Avant toute chose merci de (re)prendre connaissance de la charte et de la respecter.
Pour résumer :
- Avant de poser une question, je cherche si la réponse existe
- Je suis poli, courtois et je respecte tout un chacun sur le forum
- Si un post m'agace : je m'en éloigne plutôt que de répondre d'une façon qui pourrait être mal interprétée


Il n'est jamais du luxe que de rappeler des choses simples :
Courtoisie, amabilité, politesse et bonne humeur sont les maîtres mots pour un forum sympathique, bienveillant et accueillant :)

Le groupe des Helpers est present pour vous aidez, n'hésitez pas à poser des questions ;)

Toute la communauté vous remercie

Accès externe sécurisé

De l'installation à l'utilisation venez discuter de JEEDOM au quotidien
bertrand
Timide
Messages : 96
Inscription : 15 janv. 2017, 07:41
Localisation : Marseille

Re: Accès externe sécurisé

Message par bertrand » 22 févr. 2019, 17:54

La seconde règle n'a pas d'intérêt et est même limite car tu ouvres ton port 80 au net.
443 vers 443 c'est suffisant.

80 vers 80 uniquement quand tu crées ou renouvelles un certif et ce pour lets encrypt pour les autres je sais pas !!
Bien penser à ouvrir le 80 puis le refermer après création/renouvellement.

Romesl
Timide
Messages : 96
Inscription : 13 déc. 2018, 18:38

Re: Accès externe sécurisé

Message par Romesl » 23 févr. 2019, 07:16

Ok @bertrand,

Merci pour ces informations, une autre question. J'ai suivi le tuto de domo-blog suivant où il propose de renouveler automatiquement le certificat SSL https://www.domo-blog.fr/securiser-jeed ... http-01/3/
avec cette commande :

Vous pouvez également utiliser la ligne suivante dans votre crontab afin de demander un renouvellement tout les 89 jours, soit la veille de l’expiration de votre certificat. (Merci à Max pour cette astuce)

0 1 * * * bash -c ‘[ $(expr $(date +\%s) / 86400 \% 89) == 30 ] && /usr/local/sbin/certbot-auto renew >> /home/pi/ssl-renew.log 2>&1’


Est-il nécessaire d'avoir son port 80 ouvert pour que ce renouvellement fonctionne ?
Merci

bertrand
Timide
Messages : 96
Inscription : 15 janv. 2017, 07:41
Localisation : Marseille

Re: Accès externe sécurisé

Message par bertrand » 23 févr. 2019, 07:55

Salut

Chez moi oui !
Essaye sans ouvrir le port 80 et regardes si tu as une erreur

Donc pas facile à automatiser
Un petit warning tous les 80 jours !

Peut être quelqu'un de plus compétent a une solution ?

Avatar de l’utilisateur
poluket
Helper
Messages : 1678
Inscription : 19 août 2017, 17:02
Localisation : Chastre - Belgique
Contact :

Re: Accès externe sécurisé

Message par poluket » 23 févr. 2019, 09:26

Ne met pas de redirection pour le port 80. Cela ne sert a rien
Helper Officiel Jeedom

Installation KNX + Sonos + Xiaomi Yeelight + Jeedom sur VM Proxmox + wifi unifi avec contrôleur + NAS DS1513+ + UPS + PFsense FW

Romesl
Timide
Messages : 96
Inscription : 13 déc. 2018, 18:38

Re: Accès externe sécurisé

Message par Romesl » 10 juin 2019, 10:27

Bonjour,

Voilà que 90 jours ont passés et l'expiration de mon certificat est arrivé !!!
Malheureusement, la méthode du tuto de domo-blog n'a pas fonctionné :

Vous pouvez également utiliser la ligne suivante dans votre crontab afin de demander un renouvellement tout les 89 jours, soit la veille de l’expiration de votre certificat. (Merci à Max pour cette astuce)

0 1 * * * bash -c ‘[ $(expr $(date +\%s) / 86400 \% 89) == 30 ] && /usr/local/sbin/certbot-auto renew >> /home/pi/ssl-renew.log 2>&1’

Pouvez-vous m'indiquer comment remettre en place le certificat ?
Je n'arrive pas a révoquer l'ancien certificat et les 3 commandes suivantes ne fonctionnent pas :

rm /etc/letsencrypt/live/domaine -r
rm /etc/letsencrypt/renewal/domaine.conf
rm /etc/letsencrypt/archive/domaine -r

Merci de votre aide

nicosoft
Timide
Messages : 42
Inscription : 07 déc. 2018, 22:07

Re: Accès externe sécurisé

Message par nicosoft » 10 juin 2019, 10:46

J'ai eu le même problème hier :D
lancer /etc/certbot-auto a été salvateur mais j'aurais à nouveau le problème dans 90 jours.

