Souverain

De l’OptiPlex au web souverain : récit (très) personnel d’un serveur maison

Ou comment j’ai installé mon propre serveur, ce que j’ai raté, ce que j’ai compris, et pourquoi je persiste.

Prologue : un vieux PC, une idée fixe

Tout est parti d’un OptiPlex repéré sur leboncoin pour un prix abordable (moins de 50€). Une machine modeste, économe, mais avec ce qu’il faut d’évolutivité pour devenir le cœur d’un homelab. J’ai changé le CPU, gonflé la RAM à 32 Go, fait l’inventaire des ports et des contraintes thermiques, rêvé d’IA locale avant de revenir sur Terre. L’objectif n’était pas de battre des records : reprendre la main, pas à pas, sur mes usages numériques.

J’ai hésité avec une carte graphique dédiée et une alimentation plus costaude pour héberger un LLM local. Après tests, le verdict a été sans appel : consommation électrique trop élevée, vitesse pas au rendez-vous, charge système disproportionnée pour mon usage. J’ai décidé, provisoirement, de déléguer l’IA à des services en ligne — Mistral, ChatGPT ou Lumo — et de concentrer mon énergie sur ce qui ferait une vraie différence au quotidien : l’auto-hébergement.

Choisir sa bataille : Umbrel d’abord, YunoHost ensuite (peut-être)

Côté distribution, j’ai voulu rester lucide sur mon niveau. Umbrel s’est imposé comme une rampe d’accès rassurante : une surcouche claire, des services Docker packagés, des succès rapides qui encouragent à continuer.
J’avais testé YunoHost — excellent et réputé accessible — mais j’étais encore un cran trop tôt dans ma courbe d’apprentissage. Alors j’ai fait un pacte avec moi-même : me faire la main sur Umbrel, comprendre les mécaniques sous-jacentes (reverse proxy, DNS, certificats, volumes Docker…), et, le moment venu, migrer vers YunoHost en connaissance de cause.

Entre ces deux étapes : des machines virtuelles, des essais, des échecs contrôlés, beaucoup de notes, et cette question de fond : où vais-je buter, et comment vais-je m’en sortir ?

Le mur invisible : pas d’IP fixe, la 4/5G et la réalité du réseau

Mon premier vrai blocage n’était pas logiciel. Il était lié au réseau. Pas de fibre à l’époque, donc connexion 4/5G et… pas d’IP fixe. Les services dynamiques (type DynDNS) n’ont pas suffi face à la réalité du terrain (NAT, box opérateur, instabilités).
Les alternatives existaient — VPS + VPN, exposition via Cloudflare, maillage Tailscale — mais je voulais éviter la complexité et rester fidèle à ma vision d’un système simple, maîtrisable, transmissible.

J’ai donc fait un choix contre-intuitif : attendre la fibre. Le jour où elle est arrivée, j’ai demandé une IP fixe, mis à plat mon schéma réseau, et j’ai pu enfin tester “pour de vrai” l’accès externe, le routage, et la sécurité.

Les pièces maîtresses : ce que j’ai installé et pourquoi

Le couple qui tient la boutique

  • AdGuard Home — Mon filtre DNS maison. Moins de pubs, un premier niveau de contrôle parental, et la possibilité de router des services via des noms de domaine parlant plutôt que des IP locales. Pas parfait, mais indispensable pour poser les bases.
  • Nginx Proxy Manager — Le chef d’orchestre des URLs externes et des certificats SSL/HTTPS. L’interface est limpide, mais j’ai buté sur des détails : la gestion du HTTPS en local, notamment. Si vous vous y cassez les dents, écrivez-moi : je partagerai mon cas et la solution qui m’a débloqué.

Accès et exposition

  • Tailscale — L’accès à distance à mon serveur, sans exposer l’admin sur Internet. J’ai testé l’accès Umbrel par URL Tor au début ; depuis l’IP fixe, j’ai désactivé cette exposition. Tailscale uniquement pour l’admin.
  • Nœud Tor — Curiosité personnelle et volonté de contribuer au réseau. Une brique qui rappelle qu’Internet peut/doit (encore) être un bien commun.

Les services qui changent la vie

  • Immich — Mon Google Photos local. Synchronisation fluide, détection des visages, albums : c’est la solution la plus simple et la plus proche de l’expérience que je cherchais. Je commence avec un cercle restreint. Points de vigilance : la sauvegarde vers un NAS n’est pas triviale à automatiser proprement. Je n’ai pas encore réussi à bien comprendre l’utilisation depuis leur application mobile … À suivre.
  • Whoogle Search — Des recherches sans pub ni traque, avec une interface épurée. Ça fait un bien fou.
  • Karakeep — Mon gestionnaire de favoris. J’ai écrit un article à part sur ce choix ; il me permet de désengorger mon navigateur et de structurer ma veille.
  • FreshRSS — Un lecteur RSS “à l’ancienne”, donc très efficace. Mais je garde un œil, à l’occasion, sur Google Actualités ou Flipboard : la curation humaine y apporte parfois des angles que mes flux n’attrapent pas.
  • LibreTranslate — Pour traduire en local, sans remettre mes textes à des tiers, même si Deepl est une très bonne solution.
  • Stirling PDFDécouper, fusionner, extraire des PDF, et plus encore. Un couteau suisse dont je ne me passe plus.
  • Snapdrop — Des échanges de fichiers à la maison, sans app, directement depuis le navigateur. L’anti-AirDrop, ouvert et universel.
  • Pingvin Share — Mon WeTransfer ou Smash privé. Inscriptions fermées : je réserve l’usage à mes proches pour maîtriser bande passante et stockage.

Ce que je n’ai pas installé (volontairement)

  • Un serveur de courriel. Trop lourd et exigeant (DNS, SPF/DKIM/DMARC, lutte anti-spam entrante/sortante, réputation IP…). Le jour où une solution simple et robuste émergera, je reconsidérerai. Ce n’est pas mon combat du moment.

Sécurité pragmatique : exposer le moins, surveiller le plus

Mon principe : ne rien exposer qui n’a pas besoin de l’être. Les services publics (partage de fichiers, galerie photos) passent par Nginx Proxy Manager avec certificats à jour.
L’administration est fermée au réseau local et à Tailscale. Les logs tournent, les mises à jour sont planifiées, et je préfère une petite surface d’attaque maîtrisée à un château de cartes clinquant.

Les moments de doute (et ce qu’ils m’ont appris)

  • Pas d’IP fixe au départ : j’ai refusé de bricoler des tunnels partout. Attendre la fibre m’a fait gagner des heures de configuration hasardeuse.
  • Matériel : je commence à lorgner un routeur plus sérieux et un pare-feu matériel. Mais je n’achète pas tant que je n’ai pas compris l’impact (connaissances, filtres, segmentation, maintenance).
  • Réseau : j’ai englouti des tutoriels et de la doc sur les reverse proxy, l’HTTPS, les certificats, le DNS, la structure des compose YAML. Ça demande du temps, un peu de budget, et beaucoup de patience.
  • Humilité : l’auto-hébergement est accessible à tous, oui, mais pas au même rythme. Il faut accepter de persister, d’échouer, de revenir le lendemain. Et de ne pas tout faire d’un coup.

Ce qui tourne aujourd’hui

  • Matériel : Dell OptiPlex reconditionné, CPU upgradé, 32 Go de RAM.
  • OS/Stack : Umbrel, services en Docker, Nginx Proxy Manager, AdGuard Home, Tailscale, nœud Tor.
  • Apps clés : Immich, Whoogle, Karakeep, FreshRSS, LibreTranslate, Stirling PDF, Snapdrop, Pingvin Share.
  • Accès : IP fixe fibre, SSL/HTTPS partout, admin via LAN/Tailscale uniquement.

La prochaine étape : la sauvegarde qui rassure

Prochain jalon : automatiser la sauvegarde d’une partie de mes données (surtout les photos) vers mon NAS. Planifier, chiffrer (ou pas), tester la restauration. Parce que la vraie question n’est pas “ai-je une sauvegarde ?”, mais “ai-je déjà restauré une sauvegarde avec succès ?”
Je publierai un retour d’expérience dédié à ce choix et à sa mise en place.

Ce que j’aurais aimé lire avant de commencer

  1. Commencez petit. Un service utile, bien sécurisé, qui rend votre vie meilleure. Puis un deuxième.
  2. Évitez la dette invisible. Les bricolages réseau “temporaires” durent souvent trop longtemps.
  3. Documentez tout. De la box au reverse proxy, jusqu’aux volumes Docker. Le futur vous dira merci.
  4. Exposez le minimum. Admin fermée, accès zéro-confiance, mises à jour régulières.
  5. Plan de sortie. Savoir revenir en arrière sans tout casser, et restaurer une sauvegarde.

Pourquoi ça compte : souveraineté, simplicité, cohérence

Je ne cherche pas la pureté idéologique ni une tour d’ivoire technique. Je cherche une cohérence : un web intelligent, ouvert, transparent, sécurisé, au rythme de mes compétences — en visant plus haut, mais sans brûler les étapes.
La souveraineté numérique n’est pas le grand soir : c’est une suite de petites victoires. Un nom de domaine qui répond, un service qui tourne, un proche qui en profite. Et cette satisfaction discrète : comprendre ce qu’on utilise.

Besoin d’un coup de main ?

Si, comme moi, vous avez buté sur Nginx Proxy Manager (surtout l’histoire du HTTPS en local), écrivez-moi. Je ne promets pas la solution universelle, mais je partagerai ce qui m’a débloqué.

Fin de l’épisode. La maintenance ne fait que commencer — et c’est très bien comme ça.

Publié le

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *