banniere-acces-distant-domotique-sans-cloud

Accès distant sans cloud : 4 alternatives pour votre domotique

Domotique Leave a comment

La domotique moderne repose massivement sur le cloud. Cette architecture présente certes des avantages en termes de simplicité d’accès, mais elle comporte également des risques majeurs que nous constatons régulièrement. Les exemples récents de Pluzzyet des alarmes Qiaria illustrent parfaitement cette problématique : lorsque les serveurs cloud d’un fabricant sont arrêtés, vos équipements deviennent inutilisables du jour au lendemain. Vous perdez alors le contrôle de vos propres installations, sans recours possible.

C’est précisément pour éviter ces désagréments que nous avons conçu la LiXee-Box comme une solution domotique entièrement locale et ouverte. Vos données de consommation énergétique restent dans votre réseau local, vous conservez le contrôle total de votre installation, et vous n’êtes dépendant d’aucun service tiers.

Click to rate this post!
[Total: 0 Average: 0]

 

Table of Contents

Le dilemme de l’accès distant

Mais cette approche locale soulève une question légitime : comment consulter mes données de consommation et piloter ma domotique lorsque je ne suis pas chez moi ? Comment vérifier ma consommation énergétique depuis mon lieu de travail ou en vacances ?

Bonne nouvelle : il existe des solutions permettant d’accéder à votre installation locale depuis n’importe où, de manière sécurisée, et sans dépendre d’un cloud tiers. Nous allons explorer trois approches, classées par ordre de complexité technique et de flexibilité.

Solution 1 : Le port forwarding (redirection de port)

Principe de fonctionnement

Le port forwarding consiste à configurer votre box internet pour qu’elle redirige les connexions entrantes provenant d’Internet vers votre LiXee-Box sur votre réseau local. C’est la solution la plus directe, mais elle nécessite une configuration manuelle de votre box.

Avantages

  • Gratuit et sans service tiers
  • Contrôle total sur la configuration
  • Latence minimale (connexion directe)
  • Pas de dépendance à un service externe

Inconvénients

  • Configuration technique nécessaire
  • Nécessite une IP publique (fixe de préférence)
  • Moins flexible si vous changez d’opérateur
  • Nécessite des mesures de sécurité strictes

Exemple de configuration avec une Freebox

Étape 1 : Accéder à l’interface Freebox OS

Connectez-vous à l’interface de gestion de votre Freebox via http://mafreebox.freebox.fr ou http://192.168.0.254 (selon votre modèle).

Étape 2 : Configurer la redirection de port

  1. Rendez-vous dans Paramètres de la Freebox > Mode avancé > Redirections de ports
  2. Cliquez sur Ajouter une redirection
  3. Configurez les paramètres suivants :
    • IP de destination : L’adresse IP locale de votre LiXee-Box (ex: 192.168.0.50)
    • Port externe : 8443 (nous évitons le 443 standard pour des raisons de sécurité)
    • Port interne : 443 (port HTTPS de la LiXee-Box)
    • Protocole : TCP

Étape 3 : Activer une authentification HTTP sur la LiXee-Box

Pour sécuriser l’accès, il est impératif d’activer, au minimum, l’authentification HTTP sur la lixee-box. Pour cela, il faut aller dans le Menu Config > Sécurité et renseigner un identifiant / mot de passe complexe.

Attention, malheureusement et pour le moment pas de sécurisation HTTPS.

Étape 4 : Accès depuis l’extérieur

Une fois configuré, vous pouvez accéder à votre LiXee-Box via l’application LiXee-Assist:

  • Avec domaine : https://maison.votredomaine.fr:8443
  • Sans domaine : https://[VOTRE_IP_PUBLIQUE]:8443

Recommandations de sécurité essentielles

⚠️ ATTENTION : Ouvrir un port vers Internet expose votre installation. Appliquez ces mesures :

  1. Authentification forte : Utilisez un mot de passe robuste (minimum 16 caractères, mélangeant majuscules, minuscules, chiffres et symboles)
  2. Limitation d’accès : Configurez, si possible, un pare-feu sur la box internet pour limiter les tentatives de connexion
  3. Surveillance : Activez les logs de connexion pour détecter les tentatives suspectes

Solution 2 : Le reverse proxy local

Principe de fonctionnement

Un reverse proxy est un serveur intermédiaire qui reçoit les requêtes Internet et les transmet à votre LiXee-Box. Cette solution offre plus de flexibilité et de sécurité que le simple port forwarding, avec des fonctionnalités avancées comme la gestion SSL automatique, la protection contre les attaques, et la possibilité d’héberger plusieurs services.

Avantages

  • Sécurité renforcée (filtrage, protection DDoS)
  • Gestion centralisée de plusieurs services
  • Certificats SSL automatiques avec Let’s Encrypt par exemple
  • Logs et monitoring avancés
  • Masque l’architecture interne de votre réseau

Inconvénients

  • Configuration plus complexe
  • Nécessite un équipement supplémentaire ou l’utilisation de la Freebox Delta
  • Maintenance légèrement plus importante

Solution A : Raspberry Pi avec Nginx et DuckDNS

Cette solution utilise un Raspberry Pi comme reverse proxy et DuckDNS pour gérer le DNS dynamique.

Matériel nécessaire

  • Raspberry Pi 3B+ ou 4 (ou tout autre mini-PC)
  • Carte microSD (16 Go minimum)
  • Alimentation

Installation et configuration

1. Installer Nginx sur le Raspberry Pi

bash
sudo apt update
sudo apt install nginx

2. Configurer DuckDNS (DNS dynamique gratuit)

DuckDNS vous permet d’avoir un nom de domaine gratuit qui pointe toujours vers votre IP dynamique.

bash
# Créez un compte sur duckdns.org et créez votre sous-domaine (ex: malixeebox.duckdns.org)
# Notez votre token

# Créez un script de mise à jour
mkdir ~/duckdns
cd ~/duckdns
nano duck.sh

Contenu du script :

bash
#!/bin/bash
echo url="https://www.duckdns.org/update?domains=malixeebox&token=VOTRE_TOKEN&ip=" | curl -k -o ~/duckdns/duck.log -K -

Rendez-le exécutable et ajoutez-le au cron :

bash
chmod 700 duck.sh
crontab -e
# Ajoutez : */5 * * * * ~/duckdns/duck.sh >/dev/null 2>&1

3. Installer Certbot pour les certificats SSL

bash
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d malixeebox.duckdns.org

4. Configurer Nginx comme reverse proxy

bash
sudo nano /etc/nginx/sites-available/lixeebox

Configuration :

nginx
server {
    listen 443 ssl http2;
    server_name malixeebox.duckdns.org;

    ssl_certificate /etc/letsencrypt/live/malixeebox.duckdns.org/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/malixeebox.duckdns.org/privkey.pem;

    # Sécurité renforcée
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

    # Protection contre les attaques
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-XSS-Protection "1; mode=block" always;

    # Limitation du taux de requêtes
    limit_req_zone $binary_remote_addr zone=lixeebox_limit:10m rate=10r/s;
    limit_req zone=lixeebox_limit burst=20 nodelay;

    location / {
        proxy_pass https://192.168.1.50:443;  # IP de votre LiXee-Box
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        
        # WebSocket support (si nécessaire pour votre interface)
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}

# Redirection HTTP vers HTTPS
server {
    listen 80;
    server_name malixeebox.duckdns.org;
    return 301 https://$server_name$request_uri;
}

Activez la configuration :

bash
sudo ln -s /etc/nginx/sites-available/lixeebox /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginx

5. Configurer le port forwarding sur votre box

Redirigez les ports 80 et 443 vers votre Raspberry Pi (ex: 192.168.1.100).

Accès : https://malixeebox.duckdns.org

Solution B : Freebox Delta avec machine virtuelle

La Freebox Delta intègre un système de virtualisation qui permet d’héberger un reverse proxy directement sur la box.

Étape 1 : Créer une VM sur Freebox Delta

  1. Accédez à Freebox OS > VMs
  2. Créez une nouvelle VM Ubuntu Server (légère)
  3. Allouez 1 Go de RAM et 10 Go de stockage minimum

Étape 2 : Configuration

Suivez les mêmes étapes que pour le Raspberry Pi (installation Nginx, Certbot, configuration reverse proxy).

Avantages de cette approche

  • Pas d’équipement supplémentaire
  • Consommation électrique minimale
  • Intégration native avec la Freebox

Solution 3 : VPN personnel (Virtual Private Network)

Principe de fonctionnement

Un VPN crée un tunnel chiffré entre votre appareil (smartphone, ordinateur) et votre réseau local. Une fois connecté au VPN, vous êtes virtuellement « à la maison » et pouvez accéder à tous vos équipements comme si vous étiez sur votre réseau local. C’est l’une des solutions les plus élégantes et sécurisées.

