctionne tout ça, depuis l’installation, la configuration et même pour adapter des codes voir carrément pour créer votre propre template si votre modèle n’est pas prise en charge nativement.
Pour en revenir au cas qui nous intéresse on peut voir que la référence de ma télécommande (il y en a 3… j’ai opté pour la dernière, plus complète) réagis avec un Controller « Broadlink« .
A la lecture de certains sujet, le MOES UFO-R11 ne semble pas compatible en l’état. SmartIR a bien une pull-request (du 28/09/23 – toujours ouverte) en ce sens mais… rien ne bouge hélas. On apprend par ce message qu’une personne à décidée de faire un fork pour accélérer les choses.
Personnellement, même si je préfère toujours les originaux, j’ai décidé de faire confiance à ce dernier fork de litinoveweedle qui a l’avantage de mieux gérer les messages via MQTT face à l’original.
Alors c’est un fork (copie) fidèle qui stipule bien la prise en charge de notre boitier MOES UFO-R11 / Z06.
A une exception prête tout de même… pour rendre l’ensemble compatible, les codes « Broadlink » devront être formatés !
L’information est écrite noire sur blanc (ou l’inverse selon votre affichage lol). Lien.
Le problème identifié semble être dû à l’échappement des caractères " dans le fichier json contenant les codes des télécommandes. Un script a été proposé puis amélioré par une autre personne. Je vais me baser sur ce dernier.
Je vais vous détailler ci-bas la procédure complète.
Tout est indiqué sur la page de présentation du dépôt.
Rien de bien sorcier.
Ensuite, en fonction de la télécommande que vous ajoutez, il y aura du code à saisir dans votre fichier configuration.yaml (home-assistant). Documentation.
Dans le cas qui nous intéresse, j’ai saisie :
# Module HACS SmartIR de litinoveweedle
climate:
- platform: smartir
name: Clim Salon
unique_id: clim_salon
device_code: 1293
controller_data:
controller_type: UFOR11
mqtt_topic: "zigbee2mqtt/Télécommande IR/set"
# temperature_sensor: sensor.temperature
# humidity_sensor: sensor.humidity
# power_sensor: binary_sensor.ac_power
# power_sensor_restore_state: true
J’ai volontairement commenté les 4 dernière lignes car je ne me sert pas de ces fonctions (pour le moment).
Aussi, je préfère ne pas avoir à les inclure pour l’instant, restons simple.
Du coup, comme évoqué plus haut, en l’état, le script SmartIR ne fonctionnera pas car les le boitier MOES UFO-R11 ne fonctionne qu’avec des codes format « Tuya » alors que le script ne me fourni que des codes au format « Broadlink ».
Donc nous allons formater le fichier 1293.json (correspond à ma télécommande) pour le rendre utilisable et ce, sans hack ni modification qui seraient perdues en cas de montée de version du logiciel. Ce dernier intégrant un dossier spécial prévu à cet effet smartir/custom_codes/climate.
Pré-requis : Utilisation du plugin : « Advanced SSH and Web Terminal« .
Maintenant mettons nous au travail.
python3 --version Si ce dernier n’est pas installé, installez-le avec apt install python3
# Crée l'arborescence si elle n’existe pas
mkdir -p /config/scripts/broadlink_to_tuya
# Télécharge le script depuis le lien brut de GitHub
wget -O /config/scripts/broadlink_to_tuya/broadlink_to_tuya_converter.py \
https://raw.githubusercontent.com/Gotcha26/broadlink_to_tuya/main/broadlink_to_tuya_converter.py
python3 /config/scripts/broadlink_to_tuya/broadlink_to_tuya_converter.py 1293 --type climate --controller UFOR11
Explications :
/config/scripts/broadlink_to_tuya/broadlink_to_tuya_converter.py</config/custom_components/smartir/codes/climate/>1293<.json></config/custom_components/smartir/custom_codes/climate/>1293<.json>controller pour le passer à UFOR11 afin de le rendre pleinement compatible.type pour « climate« --help pour de plus amples explications.Voilà enfin la FIN et la découverte du panneau de contrôle rêvé pour votre climatisation intégrée à Home-Assistant sans (plus) de bidouillage hasardeux, de codes à recopier, de personnalisation complexe…
En plus, admirez, c’est déjà en Français car c’est une carte standard « Thermostat« .
Lorsque vous envoyez une commande, vous envoyé en réalité une combinaison de TOUS les petits réglages en même temps. Ce n’est pas juste un simple code pour une simple fonction. Bref.
Entité (« Clim Salon »).Thermostat« .Utiliser complétement les possibilités offerte par un vrai thermostat car actuellement, j’ai préféré zappé cette partie dans le code yaml du fichier de configuration, mon climatiseur ne supportant pas de thermostat externe…
La recherche d’une solution a été longue et périlleuse mais au final je ne m’attendais sérieusement à bénéficier d’un solution aussi bonne ! Je vais avoir un thermostat et sans bidouillages !
Bon ok la partie conversion du controleur ce n’était pas le plus évident…
Pré-requis :
Avec la Freebox Ultra et son disque dur qualifié de « NAS », il est possible de s’en servir afin de recevoir des fichiers et d’y stocker, par exemple, les sauvegardes de son Home-Assistant.
Mais le problème c’est que par défaut, HAOS ne permet pas de parcourir les sous-dossiers ! n est donc ici contraint de déposer les fichiers de sauvegarde directement à la racine du stockage… c’est bof, moyen et pas fini comme solution !
