Renouvellement certificat certbot source problème?

Nulll · Octobre 29, 2020, 8:48

Bonjour,

J’ai eu un été très occupé au point malheureusement de ne pouvoir consacrer du temps à mon installation Jeedom. Pourtant j’ai une angoisse. Que la carte mémoire SSD qui se trouve actuellement dans mon Raspberry pi 4, à force d’écritures, lâche durant ce temps. Pour éviter une blague de Murphy (la loi de) j’ai débranché le pi pour cette période.

Cet automne j’ai eu un message de Certbot me disant que mon certificat arriverait à échéance en novembre. Bah, pas de problème, avant de le débrancher j’avais justement fait ce qu’il fallait pour qu’il se renouvelle automatiquement.

Je l’ai donc rebranché récemment et une simple connexion m’a permis de constater que tout allait bien. Aucun problème pour accéder à ma console.

Franchement je ne me souviens plus comment j’avais paramétré le renouvellement. Aucune importance, il suffisait que je le laisse branché cela finirait bien par se faire avant l’échéance…

Mais voilà que quelques jours plus tard j’ai essayé d’y accéder de nouveau. Impossible. Le site ne répond pas Angoisse!!!

J’ai donc passé la journée la dessus et voilà ce que j’ai fait:

Testé l’URL sur des sites testeurs: Ne trouvent pas,
Vérifié mon nom de domaine et le sous domaine que j’ai affecté à Jeedom: Pas de problème
Finalement en rentrant l’IP avec http et accepté une connexion non sécurisée, j’ai pu me connecter. Ouf. C’est moins dramatique ainsi.
Depuis toutes les autres tentatives de connexion sur port 443 sont redirigées sur 80
Au niveau du certificat, j’ai fait une mise-à-jour manuelle. À la fin, cela disait que mon certificat n’a pas besoin d’être renouvelé parce que à jour (en effet la date d’échéance est maintenant en janvier). Donc mon renouvellement automatique aurait marché ces derniers jours.
Mon routeur à toujours la même config. Je l’ai regardé de près parce que j’ai récemment mis ses pilotes à jour. Mais je crois que c’était avant que je rebranche le pi.

Donc ma théorie, pour le moment, est de voir un lien de cause à effet entre le renouvellement du certificat et le problème. Sur les forums je vois des problèmes proches mais plutôt liés à une première installation. J’ai essayé d’adapter ce que je lisais mais … sans succès

SWR · Octobre 31, 2020, 9:11

Est ce normal d’avoir le port 443 dirigé vers 80?

naboleo · Octobre 31, 2020, 9:35

Salut,

En complément de la remarque pertinente de @SWR, pense aussi à regarder si le dns est correct car ça c’est pas clair :

Deux outils :

de quoi récupérer ton ip publique => http://www.whatismyip.com
de quoi faire les résolutions dns depuis l’exterieur (et plein d’autres trucs) => http://www.ping.eu

Nulll · Novembre 1, 2020, 2:58

Merci à vous deux,

Je n’ai pas encore pu regarder cela sérieusement depuis vos réponses.

Avant de parler de quelques tests, il faut savoir deux choses. D’abord, il y a environ un an, j’ai demandé l’assistance d’un ami en France (moi je suis au Canada) pour m’aider à finaliser l’installation Jeedom … et particulièrement l’installation du certificat et des quelques modifs pour que cela fonctionne. Il a pris le contrôle à distance et a fait ce qu’il faut. Donc excellent service et … mauvais service. Car je n’ai fou…ment aucune idée de ce qu’il a fait dans le détail pour cela.

En revanche, c’est moi qui a installé le renouvellement automatique en me fiant aux exemples du web. Tout semblait s’être bien passé …

Pour mon routeur, le port 80 et 443 sont bien redirigés vers adresse IP du pi (Oui j’ai vérifié que c’était toujours celle là qui était attribuée)

Donc pour la redirection de ports, voici:

Je me souviens que cet ami m’avait recommandé de laisser ouvert ce port 80 qui pointe vers Jeedom. Pourquoi? Bref, il est temps que j’apprenne.

L’autre info est à propos de mon DNS. À l’origine, en tant que travail autonome, j’avais créé un compte Google il y a bien longtemps. Google, permet d’acheter un nom de domaine et qu’il prenne la place de gmail.com dans l’adresse. J’en n’avais pas fait d’autres usages jusqu’à Jeedom. Donc là j’ai fouillé un peu et j’ai pu ajouter un sous domaine à cela.