Avantages

  • Sécurité maximale : Tout le trafic est chiffré de bout en bout
  • Accès à tout le réseau local : Pas seulement la LiXee-Box, mais tous vos appareils
  • Pas de port exposé publiquement : Seul le port VPN est ouvert
  • Solution éprouvée : Technologies matures et auditées
  • Multi-plateformes : Applications disponibles pour tous les OS

Inconvénients

  • Configuration technique nécessaire
  • Nécessite d’installer une app VPN sur chaque appareil
  • Peut être bloqué sur certains réseaux d’entreprise
  • Consommation de batterie sur mobile

Solution A : WireGuard (recommandé)

WireGuard est le VPN moderne par excellence : rapide, léger, sécurisé et simple à configurer.

Installation sur Raspberry Pi ou serveur local

1. Installation de WireGuard

bash
sudo apt update
sudo apt install wireguard

2. Génération des clés

bash
# Clés du serveur
wg genkey | sudo tee /etc/wireguard/server_private.key
sudo cat /etc/wireguard/server_private.key | wg pubkey | sudo tee /etc/wireguard/server_public.key

# Clés du client (smartphone/PC)
wg genkey | tee client_private.key
cat client_private.key | wg pubkey > client_public.key

3. Configuration du serveur WireGuard

bash
sudo nano /etc/wireguard/wg0.conf

Contenu :

ini
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = [CLÉ_PRIVÉE_SERVEUR]

# Activation du routage
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

# Client 1 (votre smartphone)
[Peer]
PublicKey = [CLÉ_PUBLIQUE_CLIENT]
AllowedIPs = 10.0.0.2/32

# Client 2 (votre ordinateur portable)
[Peer]
PublicKey = [CLÉ_PUBLIQUE_CLIENT2]
AllowedIPs = 10.0.0.3/32

4. Activation du routage IP

bash
sudo nano /etc/sysctl.conf
# Décommentez : net.ipv4.ip_forward=1
sudo sysctl -p

5. Démarrage du VPN

bash
sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

6. Configuration du port forwarding

Sur votre box Internet, redirigez le port 51820 UDP vers votre serveur WireGuard.

7. Configuration du client (smartphone Android/iOS)

Installez l’application WireGuard et créez une nouvelle configuration :

ini
[Interface]
PrivateKey = [CLÉ_PRIVÉE_CLIENT]
Address = 10.0.0.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = [CLÉ_PUBLIQUE_SERVEUR]
Endpoint = [VOTRE_IP_PUBLIQUE_OU_DOMAINE]:51820
AllowedIPs = 192.168.1.0/24  # Votre réseau local
PersistentKeepalive = 25

Accès : Une fois le VPN connecté, accédez à votre LiXee-Box via son IP locale : https://192.168.1.50

Solution B : OpenVPN (alternative classique)

OpenVPN est la solution VPN traditionnelle, plus ancienne mais tout aussi fiable.

Installation sur Raspberry Pi

1. Utilisation du script PiVPN (simplifié)

bash
curl -L https://install.pivpn.io | bash

L’assistant d’installation vous guidera :

  • Choisissez OpenVPN (ou WireGuard si vous préférez)
  • Configurez votre IP publique ou utilisez un DNS dynamique
  • Définissez le port (1194 par défaut)
  • Créez votre premier utilisateur

2. Création d’un profil client

bash
pivpn add
# Entrez un nom pour le client (ex: smartphone)

3. Récupération du fichier de configuration

bash
pivpn -qr smartphone
# Scannez le QR code avec l'app OpenVPN Connect

Ou récupérez le fichier .ovpn :

bash
ls ~/ovpns/
# Transférez le fichier smartphone.ovpn vers votre appareil

4. Installation de l’application cliente

  • Android/iOS : OpenVPN Connect
  • Windows/Mac/Linux : OpenVPN GUI

Importez le fichier .ovpn et connectez-vous !

Solution C : Tailscale (VPN simplifié sans configuration)

Tailscale est une solution VPN basée sur WireGuard mais qui simplifie drastiquement la configuration. C’est un excellent compromis entre simplicité et sécurité.