Quand j'édite /etc/crontab j'ai

Code : Tout sélectionner

# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user  command
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly
25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6    * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6    1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )


0 1 30 * * /etc/certbot-auto renew  >> /var/log/ssl-renew.log
0 1 * * * bash -c ‘[ $(expr $(date +\%s) / 86400 \% 89) == 30 ] && /usr/local/sb
in/certbot-auto renew >> /var/log/ssl-renew.log 2>&1’
Je n'ai surement pas mis mes lignes de cron au bon endroit mais n'étant pas un habitué de Linux, je sèche un peu....

Alex25
Timide
Messages : 38
Inscription : 30 déc. 2018, 12:00

Re: Accès externe sécurisé

Message par Alex25 » 10 juin 2019, 10:54

Idem pour moi il y'a 3 semaines.

Certificat non renouvelé automatiquement, expiré, j'ai réussi à en créer un nouveau en suivant le tuto (sans la partie révocation).

J'ai vérifié et comme vous la ligne est bien sans fautes dans le crontab, mais ça ne fonctionne pas. Aucun renouvellement au 30 de chaque mois.

Si quelqu'un chez qui ça marche peut nous éclairer ? La commande est-elle fausse ? Mal placée ?

Romesl
Timide
Messages : 96
Inscription : 13 déc. 2018, 18:38

Re: Accès externe sécurisé

Message par Romesl » 10 juin 2019, 13:04

Re,

J'ai tenté un /etc/certbot-auto, mais il m'affiche une erreur :


Certbot has problem setting up the virtual environment.

We were not be able to guess the right solution from your pip output.

Consult https://certbot.eff.org/docs/install.ht ... nvironment for possible solutions.
You may also find some support resources at https://certbot.eff.org/support/ .
$ Certbot has problem setting up the virtual environment.

We were not be able to guess the right solution from your pip
output.

Consult https://certbot.eff.org/docs/install.ht ... nvironment
for possible solutions.
You may also find some support resources at https://certbot.eff.org/support/ .

Une idée ?

Romesl
Timide
Messages : 96
Inscription : 13 déc. 2018, 18:38

Re: Accès externe sécurisé

Message par Romesl » 10 juin 2019, 21:15

Re,

Impossible de remettre en place un certificat !!!
1er problème, lorsque je lance la commande :
"sudo /etc/init.d/apache2 restart", voici ce qu'il m'affiche :
[....] Restarting apache2 (via systemctl): apache2.serviceWarning: apache2.service changed on disk. Run 'systemctl daemon-reload' to reload units.
. ok


Cela a t'il une incidence sur la suite ?

Networks514
Actif
Messages : 548
Inscription : 02 sept. 2016, 22:22

Re: Accès externe sécurisé

Message par Networks514 » 10 juin 2019, 22:25

Romesl a écrit :
10 juin 2019, 13:04
Re,

J'ai tenté un /etc/certbot-auto, mais il m'affiche une erreur :


Certbot has problem setting up the virtual environment.

We were not be able to guess the right solution from your pip output.

Consult https://certbot.eff.org/docs/install.ht ... nvironment for possible solutions.
You may also find some support resources at https://certbot.eff.org/support/ .
$ Certbot has problem setting up the virtual environment.

We were not be able to guess the right solution from your pip
output.

Consult https://certbot.eff.org/docs/install.ht ... nvironment
for possible solutions.
You may also find some support resources at https://certbot.eff.org/support/ .

Une idée ?
Cherche le message d’erreur qui est affiché : Certbot has problem setting up the virtual environment
Plusieurs fois évoqué sur le forum avec la solution
Networks514
Jeedom / Synology DS411j / Synology DS916+8G / Rpi3 / Zibase
Zwave / Enocean / Rflink / Xiaomi / Bluetooth

Éros
Timide
Messages : 8
Inscription : 10 juin 2019, 15:44

Re: Accès externe sécurisé

Message par Éros » 13 juin 2019, 17:56

Bonjour à tous,

J'ai pratiquement le même souci qu'Alex25.