A défaut de la prise en charge de l’arborescence et donc des sous-dossier, il faut trouver une autre solution pour aller héberger ses fichiers sur son « NAS » Freebox.
L’addon est assez minimaliste, plus vraiment mis à jour depuis longtemps mais il a le mérite de fonctionner et faire parfaitement ce pourquoi il a été conçu : réaliser des sauvegardes de son home-assistant avec quelques options ainsi que la planification nécessaire pour être utile.
Ce qui lui manque c’est une page de suivi, une remontée d’informations sur l’exécution de la tâche, envoi de notifications/mails.
Bref, il ne lui manque pas grand chose pour être parfait. A noter que je suis également tombé sur un autre article avec d’autres solutions qui méritent d’être étudiées.
Pour installer cet addon, dirigez vous :
Samba backup.
Dixit la documentation vous devriez assez facilement pouvoir paramétrer les différents champs selon votre cas.
J’ai donc opté pour une sauvegarde complète tous les jours à 03h30 vers ma Freebox Ultra.
Nom du volume partagé : Freebox_2To et sous dossiers jusqu’à Homelab\Backups\HAOS
Je ne conserve aucune sauvegarde avec HAOS, seules des 14 derniers jours sont conservé sur le serveur Freebox.
Bien évidement, après la configuration, ne vous reste plus qu’à démarrer le plugin, activer les options Lancer au démarrage et Chien de garde en cas d’interruption.
Pour pouvoir vérifier la bonne exécution de la tâche dûment paramétré, vous pourriez simplement modifier l’heure de lancement mais il y a surtout un moyen plus élégant et plus… « hype » !
Déclenchons manuellement l’exécution de la tâche.
Ce n’est pas aussi simple que d’appuyer sur un simple bouton car ce bouton est… absent. Donc nous allons émuler son activation avec un tout petit peu de code. Cette information est aussi trouvée dans la documentation.
Suivez le guide.
hassio.addon_stdinSamba Backupinput: trigger » en respectant l’indentation.
action: hassio.addon_stdin
data:
addon: 15d21743_samba_backup
input: trigger
EXÉCUTER L'ACTION« 
Si réaliser un sauvegarde local sur son poste de travail (1) est généralement aisé et ne pose aucun soucis, il n’en va pas forcément de même dès lors que l’on souhaite un peu rassembler tout ce petit monde dans un même dossier accessible qui servira de « dossier de base » afin d’être plus facilement synchronisé vers vers d’autres supports (2)+(3).
Du coup notre objectif consiste bien à :
Mettez en place un dossier partagé depuis Proxmox qui recevra (notement) les sauvegardes automatiques de ce dernier mais aussi les futures sauvegardes de HAOS.
mkdir -p /mnt/share/backup
echo "dir: homelab_backups
path /mnt/share/backups
content backup,vztmpl,iso
shared 0" >> /etc/pve/storage.cfg
Explications :
dir: homelab_backups : Définit le type de stockage comme un répertoire et lui donne l’ID homelab_backups.path /mnt/share/backups : Spécifie le chemin physique vers le répertoire.content backup,vztmpl,iso : Définit le type de contenu que ce stockage peut contenir : sauvegardes, modèles de conteneurs et images ISO. Vous pourriez ne laisser que « backup ».shared 0 : Indique que le stockage n’est pas partagé sur le réseau.>> /etc/pve/storage.cfg : sortie vers le fichier de configuration.Après avoir ajouté ces lignes, vous pouvez vérifier que le fichier ait été correctement mis à jour en utilisant :
cat /etc/pve/storage.cfg
Pour que les modifications prennent effet, rechargez le service Proxmox :
systemctl restart pve-cluster
systemctl restart pvedaemon
Après avoir redémarré les services, connectez-vous à l’interface web de Proxmox et allez dans « Centre de données » puis dans « Stockage ». Vous devriez voir votre nouveau stockage homelab_backups listé.
Pour éviter de « polluer » l’instance Proxmox (le nœud) en installant des outils et en bidouillant quelques fichiers au risque de faire planter totalement votre installation (croyez moi j’ai dû formater 2 fois !), on va héberger et « isoler » nos outils via un conteneur LXC contenant simplement Debian.
Ainsi, on évite de trop dénaturer le nœud Proxmox, on peut faire des sauvegarde avant chaque « chantier » et en cas de pépin ce n’est pas toute votre installation qui sera à jeter ! Vous aurez des sauvegardes et au pire, juste un conteneur à remonter.
Une précision tout de même sur la sécurité, car le conteneur LXC devra être élevé avec un rang « privilégié » ce qui n’est pas sans risque sur la stabilité du nœud en cas de piratage/bidouillage profond.
Le conteneur aura un ID de 105 et une adresse IP correspondante 192.168.0.105
Rien de bien sorcier, on va s’appuyer sur la puissance de déploiement d’un script prêt à l’emploi.
bash -c "$(curl -fsSL https://raw.githubusercontent.com/community-scripts/ProxmoxVE/main/ct/debian.sh)"
Si vous préférez une autre méthode plus manuel, plus… et bah juste faites-le !
Oui, déjà maintenant je vous recommande tout de suite de prendre l’habitude d’utiliser des sauvegardes car elles ne prennent vraiment pas longtemps à faire et à réinstaller et ça vous éviter de vous arrachez les cheveux.
