Du vieux serveur au Home Lab : pourquoi j’ai tout cassé pour mieux reconstruire
Pourquoi j'ai décidé de reconstruire mon infrastructure personnelle de zéro : passage du vieux serveur au Home Lab 2026 sous Proxmox, OpenTofu et observabilité Elastic.
Introduction
En 2023, notre connexion ADSL est tombée en panne. Notre fournisseur n'a pas souhaité intervenir pour la réparer, et la fibre n'était pas disponible à notre adresse. Après quelques recherches, nous avons fait le choix de basculer sur la 5G.
Résultat immédiat : plus d'IP publique, plus d'accès à mes services depuis l'extérieur, plus de génération de certificats Let's Encrypt. Mon infrastructure, stable depuis 2017, venait de s'effondrer faute d'alternative réseau.
Ce n'était pas un choix, c'était une contrainte. Et il a donc fallu s'adapter...
Ce qui tournait depuis 2017
Depuis 2017, j'hébergeais l'essentiel de mes services sur une seule machine : un PC ATX équipé d'un Pentium G4400, 4 Go de RAM DDR4 et un disque SATA de 8 To. Pas impressionnant sur le papier, mais suffisant pour faire tourner en continu :
- Nextcloud (fichiers personnels)
- TVHeadend (TNT + enregistrements)
- Base de données Kodi
- Partages Samba
- Home Assistant (les débuts de ma domotique)
L'accès externe reposait sur HAProxy avec génération automatique de certificats Let's Encrypt via challenge HTTP, lié à un domaine chez Amen. Simple, robuste, et ça tournait avec un minimum d'interventions depuis des années.
Le CG-NAT, ou la fin de l'IP publique
Le problème, c'est que tout ce montage repose sur une condition : avoir une IP publique. Avec la 5G, les opérateurs utilisent le CG-NAT (Carrier-Grade NAT) — plusieurs abonnés partagent la même IP publique, et votre routeur ne reçoit plus qu'une adresse privée dans le réseau de l'opérateur.
Conséquences directes :
- Impossible de faire pointer un domaine sur son routeur
- Challenge HTTP Let's Encrypt inopérant
- HAProxy exposé sur rien
Six ans d'infrastructure, obsolètes en un changement de réseau subi.
Une contrainte, une opportunité
Plutôt que de chercher un patch rapide, j'ai choisi d'en profiter pour refondre l'ensemble avec une vraie ligne directrice :
- Infrastructure as Code avec OpenTofu et Ansible — pour que chaque machine soit reproductible et versionnée
- SSO centralisé via Authentik — parce qu'exposer sa domotique sur internet sans gestion d'identité sérieuse, c'est non
- Zéro dépendance aux GAFAM — self-hosting dans l'esprit, pas seulement dans le nom
Les articles suivants décrivent les trois itérations architecturales que j'ai traversées pour retrouver (et dépasser) ce que j'avais avant :
- XTNA + Azure Entra ID : la solution rapide, vite abandonnée
- FRP + Caddy sur VPS : l'indépendance retrouvée, avec ses limites
- Caddy en local + DNS challenge : l'architecture actuelle, simple et maîtrisée
Ce que tu trouveras dans ce blog : des articles techniques sur les choix que j'ai faits, pourquoi, et ce que j'aurais fait différemment. Pas un tutoriel générique, un retour d'expérience ancré dans des contraintes réelles.