En local, aucun problème pour accéder à Jeedom.
En http, j'ai accès depuis l'extérieur (4G)
En https, aucun accès depuis l'extérieur (4G).

J'utilise un sous-domaine fourni par Synology, à savoir, jeedom.XYZ.synology.me avec un certificat Let's Encrypt.

L'ip du synology : 192.168.1.77

Dans la box :
-Je redirige le port 80 vers le port 9080 pour le http, jusque là, c'est ok

-Je redirige le port 443 vers le port 9081 pour le https, et là, problème, j'ai du louper quelque chose :roll:

J'ai testé le NDD via ssllabs.com, avec https://jeedom.XYZ.synology.me

Merci d'avoir prit le temps de me lire :)
Screenshot_20190613-173212.png
Screenshot_20190613-173212.png (48.27 Kio) Consulté 228 fois
Capture4.PNG
Capture4.PNG (91.98 Kio) Consulté 228 fois

Networks514
Actif
Messages : 548
Inscription : 02 sept. 2016, 22:22

Re: Accès externe sécurisé

Message par Networks514 » 13 juin 2019, 19:58

Éros a écrit :
13 juin 2019, 17:56
Bonjour à tous,

J'ai pratiquement le même souci qu'Alex25.

En local, aucun problème pour accéder à Jeedom.
En http, j'ai accès depuis l'extérieur (4G)
En https, aucun accès depuis l'extérieur (4G).

J'utilise un sous-domaine fourni par Synology, à savoir, jeedom.XYZ.synology.me avec un certificat Let's Encrypt.

L'ip du synology : 192.168.1.77

Dans la box :
-Je redirige le port 80 vers le port 9080 pour le http, jusque là, c'est ok

-Je redirige le port 443 vers le port 9081 pour le https, et là, problème, j'ai du louper quelque chose :roll:

J'ai testé le NDD via ssllabs.com, avec https://jeedom.XYZ.synology.me

Merci d'avoir prit le temps de me lire :)

Screenshot_20190613-173212.png

Capture4.PNG
J’ai essayé de relire plusieurs fois, qq chose m'échappe.
Jeedom tourne sur ton syno ou autre chose (pi3, smart etc.) ?
Le certificat, tu l’as créé sur ton syno ou bien sur jeedom en ssh ?
Pour la redirection, par défaut, jeedom écoutera sur le port 443, je ne comprends pas ta redirection :
Soit de l'extérieur , tu mets https://jeedom.xyz.synology.me et là faut rédiger le port 443 vers le port 443 et l’ip de jeedom
Soit de l'extérieur , tu mets https://jeedom.xyz.synology.me:8091 et là faut rédiger le port 8091 vers le port 443 et l’ip de jeedom
Soit de l'extérieur , tu mets https://jeedom.xyz.synology.me:8091 et là faut rédiger le port 8091 vers le port 8091 et l’ip de jeedom et avoir modifier ta conf ssl.

Conseil, si tu veux utiliser un port autre que le 443, utilises le port 8443 qui est le seul (en plus du 443) compatible avec l’application telegram

Après tu rediriges peut être tout vers ton syno, mais là faut utiliser un reverse proxy.
Bref , donnes plus d’infos pour qu’on puisse t’apporter nos modestes lumières
Networks514
Jeedom / Synology DS411j / Synology DS916+8G / Rpi3 / Zibase
Zwave / Enocean / Rflink / Xiaomi / Bluetooth

