Comment déployer son certificat Let'sencrypt sur un RaspberryPi ou sur un routeur Edgemax de Ubiquity.

[Jeff777]

Bonjour,

J'ai un certificat Let'sEncrypt (pour ndd et *.ndd) que j'ai déployé sur mes deux NAS . J'ai mis en place le HSTS Preload. J'utilise le Raspberry pour Pihole.

Tout cela fonctionne bien et j'accède avec mes entrées du reverse proxy à tous les services en https.

Sauf que je n'arrive pas à me connecter en https sur le Raspberry ou sur le Routeur avec le proxy inverse... j'utilise l'adresse locale en non sécurisé ce qui fait l'affaire en interne.

Faut-il que j'importe mon certificat sur les deux périphériques et dans ce cas comment faire?

Edit : Je sais ce n'est pas trop lié au NAS Synology mais le problème a dû se poser pour certains d'entre vous 😉

Modifié le 17 août 2021 par Jeff777

[oracle7]

@Jeff777

Bonjour,

Il y a 21 heures, Jeff777 a dit :

Sauf que je n'arrive pas à me connecter en https sur le Raspberry ou sur le Routeur avec le proxy inverse... j'utilise l'adresse locale en non sécurisé ce qui fait l'affaire en interne.

Faut-il que j'importe mon certificat sur les deux périphériques et dans ce cas comment faire?

Si tu utilises des URL (couvertes par ton wilcard) en https://rpi.ndd.tld 443 et https://routeur/ndd.tld 443 pour désigner respectivement ton RPI et ton routeur ET que tu rediriges chacune vers http://@IP locale:port de chacun, tu n'as pas besoin d'installer le certificat LE sur le RPI et/ou le routeur.

Si tu fais cela (redirections), alors je ne vois pas pourquoi tu ne te connecterais pas au RPI ou au routeur. Ce sont des machines comme les autres sur ton réseau local, non ?

Cordialement

oracle7😉

[Jeff777]

Bonjour @oracle7

Ben non. Si c'était aussi simple je ne poserais pas la question 🙁

Dès que j'ai un moment je te donne plus d'info...mais là faut que je passe la tondeuse

Modifié le 18 août 2021 par Jeff777

[Jeff777]

Bonjour @oracle7

Donc, bien sûr, avec mon Wildcard j'ai mes deux certificats raspberry.ndd et routeur.ndd. J'ai aussi deux entrées dans mes proxies inverses nas1 et 2 :

https://raspberry.ndd ==> http://IPlocaleraspberry idem pour routeur. Avec contrôle d'accès locale pour les deux.

 

Avec le proxy inverse Raspberry j'obtiens :

Chrome : site inaccessible qui n'autorise pas la connexion (on ne peux plus facilement insérer des images dans le forum..zut !)

Opéra : Apache2 Debian Default Page et si je rajoute admin j'arrive bien sur le Dashboard du Raspberry 😄 mais pas en sécurisé 😞

Dans les résultats du SSLLABS j'ai :

HSTS Preloading

Chrome  Edge  Firefox  IE

Pas Opéra Est-ce une piste ?

 

Pour routeur.ndd:

Chrome :

Votre connexion n'est pas privée

Des individus malveillants tentent peut-être de subtiliser vos informations personnelles sur le site monproxirouteur (mots de passe, messages ou numéros de carte de crédit, par exemple). En savoir plus

NET::ERR_CERT_AUTHORITY_INVALID

ActualiserMasquer les paramètres avancés

Un chiffrement est normalement utilisé sur le site monproxirouteur pour protéger vos informations. Lors de la dernière tentative de connexion de Google Chrome au site monproxirouteur, des identifiants inhabituels et incorrects ont été retournés. Il est possible qu'un individu malveillant tente de se faire passer pour monproxirouteur  ou qu'un écran de connexion Wi-Fi ait interrompu la connexion. Vos informations restent sécurisées, car nous avons arrêté la connexion avant l'échange des données.

Le site monproxirouteur est actuellement inaccessible, car il utilise la technologie HSTS. Les erreurs réseau et les attaques sont généralement temporaires. Vous devriez donc pouvoir accéder à cette page plus tard.

Opéra : j'ai également un warning à propos d'un individu malveillant mais pas de mention de HSTS (puisque qu'apparemment je ne suis pas encore préloaded chez eux) si je passe outre (je clique sur "même pas peur") j'arrive  sur la page d'accueil du routeur mais en non sécurisé.

 

Lorsque j'arrive sur les pages qui me conviennent mais en non sécurisé et que je clique sur le triangle Danger je n'ai pas de certificat sur raspberry et j'ai un certificat Ubiquiti dans routeur. C'est pour cette raison que j'essaie d'importer mon certificat dans les deux équipements. Mais je ne suis pas certain que ce soit la solution.

Si quelqu'un a la réponse il est le bienvenu 😁

 

[pluton212+]

Tu devrais essayer le vpn 

[Jeff777]

Pour l'instant j'essaie en local. Même en mettant le VPN ça ne change rien.

