Documentation
Jeedom à distance : accès extérieur sans ouvrir de port
Jeedom pilote votre maison depuis une box installée chez vous — un Raspberry Pi, une box Atlas, un petit serveur local. C’est sa force : vos scénarios tournent sur place, vos données restent à la maison. C’est aussi sa question éternelle : comment accéder à Jeedom depuis l’extérieur ? Les réponses habituelles — service DNS de l’éditeur, ouverture de port avec reverse proxy, VPN maison — ont chacune leurs contreparties. Cette page les passe en revue honnêtement, puis détaille une quatrième voie : le réseau privé mesh, où votre téléphone et votre box deviennent membres du même réseau chiffré, sans ouvrir le moindre port et sans rien exposer à Internet.
Pourquoi l’accès distant est LA question Jeedom
Jeedom est une solution domotique française auto-hébergée : le cœur du système tourne chez vous, sur votre matériel, et l’interface web se consulte depuis un navigateur du réseau local. Contrairement aux plateformes domotiques cloud, rien n’est joignable depuis Internet par défaut. C’est un choix de conception assumé — et une excellente nouvelle : votre maison continue de fonctionner si votre connexion tombe, et vos données de présence, de chauffage ou d’alarme ne transitent par aucun serveur tiers.
Mais ce même choix crée la question que tout utilisateur finit par se poser : que se passe-t-il quand je ne suis plus sur mon réseau local ? La box, elle, reste à la maison. Dès que vous franchissez la porte, l’interface, les scénarios et l’application mobile ne sont plus à portée — sauf à organiser un accès extérieur. C’est pour cela que « accès à distance » est, de loin, l’un des sujets les plus discutés de la communauté Jeedom.
- Vérifier depuis le bureau que le chauffage est bien coupé, ou que la porte du garage est fermée.
- Utiliser l’application mobile en 4G/5G, dans le train ou en vacances, comme si vous étiez dans le salon.
- Garder un œil sur une résidence secondaire — et sur la box Jeedom qui s’y trouve.
- Dépanner à distance l’installation d’un proche que vous avez équipée, sans vous déplacer.
Le panorama honnête des options classiques
Trois familles de réponses dominent les discussions. Aucune n’est absurde : chacune résout le problème, avec des contreparties différentes. Les connaître permet de choisir en conscience — et de comprendre ce que l’approche mesh change réellement.
Le service DNS de l’éditeur (DNS Jeedom)
Jeedom propose à ses utilisateurs un service d’accès distant : la box établit un tunnel sortant vers l’infrastructure de l’éditeur, qui relaie ensuite vos connexions vers l’interface en HTTPS, via une URL qui vous est attribuée. Aucun port à ouvrir sur la box Internet — c’est son grand mérite. En contrepartie, ce service est proposé dans le cadre des offres de services de l’éditeur, l’interface reste joignable depuis Internet via une URL publique (protégée par votre authentification), et le chemin de l’accès dépend d’une infrastructure tierce.
Ouverture de port et reverse proxy
La voie historique de l’auto-hébergement : rediriger un port de la box Internet vers la machine Jeedom, souvent derrière un reverse proxy avec un certificat TLS, et suivre son adresse IP publique avec un DNS dynamique. Vous gardez le contrôle de bout en bout — mais votre interface devient un service exposé à Internet : scannée en permanence, dépendante de la solidité du logiciel qui écoute, avec un certificat et une redirection à maintenir. Et sur un accès en CGNAT (4G/5G, certaines fibres), il n’y a tout simplement aucun port à ouvrir.
Le VPN maison (OpenVPN, WireGuard)
Monter son propre serveur VPN à la maison réduit l’exposition à un seul service : le VPN lui-même. C’est déjà un net progrès — mais le serveur VPN doit écouter sur un port entrant, ce qui ramène la configuration de box, le suivi d’adresse IP publique, et l’impossibilité en CGNAT. Il faut aussi entretenir le serveur, distribuer les profils, et penser à activer le tunnel avant chaque accès.
