Connexion impossible depuis l'extérieur et avec un certificat KO

Bonjour,

Mes parents n’arrivent pas à accéder à JC depuis l’extérieur alors que le certificat est expiré.
L’accès à cette même URL depuis un navigateur web fonctionne (en acceptant de passer outre ce problème de certificat).

Normalement cette version devrait accepter de se connecter même si le certificat n’est pas valide.

Coté plugin il n’y a rien à mettre et c’est ce qui m’étonne … aucun log ne s’enregistre en debug quand les connexions échouent.

Même problème depuis mon réseau WIFI ou depuis son accès 4G/5G mais depuis chez lui avec l’IP local ça marche bien

19:17:23 | INFO | [EV] retry connection
19:17:23 | DEBUG | sendToJcApi  {"url":"https://xxxxx.yyyy.fr:49443/plugins/JeedomConnect/core/api/JeedomConnect.api.php","data":{"method":"CONNECT","params":{"apiKey":"d24cd459xxxxxxxxxxxx317fa4a2efbc","deviceId":"26700bfdd5b09e4e","deviceName":"OnePlus Nord2 5G","userHash":"ZZyEJBiq3A0rGY7E7MiP3da0VAyGVbxxxxxxxxxxxxxxPpulVLas2jFXrz8NeH","appVersion":"1.12.0","pluginRequire":"1.7.1","token":"fL-1cWnKBXvoxxxxxxxxxx:APA91bFETiorRvjvTV5OOv1NK7TEKT4ywNsOoabe7eCmegCn6QdpIx4ZZ0I3ZhsqNIroGjKzd91xxxxxxxxxxxxx4gta-0ISb1tLdNZPf_dAoj-1stEffGKwBQB3r4H8te_k_AkdouK","platformOs":"android","osVersion":33,"appTypeVersion":"stable","buildVersion":"89"},"jsonrpc":"2.0","id":1744823843657}}
19:17:37 | INFO | App state changed to background
19:17:37 | DEBUG | [ConnectionManager][Polling] send data {"type":"SET_APPSTATE"}
19:17:37 | DEBUG | sendToJcApi  {"url":"https://xxxxx.yyyy.fr:49443/plugins/JeedomConnect/core/api/JeedomConnect.api.php","data":{"method":"SET_APPSTATE","params":{"state":"background","apiKey":"d24xxxxxxxxccb4fdf2653xxxxxa2efbc"},"jsonrpc":"2.0","id":1744823857782}}
19:17:38 | ERROR | Error in sendToJcApi CONNECT canceled
19:17:38 | ERROR | onConnectionError canceled
19:17:38 | ERROR | [Connection error {}

Informations Jeedom

Core : 4.4.19 (master)
DNS Jeedom : non

Plugin : Jeedom Connect
Version : 2025-03-02 16:35:44 (stable)
Statut Démon : Stoppé - (2022-07-01 07:30:03)

Informations complémentaires

Version JC : 1.13.0 stable
Version OS : debian 11.7
Version PHP : 7.4.33
Bin : ok / vNotif_2
Dépendances : ok

Equipements : 
  OnePlus AP (comme GP) : v1.12.0 stable sur android [os : 31] - PA
  Tab Yannick : non enregistré - PA
  Ipad : v1.8.0 stable sur ios [os : 16.3.1] - PA
  OnePlus 5 GP : v1.8.0 stable sur android [os : 29] - PA
  OnePlus AP : v1.8.0 stable sur android [os : 31] - PA
  OnePlus GP ancien : v1.7.0 stable sur android [os : 29] - PA
  Oneplus Nord2 GP : v1.12.0 stable sur android [os : 33] - PA

Salut,

Et … tu veux pas renouveler le certificat?

Hello Mips,

Si je voudrais bien mais ils sont en CGNAT et du coup j’ai plus accès au port 80 pour le renouvellement via certbot.

Tu connais une technique ?

Via l’enregistrement dns?

Me semble qu’il faut maîtriser la partie DNS ce qui n’est pas le cas chez Free

ah

c’est à dire pcq je connais rien à free (ni aucun autre provider francais); le nom de domaine est un sous-domaine de free?
donc tu n’as pas du tout accès la zone dns?

C’est ça, Free permet de délivrer un nom de domaine gratuitement sur l’un de leurs domaines. C’est rapide et ça fonctionne bien mais c’est un service très light donc pas d’accès à la zone DNS pour ajouter un record permettant de faire du renouvellement de certificat via DNS

J’avais cherché comment changer le port 80 au niveau de certbot mais j’ai rien trouvé

question bete mais …

… ca fait bien partie de la plage de port disponible sur leur connexion ?

Un petit dns jeedom?

Ou un nom de domaine perso (payant) et un « tunnel zero trust » sur cloudflare (gratuit)?

Après j’arrête promi car je ne répond pas à la question, je sais, mais ce sous domaine sans acces au dns avec CGNAT bridé c’est trop de misère versus 50€ selon moi

Oui, comme je le disais, l’accès fonctionne très bien depuis un navigateur web donc en utilisant ce port

En effet je peux m’en sortir en payant.

Pour l’heure je me dis qu’il y a d’autres choses à tenter avant d’en arriver là

je ne comprends pas la reponse

en IP local, tu n as pas besoin d utiliser ce port …

par contre ca devient necessaire pr un acces externe, qui là plante

voir simplement un vrai nom de domaine perso pour qlq €, qui pourra aussi servir a autres choses !
et etre « partagé » entre parents et (grand) enfant

Je reprends donc.

Accès externe (depuis un réseau mobile ou depuis un réseau wifi chez quelqu’un d’autre) via JC → KO

Accès externe (depuis un réseau mobile ou depuis un réseau wifi chez quelqu’un d’autre) via un navigateur web https://xxx.yyy.fr:49443 → OK

Accès interne (depuis chez lui sur son propre réseau wifi) via JC (donc évidemment en utilisant l’IP LAN et non l’adresse externe donc sur le port 80) → OK

juste pour le test, t as regardé pour prendre un domaine no-ip voir si ca passait !?

savoir si le probleme vient de free ou pas

Je peux paramétrer avec l’IP WAN directement aussi pour vérifier.

J’essaierai, j’ai pas spécialement pensé à ce test

Bonsoir,

Pour bon nombre de mes services, tant perso que pro, j’utilise zerotier one.
De n’importe où je me retrouve sur mon réseau local et je peux me connecter en http ou en ssh sans problème. C’est limité à 25 postes par réseau, et gratuit pour une utilisation perso.

C’est rapide et transparent une fois configuré et on peut en avoir plusieurs sur un même ordinateur.

Ça ne résoudra pas ton problème du moment mais pour une prochaine fois…

Salut @Bison

A tu regarde si le compte Free été en full stack ?
Car Free divise en deux les ports sur la ip.

Hello,

Justement non ce n’est pas du fullstack mais du CGNAT, c’est pourquoi je ne peux plus lui renouveler son certificat via certbot (qui attend un retour sur le port 80) depuis qu’il a changé de box pour passer à la fibre (en restant chez Free).

La plage de port est divisé en 4.

Je pense que je vais me pencher sur le passage en IPv6, ça devrait régler le problème.

A partir du compte Free tu peux faire une demande pour être en full stack.