Aller au contenu

Messages recommandés

Posté(e) (modifié)

Bonjour,

J'ai un certificat Let'sEncrypt (pour ndd et *.ndd) que j'ai déployé sur mes deux NAS . J'ai mis en place le HSTS Preload. J'utilise le Raspberry pour Pihole.

Tout cela fonctionne bien et j'accède avec mes entrées du reverse proxy à tous les services en https.

Sauf que je n'arrive pas à me connecter en https sur le Raspberry ou sur le Routeur avec le proxy inverse... j'utilise l'adresse locale en non sécurisé ce qui fait l'affaire en interne.

Faut-il que j'importe mon certificat sur les deux périphériques et dans ce cas comment faire?

Edit : Je sais ce n'est pas trop lié au NAS Synology mais le problème a dû se poser pour certains d'entre vous 😉

Modifié par Jeff777
Posté(e)

@Jeff777

Bonjour,

Il y a 21 heures, Jeff777 a dit :

Sauf que je n'arrive pas à me connecter en https sur le Raspberry ou sur le Routeur avec le proxy inverse... j'utilise l'adresse locale en non sécurisé ce qui fait l'affaire en interne.

Faut-il que j'importe mon certificat sur les deux périphériques et dans ce cas comment faire?

Si tu utilises des URL (couvertes par ton wilcard) en https://rpi.ndd.tld 443 et https://routeur/ndd.tld 443 pour désigner respectivement ton RPI et ton routeur ET que tu rediriges chacune vers http://@IP locale:port de chacun, tu n'as pas besoin d'installer le certificat LE sur le RPI et/ou le routeur.

Si tu fais cela (redirections), alors je ne vois pas pourquoi tu ne te connecterais pas au RPI ou au routeur. Ce sont des machines comme les autres sur ton réseau local, non ?

Cordialement

oracle7😉

Posté(e) (modifié)

Bonjour @oracle7

Ben non. Si c'était aussi simple je ne poserais pas la question 🙁

Dès que j'ai un moment je te donne plus d'info...mais là faut que je passe la tondeuse

Modifié par Jeff777
Posté(e)

Bonjour @oracle7

Donc, bien sûr, avec mon Wildcard j'ai mes deux certificats raspberry.ndd et routeur.ndd. J'ai aussi deux entrées dans mes proxies inverses nas1 et 2 :

https://raspberry.ndd ==> http://IPlocaleraspberry idem pour routeur. Avec contrôle d'accès locale pour les deux.

 

Avec le proxy inverse Raspberry j'obtiens :

Chrome : site inaccessible qui n'autorise pas la connexion (on ne peux plus facilement insérer des images dans le forum..zut !)

Opéra Apache2 Debian Default Page et si je rajoute admin j'arrive bien sur le Dashboard du Raspberry 😄 mais pas en sécurisé 😞

Dans les résultats du SSLLABS j'ai :

HSTS Preloading Chrome  Edge  Firefox  IE   

Pas Opéra Est-ce une piste ?

 

Pour routeur.ndd:

Chrome :

Votre connexion n'est pas privée

Des individus malveillants tentent peut-être de subtiliser vos informations personnelles sur le site monproxirouteur (mots de passe, messages ou numéros de carte de crédit, par exemple). En savoir plus

NET::ERR_CERT_AUTHORITY_INVALID
ActualiserMasquer les paramètres avancés

Un chiffrement est normalement utilisé sur le site monproxirouteur pour protéger vos informations. Lors de la dernière tentative de connexion de Google Chrome au site monproxirouteur, des identifiants inhabituels et incorrects ont été retournés. Il est possible qu'un individu malveillant tente de se faire passer pour monproxirouteur  ou qu'un écran de connexion Wi-Fi ait interrompu la connexion. Vos informations restent sécurisées, car nous avons arrêté la connexion avant l'échange des données.

Le site monproxirouteur est actuellement inaccessible, car il utilise la technologie HSTS. Les erreurs réseau et les attaques sont généralement temporaires. Vous devriez donc pouvoir accéder à cette page plus tard.

Opéra : j'ai également un warning à propos d'un individu malveillant mais pas de mention de HSTS (puisque qu'apparemment je ne suis pas encore préloaded chez eux) si je passe outre (je clique sur "même pas peur") j'arrive  sur la page d'accueil du routeur mais en non sécurisé.

 

Lorsque j'arrive sur les pages qui me conviennent mais en non sécurisé et que je clique sur le triangle Danger je n'ai pas de certificat sur raspberry et j'ai un certificat Ubiquiti dans routeur. C'est pour cette raison que j'essaie d'importer mon certificat dans les deux équipements. Mais je ne suis pas certain que ce soit la solution.

Si quelqu'un a la réponse il est le bienvenu 😁

 

Posté(e) (modifié)

Pour l'instant j'essaie en local. Même en mettant le VPN ça ne change rien.

J'essaierai en 4G avec VPN pour voir.

Edit : testé c'est la même chose.

Pourtant il me semble qu'il y a quelque temps j'y arrivais sans pb.

Modifié par Jeff777
Posté(e) (modifié)

C'est un cas classique d'utilisation de proxy inversé que tu as là, il doit y avoir une erreur grosse comme une maison dans ton infrastructure.
Reprend tout, tes URL, ta zone DNS, tes entrées de proxy inversé et ton certificat.

Modifié par .Shad.
Posté(e) (modifié)
Il y a 7 heures, .Shad. a dit :

il doit y avoir une erreur grosse comme une maison dans ton infrastructure.
Reprend tout, tes URL, ta zone DNS, tes entrées de proxy inversé et ton certificat.

Oui c'est bien ce que je pensais et j'ai déjà tout vérifié c'est pour cela que j'ai fini par créer ce sujet.

Deux NAS en archi IPV4/IPV6 un raspberry en DNS du routeur avec pi_hole et maintenant du préloading et du contrôle d'accès  je multiplie les raisons de plantage. Je suis bien conscient qu'il n'y a que moi qui puisse trouver le problème 🙁

Modifié par Jeff777
Posté(e)

Ben oui...d'ailleurs avec la wildcard j'ai le même résultat avec tartanpion.ndd :

nslookup tartanpion ndd  8.8.8.8

Serveur dns.google

Address 8.8.8.8

Réponse ne faisant pas autorité :

Nom : ns.ndd

Addresses  mes adresses publiques IPV4 et IPV6

Aliases :tartanpion.ndd

 

C'est barbant que je ne puisse plus insérer d'image. C'est parce que j'ai dépassé mon quota ?

 

 

Posté(e) (modifié)

Ah c'est peut-être là le problème ! J'ai l'adresse IP de mon raspberry ou de mon routeur et non l'IP des nas (donc des proxy inverses).

Je vais supprimer les entrées A des deux périphériques dans les zones locales pour voir.

 

Modifié par Jeff777
Posté(e) (modifié)

Il va falloir un peu de temps que cela se mette en place. La zone slave du nas2 tarde à répondre. Mais je crois que tu m'as mis sur la piste.

Modifié par Jeff777
Posté(e)

Bon c'est bon pour raspberry.ndd c'est en sécurisé avec Chrome et Opéra. Il faut toujours que j'ajoute /admin pour arriver sur le Dashboard mais c'est mieux.

Par contre avec le routeur j'ai "too many redirects". A suivre...

Posté(e) (modifié)

Bonjour,

J'ai résolu le problème en utilisant une extension de Chrome (Redirect pass). Apparemment c'est à cause du preload. J'avoue ne pas avoir tout compris mais la liaison oscille entre http et https.

En changeant l'entrée du proxy inverse vers https://192.168.1.1:443  au lien de http://192.168.1.1:80 .....ça fonctionne.😁

....mais je n'ai pas toutes les valeurs du Dashboard 😒

Modifié par Jeff777
Posté(e)

@Jeff777

Bonjour,

Autant je comprends aisément que ta correction d'@IP de destination pour tes entrées de reverse proxy soit la solution, autant j'ai plus de mal avec cette affaire d'extension Chrome. Pourquoi faudrait-il faire en plus une redirection d'URL avec cette extension à cause du HSTS ? Bizarre ... J'essaie juste de comprendre 🤔

Cordialement

oracle7😉

Posté(e)

@Jeff777

Bonjour,

Du coup, j'aime mieux cela, cela est rassurant 😂

Donc finalement la solution était assez simple ... voir évidente à la réflexion, encore fallait-il y penser 😜

Cordialement

oracle7😉

Posté(e)

Oui ......sauf que comme je disais plus haut je n'ai pas toutes les valeurs du Dashboard du routeur. Et cela je n'ai pas encore réussi à le résoudre .

Posté(e)

@Jeff777

Bonjour,

Juste pour comprendre, en quoi des valeurs spécifiques (celles qui te manques) du routeur seraient-elles dépendantes d'une connexion HTTPS ?

Je peux me tromper mais il y a sûrement autre chose qui bloque leur diffusion, logique non ? Et pourquoi pas un problème de droits d'accès (ce n'est qu'une possibilité bien sûr) ?

Cordialement

oracle7😉

 

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.