| DNS de l’éditeur | Port ouvert + proxy | VPN maison | Réseau privé mesh | |
|---|---|---|---|---|
| Port entrant sur la box | Non | Oui | Oui (port du VPN) | Non |
| Interface joignable depuis Internet | Oui, via une URL publique | Oui | Non | Non — membres du réseau uniquement |
| Fonctionne en CGNAT (4G/5G) | Oui | Non | Non | Oui |
| Certificat public / DNS dynamique à gérer | Non | Oui | Souvent | Non |
| Chemin de l’accès | Infrastructure de l’éditeur | Direct | Direct | Direct dès que possible, relais aveugle sinon |
L’approche réseau privé mesh, appliquée à Jeedom
Le principe renverse la question : au lieu de rendre Jeedom joignable depuis Internet, on rend votre téléphone et vos ordinateurs membres du même réseau privé que la box. VIGIL-MESH est un VPN mesh sur QUIC : chaque machine n’établit que des connexions sortantes — un seul flux en 443 UDP, le même port que le web moderne. Un relais met les machines en relation immédiatement, puis la session migre sans coupure vers le chemin direct dès que la traversée NAT le trouve. Rien à ouvrir sur la box Internet, rien à rediriger, et cela fonctionne derrière une connexion 4G/5G en CGNAT.
Pour raccorder Jeedom, deux dispositions sont possibles. La plus simple et la plus sûre : installer le client directement sur la machine Jeedom. Le client Linux se distribue en paquet .deb (amd64 et arm64), tourne en service systemd sans écran ni session graphique, et se rétablit seul après un redémarrage — un serveur headless s’enrôle même sans interaction, avec une clé pré-autorisée. À défaut, n’importe quelle autre machine du réseau local peut servir de point d’entrée : il suffit qu’un seul nœud du site rejoigne le mesh pour rendre le site joignable à travers lui.
- Une adresse stable — la machine Jeedom reçoit une adresse dans l’espace 100.64.0.0/10, qui ne change jamais, quel que soit le réseau physique où elle se trouve.
- Un nom plutôt qu’une adresse — avec MagicDNS, chaque machine porte un nom court : vous ouvrez l’interface par le nom de la box, comme à la maison. La résolution se fait entièrement en local, depuis la carte réseau signée — aucune requête DNS ne quitte vos machines.
- L’application mobile via l’URL interne — une fois votre téléphone enrôlé (client Android), l’interface Jeedom est joignable à son nom ou à son adresse mesh exactement comme depuis le réseau local. Si votre application accepte une URL d’accès interne, cette URL reste donc valable en déplacement : du point de vue du réseau, le téléphone n’a jamais quitté la maison.
- Le dépannage en prime — la machine Jeedom devient aussi joignable en SSH par son nom, y compris depuis un terminal ouvert dans un onglet de navigateur via la console (client WASM). Pratique pour intervenir sur la box d’un proche sans rien installer sur place.
Bonus : découverte d’équipements et multi-sites
La domotique repose beaucoup sur des protocoles de découverte locale : les équipements s’annoncent sur le réseau, et les logiciels les trouvent tout seuls. Ces protocoles utilisent la diffusion et le multicast IP — précisément ce que les VPN classiques et les VPN mesh purement L3 laissent tomber. VIGIL-MESH traite chaque réseau comme un domaine de diffusion : broadcast, multicast et link-local IP atteignent tous les membres comme sur un commutateur, et cette diffusion est chiffrée de bout en bout.
- mDNS/Bonjour — les équipements qui s’annoncent en mDNS sont découverts à travers le mesh comme sur un même segment local.
- SSDP/UPnP — passerelles domotiques, box multimédia et téléviseurs annoncés en SSDP restent visibles d’un site à l’autre.
- WS-Discovery — les caméras et périphériques ONVIF se découvrent à distance comme en local.
- UDP multicast métier — capteurs et services propriétaires qui s’annoncent en multicast traversent le réseau de la même manière.
Le multi-sites en découle naturellement. Maison principale et résidence secondaire rejoignent le même réseau privé : une box Jeedom par site, chacune joignable par son nom depuis n’importe où — ou une seule box, et un nœud installé sur le second site qui rend ce site joignable à travers lui. Les deux maisons se comportent comme un seul réseau privé, sans VPN site à site à monter ni routeur à configurer de part et d’autre.
Sécurité : zéro exposition, et des accès qui se gouvernent
Le gain de sécurité fondamental tient en une phrase : votre interface Jeedom n’est plus joignable que par les membres de votre réseau. Aucun port entrant n’est ouvert, aucun service n’écoute depuis Internet — un scan de votre adresse IP publique ne révèle rien. Là où une redirection de port transforme la box domotique en cible permanente, l’approche mesh la rend simplement invisible du dehors.