J'essaierai en 4G avec VPN pour voir.

Edit : testé c'est la même chose.

Pourtant il me semble qu'il y a quelque temps j'y arrivais sans pb.

Modifié le 19 août 2021 par Jeff777

[.Shad.]

C'est un cas classique d'utilisation de proxy inversé que tu as là, il doit y avoir une erreur grosse comme une maison dans ton infrastructure.
Reprend tout, tes URL, ta zone DNS, tes entrées de proxy inversé et ton certificat.

Modifié le 19 août 2021 par .Shad.

[Jeff777]

Il y a 7 heures, .Shad. a dit :

il doit y avoir une erreur grosse comme une maison dans ton infrastructure.
Reprend tout, tes URL, ta zone DNS, tes entrées de proxy inversé et ton certificat.

Oui c'est bien ce que je pensais et j'ai déjà tout vérifié c'est pour cela que j'ai fini par créer ce sujet.

Deux NAS en archi IPV4/IPV6 un raspberry en DNS du routeur avec pi_hole et maintenant du préloading et du contrôle d'accès  je multiplie les raisons de plantage. Je suis bien conscient qu'il n'y a que moi qui puisse trouver le problème 🙁

Modifié le 20 août 2021 par Jeff777

[.Shad.]

Est-ce que les nslookup des URL qui ne fonctionnent pas renvoient bien vers l'IP du proxy inversé ?

[Jeff777]

Ben oui...d'ailleurs avec la wildcard j'ai le même résultat avec tartanpion.ndd :

nslookup tartanpion ndd  8.8.8.8

Serveur : dns.google

Address 8.8.8.8

Réponse ne faisant pas autorité :

Nom : ns.ndd

Addresses  mes adresses publiques IPV4 et IPV6

Aliases :tartanpion.ndd

 

C'est barbant que je ne puisse plus insérer d'image. C'est parce que j'ai dépassé mon quota ?

 

 

[.Shad.]

Et localement ? Parce que 8.8.8.8 c'est juste bon pour la résolution externe.

[Jeff777]

Ah c'est peut-être là le problème ! J'ai l'adresse IP de mon raspberry ou de mon routeur et non l'IP des nas (donc des proxy inverses).

Je vais supprimer les entrées A des deux périphériques dans les zones locales pour voir.

 

Modifié le 20 août 2021 par Jeff777

[Jeff777]

Il va falloir un peu de temps que cela se mette en place. La zone slave du nas2 tarde à répondre. Mais je crois que tu m'as mis sur la piste.

Modifié le 20 août 2021 par Jeff777

[Jeff777]

Bon c'est bon pour raspberry.ndd c'est en sécurisé avec Chrome et Opéra. Il faut toujours que j'ajoute /admin pour arriver sur le Dashboard mais c'est mieux.

Par contre avec le routeur j'ai "too many redirects". A suivre...

[Jeff777]

Bonjour,

J'ai résolu le problème en utilisant une extension de Chrome (Redirect pass). Apparemment c'est à cause du preload. J'avoue ne pas avoir tout compris mais la liaison oscille entre http et https.

En changeant l'entrée du proxy inverse vers https://192.168.1.1:443  au lien de http://192.168.1.1:80 .....ça fonctionne.😁

....mais je n'ai pas toutes les valeurs du Dashboard 😒

Modifié le 22 août 2021 par Jeff777

[oracle7]

@Jeff777

Bonjour,

Autant je comprends aisément que ta correction d'@IP de destination pour tes entrées de reverse proxy soit la solution, autant j'ai plus de mal avec cette affaire d'extension Chrome. Pourquoi faudrait-il faire en plus une redirection d'URL avec cette extension à cause du HSTS ? Bizarre ... J'essaie juste de comprendre 🤔

Cordialement

oracle7😉

[Jeff777]

Bonsoir @oracle7

Non, l'extension m'a servi à faire un diagnostic...c'est tout 😉

[oracle7]

@Jeff777

Bonjour,

Du coup, j'aime mieux cela, cela est rassurant 😂

Donc finalement la solution était assez simple ... voir évidente à la réflexion, encore fallait-il y penser 😜

Cordialement

oracle7😉

[Jeff777]

Oui ......sauf que comme je disais plus haut je n'ai pas toutes les valeurs du Dashboard du routeur. Et cela je n'ai pas encore réussi à le résoudre .

[oracle7]

@Jeff777

Bonjour,

Juste pour comprendre, en quoi des valeurs spécifiques (celles qui te manques) du routeur seraient-elles dépendantes d'une connexion HTTPS ?

Je peux me tromper mais il y a sûrement autre chose qui bloque leur diffusion, logique non ? Et pourquoi pas un problème de droits d'accès (ce n'est qu'une possibilité bien sûr) ?

Cordialement

oracle7😉

 

[Jeff777]

Je viens de trouver...il suffit de sélectionner le websocket comme en-tête personnalisée.😎