Mise en place

1. Installation sur votre serveur local / Raspberry Pi

bash
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

2. Authentification

Un lien s’affiche, ouvrez-le dans votre navigateur et connectez-vous avec votre compte Google/Microsoft/GitHub.

3. Installation sur vos appareils

  • Installez l’app Tailscale sur smartphone/PC
  • Connectez-vous avec le même compte
  • Tous vos appareils sont maintenant sur le même réseau virtuel !

4. Accès à votre réseau local

Au besoin suivre l’activation du port forwarding : https://tailscale.com/kb/1019/subnets?tab=linux#enable-ip-forwarding

et https://tailscale.com/kb/1320/performance-best-practices#ethtool-configuration

Activez le « Subnet Routing » pour accéder à tout votre réseau local :

bash
sudo tailscale up --advertise-routes=192.168.1.0/24

Puis dans l’interface web Tailscale, approuvez la route.

Accès : Votre LiXee-Box est accessible via son IP locale https://192.168.1.50 une fois Tailscale connecté.

Avantages de Tailscale

  • Configuration en 5 minutes
  • Pas de port forwarding nécessaire
  • Fonctionne derrière n’importe quel firewall (NAT traversal)
  • Gratuit jusqu’à 100 appareils
  • Applications natives pour toutes les plateformes
  • Reconnexion automatique

Inconvénients de Tailscale

  • Dépend d’un service tiers (serveurs de coordination Tailscale)
  • Les données transitent en peer-to-peer, mais la coordination passe par leurs serveurs
  • Moins de contrôle qu’une solution auto-hébergée

Quelle solution VPN choisir ?

Solution Difficulté Performance Contrôle Coût
WireGuard Moyenne Excellente Total Gratuit
OpenVPN Moyenne Bonne Total Gratuit
Tailscale Très facile Excellente Partiel Gratuit*

*Gratuit pour usage personnel (jusqu’à 100 appareils)

Recommandation :

  • Débutant : Tailscale (setup en 5 min)
  • Intermédiaire : PiVPN avec OpenVPN (assistant graphique)
  • Avancé : WireGuard manuel (performances maximales)

Solution 4 : Plateforme LiXee-Box.fr avec tunnel sécurisé

Le concept

Cette quatrième solution vise à simplifier drastiquement l’accès distant tout en conservant le principe fondamental : vos données restent chez vous. Il ne s’agit pas d’un cloud au sens traditionnel, mais d’un service de tunnel sécurisé.

⚠️ ATTENTION : cette solution n’existe pas encore mais je réfléchis énormément à consacrer du temps pour mettre en place ce type de solution.

Comment ça fonctionnerait ?

Pour l’utilisateur

  1. Inscription sur LiXee-Box.fr
    • Création d’un compte utilisateur
    • Génération d’un token unique et sécurisé
    • Attribution d’un sous-domaine personnalisé (ex: a7f89e.lixee-box.fr)
  2. Configuration dans la LiXee-Box
    • Accès à l’interface d’administration locale
    • Section « Accès distant »
    • Renseignement du token obtenu
    • Validation de la connexion
  3. Accès depuis n’importe où
    • Connexion via https://a7f89e.lixee-box.fr
    • Tunnel chiffré établi automatiquement
    • Interface identique à l’accès local

Architecture technique

Le système fonctionnerait selon ce principe :

[Vous depuis Internet]
        ↓
[https://a7f89e.lixee-box.fr]
        ↓
[Serveur tunnel LiXee - Fait uniquement le relais]
        ↓
[Connexion WebSocket/WireGuard chiffrée]
        ↓
[Votre LiXee-Box en local]

Points clés :

  • Le serveur LiXee-Box.fr ne stocke AUCUNE donnée
  • Il agit uniquement comme un relais chiffré (tunnel)
  • Les données transitent chiffrées de bout en bout
  • Votre LiXee-Box initie la connexion sortante (pas besoin de port forwarding)
  • Déconnexion automatique si vous désactivez le service

Avantages de cette solution

  • Simplicité maximale : Configuration en 2 minutes
  • Pas de compétences techniques requises : Pas de manipulation de box Internet
  • Fonctionne partout : Même derrière un réseau 4G ou un firewall d’entreprise
  • Sécurité : Chiffrement de bout en bout, authentification forte
  • Pas de cloud : Vos données ne sont jamais stockées sur nos serveurs
  • Révocable : Vous pouvez désactiver l’accès à tout moment
  • Compatible multi-sites : Gérez plusieurs LiXee-Box depuis un seul compte