- Chiffrement de bout en bout — les sessions sont des connexions QUIC/TLS 1.3 entre les nœuds, avec des identités Ed25519 propres à chaque machine et un établissement de clés hybride post-quantique X25519 + ML-KEM.
- Relais structurellement aveugle — quand le chemin direct n’est pas disponible, le trafic transite par une vigie qui ne détient pas les clés et ne voit jamais le contenu. Vous pouvez même héberger votre propre vigie privée.
- ACL, refus par défaut — les politiques d’accès décident qui joint qui : votre téléphone peut joindre la box Jeedom, sans que la box ait pour autant accès à votre poste de travail ou au NAS familial.
- Révocation immédiate — un téléphone perdu ou volé se révoque depuis la console : il perd aussitôt tout accès au réseau, donc à la box.
Mettre en place l’accès distant, pas à pas
La mise en place suit la même séquence que pour n’importe quelles machines du mesh : un compte, un client par machine, un enrôlement par clé à usage unique, une vérification — puis l’accès, par nom, comme en local.
- 1Créer un compte et un espace de travailL’espace de travail regroupe vos machines et vos règles d’accès. C’est gratuit pour un usage personnel.
- 2Installer le client sur les machines concernéesSur la machine Jeedom (paquet .deb Linux, amd64 ou arm64, service systemd) et sur les appareils qui doivent y accéder : votre téléphone Android, votre PC portable Windows ou Linux.
- 3Enrôler chaque machineDans la console, page Réseaux → panneau Machines → « Ajouter une machine » : l’assistant remet une clé d’enrôlement à usage unique, à passer au client en ligne de commande — ou à scanner en QR code depuis l’application Android.
- 4Vérifier la connectivitéLa machine Jeedom apparaît avec son adresse stable (100.64.x.x) et son nom MagicDNS. Un ping depuis le téléphone ou le portable confirme que le chemin est ouvert.
- 5Accéder à l’interface comme en localOuvrez l’interface Jeedom par le nom ou l’adresse mesh de la box, depuis n’importe où. Configurez l’application mobile avec cette même URL interne : elle vaut désormais partout.
Dépannage et questions pièges
Les premiers pas soulèvent presque toujours les mêmes questions. Les voici, avec les réponses qui évitent de chercher au mauvais endroit.
« http://jeedom ne répond pas »
Le nom MagicDNS est le nom de la machine dans votre espace de travail — pas un nom déduit du logiciel qu’elle héberge. Vérifiez le nom exact dans l’inventaire de la console, et renommez la machine si vous préférez un nom parlant : le renommage se propage tout seul et l’adresse ne change pas.
« Mon navigateur affiche un avertissement de certificat »
En accès mesh, l’interface est servie comme en local — souvent en HTTP ou avec un certificat auto-signé. C’est attendu : le chiffrement fort est assuré par le tunnel QUIC/TLS 1.3, et un certificat public n’a pas de raison d’être puisque rien n’est publié sur Internet.
« Ça marche à la maison, plus en 4G »
Vérifiez d’abord que le client VIGIL-MESH est bien actif sur le téléphone : c’est lui qui rend la box joignable hors du LAN. Derrière deux NAT symétriques (deux connexions mobiles, par exemple), le chemin direct est impossible et le trafic reste relayé par la vigie — l’accès fonctionne, par un chemin plus long.
« Quelle URL mettre dans l’application mobile ? »
L’URL interne — celle du nom ou de l’adresse mesh de la box. Une fois le téléphone membre du réseau, cette URL est valable partout, et les URL d’accès externe deviennent superflues.
« J’ai déjà le DNS Jeedom ou une redirection de port »
Les deux peuvent coexister : VIGIL-MESH n’intercepte ni votre DNS ordinaire ni vos accès existants. Beaucoup gardent l’ancien accès le temps de valider le nouveau — puis referment la redirection de port devenue inutile, ce qui réduit d’autant la surface exposée.
« Le ping passe, mais pas l’interface »
Résoluble ne veut pas dire autorisé : les politiques d’accès (ACL) décident service par service. Vérifiez dans la console que la machine qui accède est bien autorisée à joindre la box Jeedom.