Surveillance des équipements du réseau interne client via un agent LAN
· 7 min de lecture
Le monitoring cloud n'atteint pas les appareils du reseau interne. L'agent LAN d'ePulz.io les verifie en mode pull via HTTPS - sans VPN ni ports ouverts.
Le problème : le cloud ne voit pas l'intérieur
La surveillance uptime classique s'exécute dans un datacenter. Pour les sites publics, elle fonctionne très bien : une requête HTTP part de Francfort vers votre hébergement, puis revient. Le problème commence dès que vous voulez surveiller quelque chose qui n'est pas visible de l'extérieur :
- Un NAS avec sauvegardes (
192.168.1.10) - Grafana / Prometheus / Jira interne sur
10.0.0.50:3000 - Caméras IP en magasin, passerelles IoT, imprimantes réseau
- Un routeur ou switch dont vous voulez connaître la panne
- Passerelle VPN, serveur RADIUS, DNS local
Les solutions courantes comportent des compromis désagréables :
- Redirection de port : vous ouvrez un port public sur le routeur et la surveillance se connecte via l'IP publique. Un cauchemar de sécurité, souvent contraire à la politique de l'entreprise.
- Tunnel VPN entre la surveillance et le réseau client : cela fonctionne, mais demande une configuration côté IT, une configuration peer statique et de la maintenance continue.
- Cron sur le serveur client qui pingue la surveillance : un heartbeat. Cela fonctionne, mais indique seulement que l'agent est vivant, pas si une cible précise du réseau est accessible.
La solution : un agent en modèle pull
L'agent LAN ePulz.io inverse le sens de la communication. Au lieu que le serveur force son entrée dans le réseau client, un simple démon exécuté directement dans ce réseau contacte lui-même le serveur. Le principe est le suivant :
- Toutes les 30 secondes l'agent demande : "Quels moniteurs dois-je vérifier maintenant ?"
- Le serveur renvoie une liste (par exemple : ping
192.168.1.10chaque minute, TCP192.168.1.50:5432toutes les 5 minutes). - L'agent exécute les vérifications locales (ICMP ping, TCP connect, HTTP GET).
- L'agent renvoie les résultats via la même connexion HTTPS.
- Lors d'un changement d'état (UP → DOWN ou retour), ePulz.io déclenche la notification standard : email, Telegram ou webhook.
Toute la communication passe par HTTPS sortant sur le port 443, exactement le port que votre routeur a déjà ouvert pour le navigateur. Pas de redirections, pas de trafic entrant, pas de VPN.
Trois types de vérifications LAN
| Type | Cible | Cas d'usage |
|---|---|---|
| lan_ping | 192.168.1.10 | L'équipement du réseau est actif (écho ICMP). Vérification la moins chère, mesure le RTT avec précision sub-milliseconde. |
| lan_tcp | 10.0.0.50:5432 | Un port précis répond (DB, SSH, SMTP, RDP). Détecte la chute du processus même si l'hôte tourne. |
| lan_http | http://nas.local | L'interface web fonctionne (HTTP 2xx/3xx). GUI NAS, dashboard interne, API locale. |
Installation : deux variantes
Pour un serveur Linux avec accès root (Raspberry Pi, mini PC, VM du réseau) :
curl -fsSL https://epulz.io/install-agent.sh | sudo bash -s epulzio_xxxxxxxxxxxx
Le script installe l'agent dans /opt/epulzio-agent et l'enregistre comme service systemd. Il démarre seul après reboot.
Pour les hôtes Synology / Unraid / k3s / Docker :
tar xzf epulzio-agent.tar.gz
docker load -i epulzio-agent-image.tar
docker run -d --name epulzio-agent --restart unless-stopped \
--network host \
-e EPULZIO_AGENT_TOKEN=epulzio_xxxxxxxxxxxx \
epulzio-agent:latest
--network host est important : l'agent a besoin d'accéder au réseau local de l'hôte.
Que se passe-t-il quand l'agent se tait
C'est un scénario souvent négligé dans les setups maison : l'agent s'arrête (panne réseau, coupure de courant, kernel panic), le moniteur reste à jamais sur "last_status: up" et personne ne le remarque. ePulz.io résout cela avec une logique heartbeat séparée :
- Chaque requête agent réussie met à jour
last_seen. - Un scheduler vérifie les agents actifs chaque minute. Si
last_seena plus de 5 minutes, un email et un message Telegram partent : "L'agent LAN X est hors ligne". - Quand l'agent revient, vous recevez une notification de retour en ligne.
Grâce à cela vous ne vous retrouverez jamais dans l'état "tout semble vert parce que rien n'est mesuré".
Sécurité
- Authentification par token : l'agent s'authentifie via
X-Agent-Token: epulzio_…. Nous ne stockons que le hash SHA-256 en DB ; vous voyez le token en clair une seule fois lors de la création. - Révocable à tout moment depuis le dashboard. Après révocation l'agent reçoit HTTP 401 et arrête de prendre des tâches.
- Rate limit par agent : 120 requêtes par minute. Protège le serveur des agents en boucle ou défectueux.
- Pas de credentials directement dans le script : le token est dans
/opt/epulzio-agent/agent.envavec les permissions 0600.
Quand vous n'avez pas besoin d'un agent LAN
Si vous ne surveillez que des sites publics, des API et des certificats SSL, les sondes cloud classiques d'ePulz.io vous suffisent. L'agent LAN a du sens quand :
- Vous gérez plusieurs clients et voulez leur proposer la surveillance de leurs systèmes internes.
- Vous avez une architecture hybride (partie cloud, partie on-prem) et voulez un tableau de bord unifié.
- Vous avez besoin de mesures RTT sub-milliseconde sur le LAN, impossibles à obtenir via internet.
Commencer
L'agent LAN est disponible sur tous les plans, période d'essai incluse. L'installation prend trois minutes :
- Créez un agent dans dashboard → agents LAN.
- Copiez le token (affiché une seule fois).
- Lancez l'installeur sur une machine du réseau client.
- Ajoutez un moniteur LAN via "Ajouter un nouveau moniteur" et choisissez le type
lan_ping,lan_tcpoulan_http.
Essai gratuit
7 jours d'accès complet, agents LAN inclus. Sans carte. Sans renouvellement automatique.
Essayez ePulz.io gratuitement - 7 jours sans carte de crédit.
Créer un compte