Éros
Timide
Messages : 8
Inscription : 10 juin 2019, 15:44

Re: Accès externe sécurisé

Message par Éros » 13 juin 2019, 23:42

Bonsoir Networks514, merci d'avoir prit le temps de me répondre :) , effectivement je m'aperçois que j'ai omis certaines informations, quand on fait plusieurs choses en même temps, c'est pas la meilleure façon de faire...
Jeedom tourne sur ton syno ou autre chose (pi3, smart etc.) ?
Jeedom tourne sur Docker, installé sur un nas Synology (DS1815+ avec 12gb de ram)
Le certificat, tu l’as créé sur ton syno ou bien sur jeedom en ssh ?
Le certificat a été créé via le syno directement
Soit de l'extérieur , tu mets https://jeedom.xyz.synology.me et là faut rédiger le port 443 vers le port 443 et l’ip de jeedom
J'ai testé, mais ça n'a pas fonctionné
Soit de l'extérieur , tu mets https://jeedom.xyz.synology.me:8091 et là faut rédiger le port 8091 vers le port 443 et l’ip de jeedom
J'ai également testé, mais ça n'a pas fonctionné non plus
Soit de l'extérieur , tu mets https://jeedom.xyz.synology.me:8091 et là faut rédiger le port 8091 vers le port 8091 et l’ip de jeedom et avoir modifier ta conf ssl.
Pas essayé
Conseil, si tu veux utiliser un port autre que le 443, utilises le port 8443 qui est le seul (en plus du 443) compatible avec l’application telegram
Je n'utilise pas cette application. Je ne veux pas spécialement changer de port, c'était surtout pour tester
Après tu rediriges peut être tout vers ton syno, mais là faut utiliser un reverse proxy.
J'ai essayé aussi, mais j'ai aussi un problème

J'avoue que les règles des ports, des reverses proxys, etc, je m'y perds un peu...


(J'ai suivi ce tuto : http://sarakha63-domotique.fr/reverse-p ... ology-ssl/)
Capture.PNG
Capture.PNG (43.91 Kio) Consulté 209 fois

Networks514
Actif
Messages : 548
Inscription : 02 sept. 2016, 22:22

Re: Accès externe sécurisé

Message par Networks514 » 14 juin 2019, 00:04

Tu indiques avoir configuré le reverse proxy et utiliser le certificat du syno.
Ton reverse proxy est configuré pour renvoyer vers l’ip du syno et le port du syno. As tu essayer de mettre dans le reverse proxy en destination le port 9081 ? (J’imagine celui que tu as configuré sur docker)

Regardes le post viewtopic.php?f=67&t=45558&hilit=Docker#p734078, voir à demander à Didier3L qui tourne avec cette configuration depuis un moment ?

Pour ma part, j’ai abandonné docker car j’avais testé au tout début et avais eu beaucoup de bugs qui sont peut être du passé à ce jour, et ce qui m’ennuyait le plus était qu’a chaque mis à jour de DSM ou de package, ma domotique était peut être impactée.
J’utilise mon syno comme solution de backup avec VMM et mis une image stretch, et je n’ai pas de conf particulière et cela fonctionne très bien.
A+
Networks514
Jeedom / Synology DS411j / Synology DS916+8G / Rpi3 / Zibase
Zwave / Enocean / Rflink / Xiaomi / Bluetooth

Éros
Timide
Messages : 8
Inscription : 10 juin 2019, 15:44

Re: Accès externe sécurisé

Message par Éros » 14 juin 2019, 00:32

Ton reverse proxy est configuré pour renvoyer vers l’ip du syno et le port du syno. As tu essayer de mettre dans le reverse proxy en destination le port 9081 ? (J’imagine celui que tu as configuré sur docker)
Non c'est le 9080 sur docker, oui j'ai essayé :/

Regardes le post viewtopic.php?f=67&t=45558&hilit=Docker#p734078, voir à demander à Didier3L qui tourne avec cette configuration depuis un moment ?
C'est le tuto de Didier3L que j'ai suivi justement pour l'installation sur Docker
Pour ma part, j’ai abandonné docker car j’avais testé au tout début et avais eu beaucoup de bugs qui sont peut être du passé à ce jour, et ce qui m’ennuyait le plus était qu’a chaque mis à jour de DSM ou de package, ma domotique était peut être impactée.
J’utilise mon syno comme solution de backup avec VMM et mis une image stretch, et je n’ai pas de conf particulière et cela fonctionne très bien.
J'avais testé sur une machine virtuelle aussi, mais sur Docker ça m'a paru plus simple

Avatar de l’utilisateur
poluket
Helper
Messages : 1678
Inscription : 19 août 2017, 17:02
Localisation : Chastre - Belgique
Contact :

Re: Accès externe sécurisé

Message par poluket » 14 juin 2019, 11:11

Le plus simple. Utilise le reverse proxy de ton n'as et tu pointe sur le 9080 de jeedom
https://www.nas-forum.com/forum/topic/5 ... rse-proxy/
Helper Officiel Jeedom

Installation KNX + Sonos + Xiaomi Yeelight + Jeedom sur VM Proxmox + wifi unifi avec contrôleur + NAS DS1513+ + UPS + PFsense FW