Ici ça va nous permettre de vérifier que tout fonctionne.
Vous trouverez dans le menu « Sauvegarde » une zone (voir capture) permettant de sélectionner la destination de la sauvegarde. Vous devriez y trouver homelab_backups.
A tout moment vous pouvez réaliser une sauvegarde. Encore une fois c’est simple, rapide et sécurisant !
pct config 105 | grep unprivileged
Le retour sera certainement unprivileged: 0
S’il est à 1, ne rien faire et passer l’étape suivante.
nano /etc/pve/lxc/105.conf
Trouver la ligne correspondante et modifier la valeur de 0 à 1.
pct reboot 105
Ici on va s’attarder sur le sous dossier qui servira plus tard pour HAOS.
mkdir -p /mnt/share/backups/haos
ls -ld /mnt/share/backups /mnt/share/backups/haos
drwxr-xr-x 3 root root 4096 ... /mnt/share/backups
drwxr-xr-x 2 root root 4096 ... /mnt/share/backups/haos
Pour que le conteneur LXC 105 puisse accéder au dossier « backups » précédemment créé, il faut lui donner le chemin. C’est ce que l’on appel « monter un dossier ».
nano /etc/pve/lxc/105.conf
mp0: /mnt/share/backups,mp=/srv/backups
Explications :
mp0 « Montage Point #0 » Si vous aviez déjà d’autres points de montage, mettez simplement le numéro qui suit./mnt/share/backups est le chemin du partage.mp=/srv/backups indique que ce partage (point de montage) doit être monté dans…
pct reboot 105
ls /srv/backups
ls /srv/backups/haos
Vous devriez voir vos dossiers monté correctement.
L’outil (protocole) Samba va gérer le partage SMB/CIFS, nécessaire dans le cadre d’un partage de dossiers sur votre réseau. C’est pratique pour accéder à des dossiers directement depuis Windows Explorer ou aussi pour l’utilisation plus tard de la Freebox Ultra. En interne (Proxmox) ca va nous permettre d’héberger les fichiers de HAOS directement dans le bon dossier.
Proxmox, au niveau du « Centre de données », ne permet pas que l’on puisse accéder à ses entrailles nativement. Donc on ne peut pas accéder au moindre fichier comme ça aussi facilement.
C’est la raison pour laquelle nous devons en passer par Samba qui sera hébergé sur le conteneur LXC (Debian) afin d’isoler au mieux toute l’infrastructure. C’est via ce dernier que l’on va transférer les fichiers provenant de HAOS (via le protocole SMB) vers le « Centre de données ».
HAOS ne permet le stockage réseau que via SMB/CIFS ou NFS. Le plus simple étant SMB (Samba). Le sauvegardes transiteront par Debian pour être stockées réellement au niveau du centre de données donc à la base de Proxmox à coté des sauvegardes régulières de ce dernier.
Le serveur Debian (conteneur LXC ID:105) sert juste de passerelle et d’hébergeur pour les outils.
pct enter 105
apt install -y samba
systemctl status smbd
Vous devriez trouver une ligne verte avec la mention Active: active (running)
Il est impératif et nécessaire de configurer 2 partages bien que celui de HAOS soit un sous-dossier direct du premier (Proxmox_backups). Pourquoi ? Parce que HAOS ne gère pas les sous-dossier ! Il lui faut directement un nom de dossier final et direct à atteindre. Donc nous sommes obligé de configurer le dossier parent (1) et le dossier enfant (2).
1 – /mnt/share/backups < va servir pour les sauvegardes de Proxmox puisque ce dernier va disposer de son propre sous dossier /dump
2 –/mnt/share/backups/haos < va servir pour les sauvegardes de HAOS.
cp /etc/samba/smb.conf /etc/samba/smb.conf.bak
nano /etc/samba/smb.conf
[backups]
path = /srv/backups
browseable = yes
writable = yes
guest ok = no
valid users = pve01
create mask = 0664
directory mask = 0775
[haos]
path = /srv/backups/haos
browseable = yes
writable = yes
guest ok = no
valid users = pve01
create mask = 0664
directory mask = 0775
systemctl restart smbd
systemctl status smbd --no-pager
Vérifier qu’il n’y ait pas d’erreur.
adduser pve01
Il vous sera demandé de définir un mot de passe que l’on souhaite identique au nom user, à savoir pve01.
Malheureusement, Debian va le rejetter. A la question Try again? [y/N] faites N.
Compléter le reste des information par… rien, laissez vide.
smbpasswd -a pve01
Vous serrez invité à définir son mot de passe. Ici nous allons définir ce mot de passe identique à l’user, soit : pve01.
chown -R pve01:pve01 /srv/backups
chmod -R 775 /srv/backups
\\192.168.0.105
La première connexion est un peu longue.
Windows va vous demander le couple identifiant + mot de passe que nous avons défini chacun à pve01.
Vous devriez voir les deux partages :
backupshaosTestez l’écriture en créant un fichier texte.
Vous pouvez aussi tester la lecture en copier la copie de sauvegarde que nous avons faite à l’étape 3.
Pour la suite, nous allons avoir besoin d’utiliser la fonction git qui n’est pas installée par défaut.
