badaboum76 a écrit :vpn je n'y connais rien du tout , c'est encore plus sécurisé ?
Oui et non... Si c'est bien configuré, oui... si c'est mal, il faut voir que cela donne potentiellement un accès à tout ton réseau local comme si on étais branché chez toi!
Ce n'est donc pas restreint à une machine hébergeant un serveur vers laquelle tu ouvre/redirige un port.
C'est en particulier problématique si tes autres machines ne sont pas bien protégées et n'auraient même pas un pare-feu individuel par exemple... pour celles qui sont sous ton contrôle: Quid de la TV connectée ou du débilophone plus mis à jour par le fabricant depuis des années?
L'autre pb du VPN, c'est qu'il faut que toute machine utilisée pour te connecter chez toi ait été configurée pour...
Au final, un fail2ban bloquant dynamiquement les IP qui insistent est à mon sens suffisant. Surtout qu'a lire les logs, le https est très peu attaqué comparé à un serveur ssh par exemple. On ne voit quasiment que passer les robots d'indexation de google et autres qui lâchent l'affaire sur la page de login.
Attention par contre à ta redirection. Moi je redirigerais le 443 externe vers le 443 de ton IP interne Domoticz: Beaucoup de hot-spots filtrent en sortie les ports inattendus et ta config n'y fonctionnera pas toujours pour cette raison.
Si tu veux ouvrir l'accès SSH, le VPN peut aussi être évité avec fail2ban là encore... voire le port-knocking (une séquence de ports, qui sera à ouvrir sur la box, débloquera le port 22 du SSH, ici, pour la seule IP demandeuse et pendant un temps donné, genre 10 ou 20s, le temps d'établir la connexion SSH). En prime, pas forcément besoin d'avoir le client knock sur la machine utilisée pour se connecter: Au pire on s'en sort avec une séquence de ping (qui se trouve souvent en standard) bien construite.