Du vieux serveur au Home Lab : pourquoi j’ai tout cassé pour mieux reconstruire

Pourquoi j'ai décidé de reconstruire mon infrastructure personnelle de zéro : passage du vieux serveur au Home Lab 2026 sous Proxmox, OpenTofu et observabilité Elastic.

Introduction

En 2023, notre connexion ADSL est tombée en panne. Notre fournisseur n'a pas souhaité intervenir pour la réparer, et la fibre n'était pas disponible à notre adresse. Après quelques recherches, nous avons fait le choix de basculer sur la 5G.

Résultat immédiat : plus d'IP publique, plus d'accès à mes services depuis l'extérieur, plus de génération de certificats Let's Encrypt. Mon infrastructure, stable depuis 2017, venait de s'effondrer faute d'alternative réseau.

Ce n'était pas un choix, c'était une contrainte. Et il a donc fallu s'adapter...

Ce qui tournait depuis 2017

Depuis 2017, j'hébergeais l'essentiel de mes services sur une seule machine : un PC ATX équipé d'un Pentium G4400, 4 Go de RAM DDR4 et un disque SATA de 8 To. Pas impressionnant sur le papier, mais suffisant pour faire tourner en continu :

  • Nextcloud (fichiers personnels)
  • TVHeadend (TNT + enregistrements)
  • Base de données Kodi
  • Partages Samba
  • Home Assistant (les débuts de ma domotique)

L'accès externe reposait sur HAProxy avec génération automatique de certificats Let's Encrypt via challenge HTTP, lié à un domaine chez Amen. Simple, robuste, et ça tournait avec un minimum d'interventions depuis des années.

Le CG-NAT, ou la fin de l'IP publique

Le problème, c'est que tout ce montage repose sur une condition : avoir une IP publique. Avec la 5G, les opérateurs utilisent le CG-NAT (Carrier-Grade NAT) — plusieurs abonnés partagent la même IP publique, et votre routeur ne reçoit plus qu'une adresse privée dans le réseau de l'opérateur.

Conséquences directes :

  • Impossible de faire pointer un domaine sur son routeur
  • Challenge HTTP Let's Encrypt inopérant
  • HAProxy exposé sur rien

Six ans d'infrastructure, obsolètes en un changement de réseau subi.

Une contrainte, une opportunité

Plutôt que de chercher un patch rapide, j'ai choisi d'en profiter pour refondre l'ensemble avec une vraie ligne directrice :

  • Infrastructure as Code avec OpenTofu et Ansible — pour que chaque machine soit reproductible et versionnée
  • SSO centralisé via Authentik — parce qu'exposer sa domotique sur internet sans gestion d'identité sérieuse, c'est non
  • Zéro dépendance aux GAFAM — self-hosting dans l'esprit, pas seulement dans le nom

Les articles suivants décrivent les trois itérations architecturales que j'ai traversées pour retrouver (et dépasser) ce que j'avais avant :

  1. XTNA + Azure Entra ID : la solution rapide, vite abandonnée
  2. FRP + Caddy sur VPS : l'indépendance retrouvée, avec ses limites
  3. Caddy en local + DNS challenge : l'architecture actuelle, simple et maîtrisée

Ce que tu trouveras dans ce blog : des articles techniques sur les choix que j'ai faits, pourquoi, et ce que j'aurais fait différemment. Pas un tutoriel générique, un retour d'expérience ancré dans des contraintes réelles.