Cette fonction permettra de récupérer des dépôts distant depuis Github, de faire des mises à jour des scripts ainsi téléchargés etc.
git --version
Si rien ne s’affiche ou que vous recevez une erreur c’est qu’il faut installer le paquet git.
apt install git -y
Maintenant que nous avons un dossier dédié aux sauvegardes, identifié et partagé, nous allons nous ne servir pour y loger les sauvegardes que nous allons configurer.
Je ne fais que des sauvegardes « légères » pour gagner en temps et en place car le reste est moins critique et cas de gros coup dur, une sauvegarde complète de la Machine Virtuelle est réalisée par Proxmox chez moi tous les dimanche matin. Pas plus pour éviter de saturer les espaces de stockage.
HAOS – Ajouter un stockage réseau
Ne pas oublier le couple Identifiant + Mot de passe tout les 2 valent pve01.
/backup\\192.168.0.105\backups\haos/mnt/share/backups/haosNous allons utiliser cet outil, véritable couteau Suisse de la gestion de synchronisation des fichiers avec Linux. Sont gros intérêt ici c’est qu’il permet de connecter facilement un disque local (réseau) à un service de cloud. Il possède des configuration pour 63 services !!
Dans mon cas, je vais utiliser mon compte Microsoft Onedrive mais vous pourriez appliquer la méthode pour Google etc.
pct enter 105
mkdir -p /mnt/tmp_rclone
apt install -y curl unzip
curl https://rclone.org/install.sh | bash
rclone version
Vous devriez voir une sortie du type :
rclone v1.xx.x
- os/type: linux
- os/arch: amd64
- go/version: go1.xx
- ...
mkdir -p /root/.config/rclone
(Ce répertoire est utilisé par défaut par rclone pour stocker la config dans /root/.config/rclone/rclone.conf)
Une installation de l’outil rclone en parallèle du LXC est nécessaire car lors du processus de dialogue entre l’outil et le service cloud (Microsoft OneDrive) l’utilisation d’un navigateur web est obligatoire.
Mon conteneur LXC 105 étant dépourvu de moyen graphique, nous allons utiliser rclone pour Windows.
L’idée c’est d’obtenir un token via Windows afin de la transmettre à notre instance dans le conteneur LXC.
Pour installer l’outil rclone sur Windows, suivez cet article :
https://julien-moreau.fr/2025/08/03/installer-rclone-sur-windows/
rclone config
Vous verrez des options comme :
n) New remote
s) Set configuration password
q) Quit config
Choisir n pour « new remote », donnez-lui un nom (ex : onedrive_machin, gdrive_truc, dropbox_bidule, etc.), puis choisir le type de service.
Vous pouvez dès maintenant en configurer qu’un seul (OneDrive par exemple), puis le système vous permettra d’en ajouter d’autres ultérieurement, très simplement.
N -> New remoteonedrive_<un_nom> -> New remote name38 -> Microsoft OneDrive<vide> -> client_id<vide> -> client_secret1 -> Microsoft Cloud Global (global)<vide> -> tenantN -> Advanced configN -> Use web browserVous allez poursuivre sur Windows jusqu’à obtention du token à transmettre ici.
Y -> Use web browserIl faut accépter.
1.1.Y.Y.Q.La configuration est ainsi enregistré sur votre Windows. Vous pouvez la laisser ou la supprimer en rappeler la commande rclone config > delete.
Vous avez copié le token à l’étape 15 (Windows). Collez-le dans la fenêtre qui l’attend, puis, suivez les même étapes que pour Windows afin d’enregistrer la configuration dans le conteneur LXC.
Le token est une longue suite de caractère en incluant les crochets.
cat /root/.config/rclone/rclone.conf
Vous devriez voir une structure du type :
[onedrive]
type = onedrive
token = {...}
drive_id = ...
drive_type = ...
rclone config et ajouter d’autres services (n → gdrive, dropbox, etc.).
rclone listremotes
Exemple :
onedrive:
gdrive:
rclone lsd onedrive<un_nom>:
Cela liste les dossiers à la racine de votre OneDrive.
Pour être averti par email, que ce soit en cas de problème lors de copie des fichier vers votre cloud ou tout simplement pour conserver un œil sur l’exécution de la tâche cron, voici comment procéder.
Le script rclone_homelab est déjà pré-paramétré pour fonctionner avec autre application msmtp.
msmtp n’est autre qu’un service d’envoi de mail par SMTP. Il permet d’enregistrer plusieurs profiles.
Nous allons en configurer qu’un seul.
apt install msmtp msmtp-mta -y
A la question si on souhaite installer AppArmor j’ai répondu « Non ». Si je rencontre des problème on avisera.
nano /etc/msmtprc
defaults
auth on
tls on
tls_trust_file /etc/ssl/certs/ca-certificates.crt
logfile /var/log/msmtp.log
account gmail_spambiengentil
host smtp.gmail.com
port 587
from spambiengentil at gmail.com
user spambiengentil at gmail.com
password wqjjnjexsxsrzmka
account default : gmail_spambiengentil
defaults
auth on
tls on
tls_trust_file /etc/ssl/certs/ca-certificates.crt
logfile /var/log/msmtp.log
account gmail1
host smtp.gmail.com
port 587
from ma_super_adresse_mail_Gmail
user ma_super_adresse_mail_Gmail
password ton-mot-de-passe-ou-app-password
account default : gmail1
💡 Il vous faudra un mot de passe d’application (sans les espaces) avec un compte Gmail disposant du 2FA.