Inconvénients potentiels

  • Service payant : Un abonnement serait nécessaire pour couvrir les frais d’infrastructure (estimation : 1-5€/mois)
  • Dépendance au service : Si le service est interrompu, l’accès distant ne fonctionne plus (mais votre LiXee-Box continue de fonctionner en local)
  • Latence légère : Le passage par un serveur intermédiaire ajoute quelques millisecondes

Technologies envisagées

Plusieurs implémentations techniques sont possibles :

Option 1 : WireGuard VPN

  • Tunnel VPN léger et performant
  • Chiffrement de pointe
  • Consommation minimale de ressources

Option 2 : WebSocket avec authentification

  • Compatible avec tous les firewalls
  • Intégration facile avec l’interface web existante
  • Reconnexion automatique

Votre avis nous intéresse !

Cette quatrième solution (plateforme LiXee-Box.fr) vous intéresse-t-elle ? Nous aimerions connaître votre position :

Questions pour vous, lecteurs

  1. Utiliseriez-vous un service de tunnel payant (1-5€/mois) plutôt que de configurer vous-même le port forwarding ou un reverse proxy ?
  2. Quel prix vous semblerait acceptable pour un tel service ?
    • 1€/mois
    • 2€/mois
    • 5€/mois
    • Plus de 5€/mois
    • Je préfère les solutions gratuites même si plus complexes
  3. Le fait que vos données ne transitent que de façon chiffrée (sans stockage sur nos serveurs) vous rassure-t-il suffisamment pour utiliser ce service ?

N’hésitez pas à réagir en commentaire ! Votre retour nous aidera à décider si nous développons cette fonctionnalité.

Tableau comparatif des solutions

Critère Port Forwarding Reverse Proxy VPN Tunnel LiXee-Box.fr
Difficulté technique Moyenne Élevée Moyenne à Facile Très facile
Coût Gratuit Gratuit Gratuit 1-5€/mois
Temps de configuration 30-60 min 1-2 heures 20 min – 2h 5 minutes
Sécurité Bonne (si bien configuré) Excellente Excellente Excellente
Maintenance Faible Moyenne Faible Nulle
Dépendance externe Non Non Non (sauf Tailscale) Oui (service tunnel)
Fonctionne derrière firewall strict Non Non Variable Oui
Compatible 4G/5G Difficile Difficile Oui (Tailscale++) Oui
Contrôle total Oui Oui Oui Partiel
Accès à tout le réseau local Non (un seul service) Possible Oui Non (un seul service)

Conclusion : Quelle solution choisir ?

Le choix de la solution dépend de votre profil et de vos priorités :

Choisissez le port forwarding si :

  • Vous avez des compétences techniques de base
  • Vous voulez une solution gratuite et simple
  • Vous avez une IP publique accessible
  • Vous n’avez besoin d’accéder qu’à la LiXee-Box (un seul service)

Choisissez le reverse proxy si :

  • Vous êtes à l’aise avec Linux
  • Vous voulez la meilleure sécurité possible
  • Vous gérez plusieurs services web sur votre réseau local
  • Vous appréciez avoir le contrôle total
  • Vous voulez centraliser la gestion SSL/certificats

Choisissez le VPN si :

  • Vous voulez accéder à TOUT votre réseau local (pas seulement la LiXee-Box)
  • La sécurité est votre priorité absolue
  • Vous êtes prêt à installer une application sur vos appareils
  • Vous voulez une solution flexible (WireGuard/OpenVPN) ou ultra-simple (Tailscale)
  • C’est la solution que nous recommandons pour la plupart des utilisateurs !

La plateforme tunnel serait idéale si :

  • Vous voulez la simplicité avant tout
  • Vous n’êtes pas à l’aise avec la configuration réseau
  • Vous êtes derrière un réseau restrictif (4G, entreprise)
  • Vous gérez plusieurs sites distants
  • Un petit abonnement ne vous dérange pas

L’essentiel : Quelle que soit la solution choisie, vous conservez le contrôle de vos données et votre indépendance vis-à-vis des clouds propriétaires. C’est cette philosophie qui guide le développement de la LiXee-Box, et nous continuerons à proposer des solutions ouvertes et respectueuses de votre vie privée.

Et vous, quelle solution allez-vous mettre en place ? Partagez votre expérience en commentaire !

 

 

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.