Ton VPN est sur une IP publique ? Donc normal.
Tu auras
toujours des tentatives.
Imagine ton réseau comme ta maison ou ta voiture : tu as une porte fermée à clé, ça empêche les gens de rentrer (en théorie) mais ça ne les empêche pas de venir frapper à ta porte et/ou essayer d'ouvrir pour voir si ta porte est effectivement bien fermée.
Tu veux aller plus loin et être plus invisible ? Tu te fais un
bastion, en prenant une instance sur un cloud type Amazon.
Par exemple, tu fais comme ça (c'est une esquisse) :
- une instance t1.micro : ça coûte presque rien (disons 50€/an)
- une IP publique (3€/mois)
- Une fois ton instance configurée, dans le Security Group (le firewall quoi) de l'interface AWS, tu n'ouvres aucun port. Tu prévois une règle pour autoriser les flux depuis l'IP publique de ton réseau perso et une pour autoriser les flux web depuis l'extérieur pour certaines IP.
- Dans tes règles maison, seule l'IP du bastion peut passer.
- Tu créés un VPN entre le bastion et ton réseau.
- Tu colles un proxy sur l'instance, genre un nginx, pour afficher ton Domoticz.
Quand tu veux aller voir ta domotique, tu dois te connecter à AWS et ajouter le Security Group à ton instance pour ouvrir la porte.
C'est une esquisse, je ne me rappelle plus si tu peux garder ton IP publique sur une machine stoppée avec AWS, parce que si oui, c'est encore plus simple : machine allumée = pont levis ouvert, machine éteinte = pont levis fermé.
Oui, c'est chiant.
Si tu veux être encore plus strict, tu isoles tes réseaux internet et privé, avec par exemple un boitier qui fait firewall entre ta box et tout le reste de ton réseau.
Par contre, tu auras toujours des IP qui viendront frapper à la porte de ton instance bastion quand elle sera allumée...
EDIT : D'expérience, c'est relativement rare que tu te fasses trouer un réseau par une attaque sur l'OS quand tu as des systèmes de sécu de base (fail2ban, firewall, etc...), comparé au nombre d'attaques qui passent par une application (typiquement, Wordpress et ses plugins par exemple). Les cas que j'ai croisé où l'attaquant est passé par l'OS, c'était plutôt à cause d'un utilisateur qui s'était fait piquer son mot de passe FTP stocké en clair dans Filezilla par exemple. Ca veut pas dire qu'il faut pas se protéger, mais juste qu'il faut pas stresser pour rien
moi j'ai quelqu'un qui essaye de se connecter à mon openvpn, bien sur sans succès mais y va falloir enquêter.
Tu dois pouvoir faire partir un mail automatiquement de ta machine quand il y a une connexion sur le VPN, ça t'alertera.