Plusieurs comptes peuvent être définis mais un seul aura la qualité du « default ».
chmod 600 /etc/msmtprc
echo "Test email" | msmtp <ma_super_adresse_at_mail.com>
Le script pour rclone (rclone_homelab) va être le fichier exécutable qui va effectuer/coordonner les actions. C’est l’élément clé et le plus complexe.
Il peut-être exécuté manuellement ou automatiquement via une tâche cron.
Ce script est le pivot qui va gérer vos jobs, lancer rclone avec les options qu’il faut ainsi que la notification par email.
Chaque outil étant indépendant, il est nécessaire de les avoir configurés AVANT d’exécuter rclone_homelab.
Toutes les instructions relatives à ce script se trouvent sur la page Github dédiée au projet.
Pour automatiser une exécution ou une tâche, nous utiliseront l’utilitaire Cron. Très simple à mettre en œuvre. Ce la tâche qui sera répétée selon un planning établi.
crontab -e
1.
MAILTO=""
0 4 * * * /bin/bash /opt/rclone_homelab/rclone_sync_main.sh --auto --mailto=quelleheureestilsvp at gmail.com; --dry-run >> /var/log/rclone_cron.log 2>&1
Vérification du log généré par cron :
tail -n 50 /var/log/syslog | grep CRON
tail -f /var/log/rclone_cron.log
30 3 * * * /opt/rclone_homelab/rclone_sync_main.sh --auto --mailto=<ma_super_adresse at email.com> /var/log/rclone_sync_cron_log.txt 2>&1
Pour information, chaque astérisque représente une unité de temps, dans l’ordre suivant :
J’ai rajouté des options « communes » afin que aillez un exemple complet. Encore une fois, lisez la documentation fournie par le script rclone_homelab.
Un fichier journal (log) est aussi créé via /var/log/rclone_sync_cron_log.txt 2>&1 afin de journaliser l’exécution de la tâche Cron.
Pour consulter le log, utiliser la commande grep CRON /var/log/syslog
Bien, voilà un point assez délicat car si la Freebox Ultra est présentée comme un « NAS » avec un disque dur, ce n’est en réalité qu’un pastiche !
Au mieux c’est un disque dur réseau aux fonctions limitées, au pire c’est… un disque dur de stockage sur un réseau aux fonctions limitées ^^
Assurez-vous que le partage de fichiers est bien activé coté Freebox.
Freebox OS – Partage de fichiers
Ce dossier sera un miroir ce qui veut dire qu’il sera comme un reflet. Donc il y a un risque de suppression. Aussi, ne mélangez pas ce dossier avec des sous-dossiers et/ou contenu autres que ceux qui font l’objet de la sauvegarde.
/Freebox_2To/Homelab_backups
Freebox OS – Arborescence
✍️ Toutes les commandes sont exécutées depuis le terminal Shell (console) à la racine root@debian
cifs-utils est installé :
dpkg -l | grep cifs-utils
Si rien ne vous est retourné, il faut installer le paquet via :
apt install cifs-utils -y
C’est là que l’on mesure l’importance d’avoir un outil tel que rclone qui permet de configurer plusieurs remotes indépendamment.
rclone config
Étapes par étapes :
N > New remoteMa_Freebox_Ultra49 > SMB / CIFS (smb)192.168.0.254<votre_user_smb>445y<votre_password_smb><votre_password_smb><laisser_vide_par_défaut><laisser_vide_par_défaut><laisser_vide_par_défaut>nyqLà, votre remote porte le nom de Ma_Freebox_Ultra
[Ma_Freebox_Ultra]
type = smb
host = 192.168.0.254
user = freebox
pass = aLGRku-eLgMtt8bAow7WVWpTOq2DoOU
port = 445
Maintenant que le remote est prêt, on va inscrire poursuivre de configurer notre job (liste des tâches) en précisant notement les dossiers <source> et <distant>.
nano /opt/rclone_homelab/rclone_sync_jobs.txt
Ajouter le job comme tel (en suivant mon exemple) :
/srv/backups|Ma_Freebox_Ultra:/Freebox_2To/Homelab/Backups
Toujours selon le modèle : <source>|<remote>:<destination>
Enregistrez, quittez.
rclone récupère donc les dossiers/fichiers issues des sauvegardes de Proxmox et HAOS pour les envoyer vers le cloud + Serveur Freebox Ultra, tâche répétée à heure fixe tous les jours avec l’envoi d’un rapport par email.
nano ~/.config/rclone/rclone.conf
rclone lsd Ma_Freebox_Ultra:
Ou :
rclone tree Ma_Freebox_Ultra:
apt-get remove --purge man-db
Pour installer rclone sur Windows via PowerShell, vous pouvez suivre ces étapes :
Ouvrir PowerShell : Vous pouvez ouvrir PowerShell en recherchant « PowerShell » dans le menu Démarrer et en sélectionnant « Windows PowerShell ».
Télécharger rclone : Utilisez la commande suivante pour télécharger rclone. Cette commande utilise Invoke-WebRequest pour télécharger le fichier zip de rclone depuis le site officiel.
Invoke-WebRequest -Uri https://downloads.rclone.org/rclone-current-windows-amd64.zip -OutFile rclone-current-windows-amd64.zip
Expand-Archive -Path rclone-current-windows-amd64.zip -DestinationPath .
cd rclone-*-windows-amd64
C:\Windows\System32.
Copy-Item rclone.exe C:\Windows\System32\
rclone version
Cela devrait afficher la version de rclone installée, confirmant que l’installation a réussi.
Ces étapes devraient vous permettre d’installer et de configurer rclone sur votre système Windows via PowerShell.
Alors autant le dire tout de suite en préambule, je me me suis lancé dans une aventure folle et vous allez être les témoins de la chose !
Le but est simple : Passer ma connexion en SSL pour améliorer ma sécurité, anticiper une possible exposition du serveur HA à internet, et être d’avantage conforme aux standards.
Le hic, c’est que cette aventure se trouve être bien plus technique et coriace que ce que j’imaginais.
Passer sa connexion en SSL alors que je suis (pour le moment) 100% local n’a pas trop de sens car le risque de piratage se trouve dans… dans votre foyer ou juste à coté : voisins.
Certes, c’est possible… Mais le risque est bien moindre que les armées de bots sur internet qui scannent nuits et jours la moindre faiblesse de M. et Mme Michue !
Donc le SSL en local, c’est overkil.
Le réseau local est considéré comme sûre, c’est la raison pour laquelle certains mécanismes de sécurité sont levés et/ou n’ont pas de sens.
Mais… c’est un bon challenge et ça va permettre de mettre en place certains systèmes qui serviront surtout plus tard. Donc je prends juste un peu d’avance en fait.
Imaginez deux machines, Alice et Bob, qui souhaitent communiquer de manière sécurisée sur un réseau domestique.
Initiation de la communication : Alice, le client, souhaite envoyer une requête à Bob, le serveur. Cependant, au lieu de contacter Bob directement, elle envoie sa requête à un intermédiaire appelé Reverse Proxy. Ce Reverse Proxy agit comme un gardien, gérant les requêtes entrantes et les distribuant de manière efficace.
Rôle du Reverse Proxy : Le Reverse Proxy reçoit la requête d’Alice. Il peut gérer plusieurs tâches, comme l’équilibrage de charge entre plusieurs serveurs, la mise en cache de contenu pour des réponses plus rapides, et surtout, il peut gérer le chiffrement SSL/TLS pour sécuriser les communications.
Établissement de la connexion sécurisée : Pour sécuriser la communication, le Reverse Proxy utilise SSL/TLS. Alice envoie une demande de connexion sécurisée au Reverse Proxy. Le Reverse Proxy répond en envoyant son certificat numérique, qui a été émis par une Autorité de Certification (CA).
Vérification du certificat : Alice vérifie le certificat numérique reçu. Ce certificat, émis par une CA de confiance, garantit que le Reverse Proxy est bien celui qu’il prétend être. Les CA sont des entités de confiance qui vérifient l’identité des serveurs et émettent des certificats pour le prouver.
Chiffrement des données : Une fois le certificat vérifié, Alice et le Reverse Proxy établissent une connexion chiffrée en utilisant SSL/TLS. Toutes les données échangées entre Alice et le Reverse Proxy sont maintenant cryptées, assurant que même si quelqu’un interceptait les données, il ne pourrait pas les comprendre sans la clé de déchiffrement.
Transmission des données : Le Reverse Proxy, après avoir reçu la requête chiffrée d’Alice, la déchiffre et la transmet à Bob, le serveur final. Bob traite la requête et envoie sa réponse au Reverse Proxy.
Réponse sécurisée : Le Reverse Proxy reçoit la réponse de Bob, la chiffre à nouveau avec SSL/TLS, et l’envoie à Alice. Alice peut alors déchiffrer la réponse et obtenir les informations demandées de manière sécurisée.
En résumé, le Reverse Proxy agit comme un intermédiaire sécurisé, utilisant SSL/TLS pour chiffrer les communications et des certificats émis par des CA pour vérifier l’identité des parties, assurant ainsi une communication sécurisée et efficace entre Alice et Bob.
J’avais posée cette question à chat.mistral.ia :
Est-ce que utiliser un reverse proxi (nginx proxy manager) est utile si notre serveur Proxmox n’est pas exposé publiquement sur internet ?
Et puis à l’avenir, il y aura certainement quelques services qui seront ouverts à internet donc autant prendre le pas dès le début et éviter de bidouiller des certificats comme le suggère l’autre matou de ChatGPT….
J’administre mon homelab relié à ma Freebox Ultra. Ce homelab sert d’hyperviseur Proxmox (192.168.0.11) lequel contient une VM pour Home-Assistant (192.168.0.100) mais aussi Pi-hole dans un conteneur LXC (192.168.0.101).
Auto-signer des certificats SSL et les incorporer à ses serveurs/sites/URL, ok a on sait faire et avec Windows en prime, le certificat du CA (organisme certificateur) est facile à prendre en compte.
Mais là où c’est impossible, c’est avec Android (non root) dans le cadre d’une infrastructure 100% locale.
Vous verrez comment trouver un compromis et comment mettre en place les différentes mesures nécessaire à mettre en oeuvre autour d’une sécurisation de votre connexion par protocole TLS/SSL.
Le cas d’Android avec sa gestion scrict des certificats SSL est LE maillon important à prendre en considération lorsque l’on met en place une stratégie de se sécurisation entre clients/serveur.
Préparons-nous à devoir faire un peu de paperasse… Accrochez vous car ce n’est forcément le plus facile et les pièges sont très nombreux. Je vous résume ci-dessous ce qui a fonctionné chez moi.
Maintenant, il faut s’atteler aux certificats SSL/TLS pour venir… comme présenter ses papiers d’identité à un gendarme ^^
Seulement, ces papiers, ce n’est pas tout le monde (non non) qui peut les obtenir. Il faut en passer par un organisme de certification, dénommé « CA« .
Selon que notre site (adresse IP) se trouve accessible uniquement en local ou pas (www), le certificat ne sera pas le même car l’organisme de contrôle (CA) sera nécessairement différent.
Pour des besoins uniquement limités et restreints en interne (développement, pré-production), un CA tel que mkcert sera suffisant car très permissif… A défaut d’une machine exposée sur internet (www) où l’exigence de sécurité et accrue et où mkcert est totalement décrédibilisé et non sécurisé. On lui préfèrera Let’s Encrypt (ou autres !) qui pour le coup, a besoin d’une ouverture vers l’extérieur pour fonctionner.
Voici tout d’abord quelques notions à prendre en compte afin de comprendre ce que nous allons faire.
Une vidéo qui reprend ces différents points :
Il n’y a pas 36 possibilités :
Vous décidez de sécuriser votre connexion.
Pour les utilisateurs d’Android, cette idée s’accompagne de limitations.
Prennez-en connaissance avant !
Le cas d’Android avec sa gestion scrict des certificats SSL est LE maillon important à prendre en considération lorsque l’on met en place une stratégie de se sécurisation entre clients/serveur.
Comme mentionné précédemment, l’obtention d’un certificat peut se faire de 2 manières :
C’est bien souvent comme cela que ça se termine !
On part du principe que les risques sont maîtrisés donc certaines solutions de sécurisation n’ont pas à être appliquées.
Fin.
Opération dans laquelle je ne vais pas aller.
Il parait que c’est plus sûre car il n’y a pas de tiers qui rentre en ligne de compte mais c’est tout de même toucher à un point très stratégique de sa sécurité pour l’ensemble même de son réseau !
Puisque l’obtention d’un certificat TLS/SSL ne peut se faire que via une adresse IP publique (un serveur accessible à internet), nous devrons en passer l’intermédiaire d’un tiers qui lui va s’occuper de la partie « sécurisation » (CloudFlare) ou de simple prête-nom (DuckDNS.org). On parlera même de « challenge DNS« .
Un challenge DNS consiste à prouver la propriété d’un domaine en ajoutant un enregistrement TXT temporaire dans la zone DNS, généralement **acme-challenge.<YOURDOMAIN>**, permettant à Let’s Encrypt de valider la possession du domaine.
Configurer Home Assistant pour un accès externe avec un domaine OVH et Cloudflare
https://julien-moreau.fr/2025/07/28/ssl-outil-certbot/
Pour la science, je m’y suis amusé et ça a fonctionné avec O2switch.fr. J’ai réussi à faire un certificat pour mon sous-domaine créé pour l’occasion et avec l’aide de ChatGPT j’ai pu certifier tout cela avec Let’s Encrypt via certbot et j’ai obtenu ce que je cherchais : un accès SSL mais via un NdD…
Le problème, O2switch (cPanel) ne fourni aucune API ni méthode pour automatiser la modification manuelle d’information qu’exige le challenge DNS et du coup, il faut renouveler manuellement l’opération tous les 3 mois (durée de validée des certificats Let’s Encrypt).
Petite anecdote :
J’ai eu recours à certbot pour Windows (lien1) (lien2) et pour cela, il a fallu installer Python sur Windows (lien1) [via chat.mistral.ia] avant de se rendre compte qu’il suffisait d’installer certbot depuis le conteneur LXC de NPM !
Si vous avez un serveur DNS tel que Pi-hole, apprenez à la configurer en fonction.
https://julien-moreau.fr/2025/07/28/pihole-local-dns/
Dès lors que vous hébergez un serveur (dans un homelab ou autre) et que son accès est sécurisé par TLS/SSL, il faut mettre en place un reverse proxy qui lui va agir comme intermédiaire / serveur mandataire. C’est lui qui va redistribuer les ressources vers le serveur contacté avec plusieurs règles dont, la gestion des certificats TLS/SSL.
https://julien-moreau.fr/2025/07/28/npm-nginx-proxy-manager/
En fonction de l’outil que vous avez employé pour auto-signer votre certificat SSL, vous devriez être en mesure de retrouver le certificat CA (celui pour l’autorité certificatrice de confiance) car c’est de lui dont il est question dans ce chapitre.
Bien souvent il s’agit de simplement cliquer sur le fichier pour lancer son installation dans le magasin adéquat de Windows. Il doit être (normalement) ajouté systématiquement lors de la procédure d’obtention du certificat « serveur ».
Pour information, le certificat CA (de l’organisme de certification de confiance) généré via mkcert se trouve dans :
C:\Utilisateurs\Gotcha\mkcert\root.pem
Un article dévolue a été écrit pour ce point.
https://julien-moreau.fr/2025/07/29/android-ssl/
En fonction de ce que vous avez fait, vous ne devriez plus besoin avoir de saisir l’adresse IP suivi du numéro de port, juste le nom de l’host.
L’adresse http://192.168.0.100:8123 fonctionne toujours car on bypass tous les mécanismes mis en place. On interroge directement le serveur via son adresse IP ! Pi-hole ne peut rien faire car cette adressage n’est pas de son ressort. Unbound, pour lui, rien d’anormal (l’authenticité est direct). Quand au serveur reverse proxy Nginx il n’intercepte que les URL qu’on lui ont été programmées.
Autrement dit, si on souhaite renforcer encore plus la sécurisation à l’accès de votre home-assistant, il faut rajouter une mesure drastique !
Dans chaque chapitre, à chaque renvoie vers un article, ce dernier doit déjà contenir l’ensemble des informations nécessaire à la bonne compréhension et parfois même déjà une partie de « debugage ».
Ci-après, quelques pistes.
Vérifiez votre fichier configuration.yaml
400: Bad Request
Dialogue avec ChatGPT
Vérifier certificats SSL, vérifier les URL, vérifier la configuration de NPM, forcer les en-têtes et du coté de HA, vérifier la présence du bloc :
http:
ip_ban_enabled: true
login_attempts_threshold: 5
trusted_proxies:
- 192.168.0.104 #Nginx
use_x_forwarded_for: true
Le bloc ci-après est juste là pour forcer la redirection mais aussi forcer les en-tête. Normalement vous n’en n’aurez pas besoin.
# Redirige explicitement tout vers HTTPS (au cas où "Force SSL" échouerait)
if ($scheme != "https") {
return 301 https://$host$request_uri;
}
# Ajoute les entêtes de sécurité HTTPS
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
add_header Content-Security-Policy "default-src 'self'; frame-ancestors 'self';" always;
(Ils sont consultables ensuite dans /config/homa-assistant.log)
#Activer les debug-log de HA
logger:
default: info
logs:
aiohttp.access: debug
homeassistant.components.http: debug
homeassistant.components.http.forwarded: debug
Le bloc homeassistant: avec internal_url et external_url permet à Home Assistant de savoir comment il est censé être contacté, en interne et en externe. Ces valeurs sont utilisées :
Tu peux ajouter ce bloc uniquement si tu veux forcer Home Assistant à utiliser certaines URL, notamment si :
Remarque utile :
Si tu vas dans l’interface de Home Assistant :
Paramètres → Paramètres généraux (Configuration → Paramètres système), tu peux aussi voir ou modifier les URLs internes/externes depuis l’UI.
Mais si tu les définis dans configuration.yaml, ces champs deviennent grisés dans l’interface (priorité à la config YAML).
homeassistant:
internal_url: "http://192.168.0.100:8123"
external_url: "https://homeassistant.julien-moreau.fr"
Attention au faux sentiment de protection…
Mes références :
Rien de bien sorcier, il suffit d’inscrire le nom de notre hostmane (url) et d’indiquer l’adresse IP du reverse proxi NPM (Nginx) !
proxmox.local<IP_NPM>Avant d’aller trop loin et de sa casser les dents sur cette fichue histoire de certificats SSL, sachez que Proxmox VE impose d’avoir une connexion chiffrées (SSL) pour fonctionner. Sans ça, vous n’iriez pas loin…
Donc d’origine, Proxmox VE fourni sa propre chaine de confiance et vous aviez certainement ajouté une exception à votre navigateur préféré afin de faire fonctionner l’interface de Proxmox VE.
L’exception est nécessaire car votre navigateur/système ne reconnait la l’origine de cet organisme de confiance (CA)…
Toutes fois on peut voir que ce certificat (wildcards) couvre plusieurs nom DNS, dont celui qui nous intéresse dans le cadre du présent article : proxmox.local
Pour initier un connexion SSL il faut donc 3 choses :
Donc dans le cadre d’une connexion via un proxy comme c’est notre cas présentement, il nous faut soit :
Nous allons opter pour cette dernière option !
Pourquoi ? Car le certificat CA est déjà installé puisque vous utilisez déjà certainement Proxmox VE via votre navigateur. Il nous reste donc à trouver les 2 autres fichiers…
La réponse est donnée dans la documentation officielle. Celle là même qui indique comment configurer Nginx.
/etc/pve/local/pve-ssl.pem;
/etc/pve/local/pve-ssl.key;
Voilà, vous savez où récupérer ces fichiers via votre logiciel SFTP pour les enregistrer sur votre disque dur avant de passer à la suite.
On va commencer par enregistrer les certificats SSL en bonne et due forme.
Dernière étape de nos paramétrages, le configuration du host.
Une petite fenêtre s’ouvre.
 |
NPM – Host SSL |
Voilà, normalement tout devrez fonctionner.
Vous devrez « encore » ajouter une règle d’exception à votre navigateur pour accepter ce certificat pour établir la connexion.
Ne pas hésitez à fermer/ouvrir et vider les caches de nos navigateur, redémarrer si besoin blablabla.
Si vous obtenez une erreur 401 : No ticket après l’ouverture de votre panneau d’administration de Proxmox, cela signifie qu’il y a un soucis avec votre certificat SSL.
Si vous venez de mettre ne place un hostname pour votre serveur Proxmox et que suite à cela vous rencontre une erreur au niveau de la console Shell mentionnant :
undefined (Code : 1006)
Si en plus de cela que veniez tout juste ou récemment mettre en place une résolution de nom d’url grâce à un hostname via NPM (Nginx) alors la solution est toute trouvée !
Dans le détail de votre « proxy host » sur NPM, veuillez à cocher la case « Websockets Support ».
Normalement c’est suffisant. Source.
A noter que cette fonction est responsable aussi dans d’autres scripts/fonctions tel que Zigbee2MQTT !