En utilisant les outils (pratiques) de @naboleo voici les résultats:

Ping
|packets transmitted |9|
|—|—|
|received |0|
|packet loss |100 %|
|time |8283 ms|

*TraceRoute

*Recherche DNS

Port check

À moins que je me trompe, les autres outils ne sont pas pertinents pour mon problème.

Donc il est clair que j’ai un problème de port ouvert (443) en espérant que ce n’est que cela.

En revanche je me gratte la tête sur le pourquoi il n’est plus ouvert et ce que je dois faire maintenant.

En fait tout cela va doublement m’aider, car, dès que j’ai le temps, je remonte tout cela sur un support mémoire bien plus solide que la SSD. Malheureusement ce ne sera pas pour les prochaines semaines. Mais la réparation faite là va certainement m’aider à mieux comprendre pour plus tard.

Merci pour votre soutien et vos conseils

naboleo · Novembre 1, 2020, 6:25

Hello ami canadien.
Effectivement tu as avancé dans le diagnostic.
Si j’ai bien compris (la caféine n’est pas encore infusée), ton domaine (domotique.xxxx.com) existe toujours et pointe vers 192.222.x.y

il faut vérifier que c’est bien toi avec le résultat de whatismyip.com. Si les deux adresses ne sont pas les mêmes alors c’est un problème. C’est ce qu’on appellera ip publique par la suite

Ensuite, tu n’as pas 1 mais 2 problème de ports.

En effet il faut absolument que le port 80 de l’ip publique pointe vers le 80 de ton ip interne.
L’ip en question étant celle du matériel qui héberge jeedom.
Idem pour le port 443.
Il ne faut à ce niveau là pas ‹ croiser › les ports à savoir : 80 de l’ip publique vers 443 de l’ip interne.
Manque de chance sur le capture on ne voit que la moitié de l’information : il manque à mon un port et une ip au moins. Ça peut s’expliquer si matériel particulier (genre syno) mais dans le doute autant préciser.

Les deux ports doivent au final être open

Dernière chose il est possible qu’au final le 80 soit renvoyé vers le 443. Ça c’est le rôle du proxy et/ou apache. C’est valable pour ‹ forcer › le passage en https (plutôt que http) et c’est une bonne pratique. Par contre il faut que le reste soit effectif et correct avant. Ça veut peut être dire qu’il faut peut être désactiver ce mécanisme temporairement, le temps du renouvellement

Le ping qui ne fonctionne pas c’est logique… Sauf à explicitement l’autoriser, c’est toujours bloqué depuis internet

Tu es doute pas loin de la solution

Nulll · Novembre 1, 2020, 11:54

Hmmmm, juste pour que je ne me sente pas l’âme d’un usurpateur: Je suis aussi et nativement français. Installé définitivement depuis 95 et y venant depuis 82. Comme je suis à Montréal, je serai donc l’ami Québécois de préférence

J’ai donc testé le lien whatismyip.com. Résultat 192.222.225.138 qui est d’ailleurs l’IP que je retrouve sur mon routeur, heureusement sinon je comprends plus rien.

Dans ce que j’avais envoyé hier, mon sous domaine est différent de cela.

Voilà donc un gros doute m’est venu, et si j’avais été victime d’un changement d’IP puisque mon fournisseur ne peut me donner d’IP fixe? Sinon je ne vois vraiment pas l’origine d’une telle différence.

Bref, je suis retourné dans les paramètres enom et je viens de changer l’adresse IP du sous domaine pour celle trouvée par le lien. Je crois me souvenir que cela prend un peu de temps à prendre effet.
Je vous tiens au courant demain dans la journée.

Un grand merci encore pour votre coup de main!

Nulll · Novembre 2, 2020, 1:28

Yahouuuuuuuuu!!!
Retour à la normale

Donc rien à voir avec Certbot ou la mise à jour du routeur. Visiblement, mon IP a changé ces derniers temps. Jamais arrivé avant.

Encore un groooos merci

naboleo · Novembre 2, 2020, 2:01

Parfait !
Bises au Québec donc !

system · Novembre 3, 2020, 2:01

Ce sujet a été automatiquement fermé après 24 heures suivant le dernier commentaire. Aucune réponse n’est permise dorénavant.