Le VNC en direct est à éviter: Ce protocole n'est pas sécurisé et à réserver à un usage réseau local... ou distant, mais en utilisant un tunnel SSH.
Donc, au final, console ou graphique, il faut se ménager un accès distant SSH! Puis derrière, entre possibilités de tunnels classiques (pour du VNC par exemple) et dynamiques (= proxy socks), on peut quasiment tout faire...
Si l'IP récupérée pour le DNS est OK, qu'en réseau local c'est OK aussi, c'est qu'il manque une config à la box. Selon qu'on est en IPV4 ou IPV6, il faudra soit ajouter une règle NAT (port 22 en entrée, ou un autre plus discret, vers port 22 de l'IP locale domoticz) ou firewall (ouvrir le port 22, point de redirection ici: Port entrée=sortie impérativement).
Attention toutefois car le SSH est très attaqué. Pour ma part, il n'est pas accessible directement et un peu surprotégé:
Déjà le port 22 du SSH est protégé par le firewall du PI hébergeant Domoticz (via ufw): Il est en effet plus aisé de débloquer/bloquer à ce niveau dynamiquement l'accès ouvert côté box...
Quand j'étais encore en IPV4, j'utilisais knockd: Il fallait tenter un accès à une séquence de ports déterminée pour débloquer le port ssh niveau FW PI pour la seule IP externe demandeuse, pendant un temps configurable permettant d'établr la connection ssh. Mais knockd n'a pas de support IPV6.
Depuis que je suis en IPV6, j'ai simplement un déblocage du ssh via un switch virtuel pour 30s et un script appelé au on/off et un auto-off après 30s niveau config switch: Il faut donc s'authenfifier à l'interface https et manipuler ce switch avant de pouvoir établir une connexion ssh dans les 30s qui suivent.
Au delà de ça, j'ai aussi fail2ban installé: Au cas ou ce qui est ci dessus déconne, au moins ceux qui tentent du bruteforce seront rapidement bloqués.
La config sshd ne permet pas l'accès direct root et est restreinte à l'utilisateur sous lequel tourne domoticz, qui n'est pas le "pi" par défaut d'une installation raspbian: Cet utilisateur est en effet très ciblé, comme tous les utilisateurs par défaut, par les robots faisant du bruteforce ssh. Si ce changement n'a pas été fait avant installation de domoticz, ce sera plus difficile à changer. Laisser tel quel est possible avec les mesures ci-dessus, mais blinder encore plus le mot de passe...
On pourrait aussi n'accéder que par clef ssh, mais il faut être certain d'avoir toujours sa clef sur soi ou n'accéder que depuis une machine à soi préconfigurée: Difficile en pratique à mon sens.
Avant d'ouvrir quoi que ce soit niveau box, il faut impérativement installer fail2ban et avoir un mot de passe très fort (voir carrément une passphrase): Avec un utilisateur pi facile à deviner et un mdp trop simple, cela peut être l'affaire de qq secondes/minutes.
Pourquoi ca va aller direct à tenter l'utilisateur pi?
Cf banière ssh:
Code : Tout sélectionner
Linux NOM_DU_PI 5.10.63-v7+ #1488 SMP Thu Nov 18 16:14:44 GMT 2021 armv7l
Version linux d'une raspbian 10 sur architecture armv7l, on sait avec 99.9% de probabilité sur quoi on tombe!
Par contre, pour faire des MAJ automatiques, le paquet unattended upgrades peut suffire sans demander accès externe.