Éros
Timide
Messages : 8
Inscription : 10 juin 2019, 15:44

Re: Accès externe sécurisé

Message par Éros » 14 juin 2019, 14:59

Merci poluket, c'est fait, mais tjs la même erreur qu'au dessus :/

Avec ou sans HSTS :|

Image

Avatar de l’utilisateur
poluket
Helper
Messages : 1678
Inscription : 19 août 2017, 17:02
Localisation : Chastre - Belgique
Contact :

Re: Accès externe sécurisé

Message par poluket » 14 juin 2019, 23:28

La destination, c'est le port 9080 du nas
Helper Officiel Jeedom

Installation KNX + Sonos + Xiaomi Yeelight + Jeedom sur VM Proxmox + wifi unifi avec contrôleur + NAS DS1513+ + UPS + PFsense FW

Éros
Timide
Messages : 8
Inscription : 10 juin 2019, 15:44

Re: Accès externe sécurisé

Message par Éros » 14 juin 2019, 23:49

Merci poluket,

Oui oui j'avais bien lu, mais même erreur :| , j'avais juste réutiliser la capture du dessus
Capture.PNG
Capture.PNG (45.03 Kio) Consulté 152 fois

Avatar de l’utilisateur
LuluDom
Timide
Messages : 108
Inscription : 30 oct. 2017, 12:51

Re: Accès externe sécurisé

Message par LuluDom » 16 juin 2019, 13:52

Romesl a écrit :
10 juin 2019, 13:04
Re,

J'ai tenté un /etc/certbot-auto, mais il m'affiche une erreur :


Certbot has problem setting up the virtual environment.

We were not be able to guess the right solution from your pip output.

Consult https://certbot.eff.org/docs/install.ht ... nvironment for possible solutions.
You may also find some support resources at https://certbot.eff.org/support/ .
$ Certbot has problem setting up the virtual environment.

We were not be able to guess the right solution from your pip
output.

Consult https://certbot.eff.org/docs/install.ht ... nvironment
for possible solutions.
You may also find some support resources at https://certbot.eff.org/support/ .

Une idée ?

J'ai aussi galéré lors de la recréation de mon certificat il y a quelques semaines. Voici les liens et conseils que j'ai utilisé pour ma part :
viewtopic.php?f=23&t=35339

Dis autrement, regarde déjà où la méthode de certificat que tu as déployé installe certbot-auto et utilise effectivement son chemin depuis la racine dans le commande du crontab pour éviter de lancer le mauvais certbot ou qu'il ne le trouve pas : selon les liens on voit effectivement:
- /opt/lestencrypt
- /etc/
- /usr/local/sbin/

Il semble que mon certificat ne s'est pas mis à jour après plus de 2 mois... alors que la commande préconisée dans le crontab ne marche pas en manuel en dehors du répertoire où est installé le certbot-auto et le crontab correspondant à l'installation du récent certificat... tandis qu'il y a un autre certbot-auto et crontab dans /etc/ vers lesquels malheureusement la commande "whereis" pointe sans que je sache pointer whereis sur ceux de /opt/letsencrypt... qui eux renouvèlent avec succès mon certificat depuis ce répertoire et seulement celui-ci et manuellement !

Bref je ne comprend pas tout... mais en exécutant manuellement la commande suivante (en sudo), qui ajoute de se déplacer dans le bon répertoire, le renouvèlement de certificat fonctionne depuis n'importe quel répertoire !

Code : Tout sélectionner

sudo -i
cd /opt/letsencrypt && /opt/letsencrypt/certbot-auto renew --no-self-upgrade --post-hook "systemctl restart apache2"
Par déduction, je parie que le bon crontab sera :

Code : Tout sélectionner

42 6 * * * cd /opt/letsencrypt && /opt/letsencrypt/certbot-auto renew --no-self-upgrade --post-hook "systemctl restart apache2"
Ne sachant pas quel crontab se lance, j'ai mis la ligne à la fois dans le crontab du répertoire /etc et dans celui du répertoire /opt/letsencrypt/.

Si quelqu'un comprend mieux et peut nettoyer ma configuraiton, je l'en remercie.

Si cette solution a fonctionné pour vous, merci de le signaler en retour SVP.

Répondre

Revenir vers « Utilisation »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités