La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: Lo2 le 07 mars 2019 à 19:56:32
-
Bonjour,
Je suis sous debian stretch avec nginx. Plusieurs sites sont configurés dessus avec leurs certificats respectifs. Je viens d'avoir la fibre. Hier tout marchait bien mais aujourd'hui impossible d'accéder à mes sites avec mes certificats. Et si j'ajoute, via le navigateur, une exception de sécurité, j'atterris sur le site de l'administration de la bbox.
Ça donne l'impression que le certificat de la bbox s'impose à mes sites malgré le paramétrage fait sur nginx.
Quelqu'un aurait une idée, une piste car je sèche depuis quelques heures.
Merci.
-
On dirait surtout que les ports que tu veux utiliser sont déjà utilisés par la BBox !
-
J'ai redirigé les requêtes utilisant le port 443 (et 80) du routeur bbox vers mon serveur multi-sites.
La bbox est en https donc utilise le port 443. Tu veux dire que la redirection ne marche pas à cause de ça?
Si oui, comment changer ce port pour la bbox car je ne vais pas demander à "internet" de pointer vers un autre port que le 443 pour accéder à mes sites lol.
-
Je pense que la redirection du port a sauté ou tu réalise le test depuis l'intérieur de ton réseau (il faut tester avec ton smartphone qui se connecte sur l'IP publique de ta box via la 4G)
-
Je pense que la redirection du port a sauté ou tu réalise le test depuis l'intérieur de ton réseau (il faut tester avec ton smartphone qui se connecte sur l'IP publique de ta box via la 4G)
Je teste de temps en temps par 4G mais je pense pas que je passe par mon réseau local avec les adresses de mon navigateur client.
Je suis allé dans le paramétrage de la bbox pour les redirections. J'ai arrêté les 2 redirections puis réactiver sans succès. Je vais rebooter la box (pas maintenant car madame regarde la tv).
Ça pourrait être ça car j'ai dû la rebooter pour valider mon portage de numéro fixe. Mais j'ai peur qu'un autre reboot ne provoque encore le même problème. Ou alors je vais rebooter en ayant désactiver les redirections au préalable.
Merci de l'aide. Je reviens dès que j'ai pu rebooter.
-
Tu as différents sites sur une même machine. La solution standard est de faire des virtual host avec des alias DNS, mais là tu n'as pas pu le faire je suppose, donc tu fais tourner tes sites web sur des ports différents ? Avec une redirection différentes pour chaque site ? Tu as pris quels numéros de port ?
A priori, Bouygues Telecom ne fait pas comme Free, partager une IP en 4, avec 1/4 des ports, mais dans ce cas effectivement cela pourrait ne pas marcher. Dans le cas d'un CGNAT non plus...
-
Je fais du multi-site avec "server_name" (https://stackoverflow.com/questions/14434120/nginx-set-multiple-server-name-with-ssl-support) sur le seul port 443. Et hier, ça marchait bien avec la bbox lors de la première installation.
J'ai rebooté la bbox (désactivé les redirections avant). J'ai rebooté puis réactivé les redirections et ça n'a rien changé.
-
Tu as activé l'accès à la bbox depuis l'extérieur ?
-
oui
-
Essaye de le désactiver, car ça utilise le port 443 côté WAN. Ensuite, essaye d'accéder à un des tes sites depuis un téléphone en 4g
-
Fait mais pas de changement. Faut rebooter la box? (car pas fait)
-
Normalement non. Ça te met encore l'interface de la box depuis l'extérieur malgré la désactivation du service ?
-
Normalement non. Ça te met encore l'interface de la box depuis l'extérieur malgré la désactivation du service ?
Non: "connexion échoué"
J'ai ça dans error.log de nginx:
0 2019/03/07 23:28:55 [warn] 459#459: "ssl_stapling" ignored, host not found in OCSP responder "ocsp.int-x3.letsencrypt.org"
161 2019/03/07 23:29:15 [warn] 928#928: "ssl_stapling" ignored, host not found in OCSP responder "ocsp.int-x3.letsencrypt.org"
-
Tu vois quelque chose dans access.log ? Tu as une erreur sur ton navigateur ? Quel code d'erreur ?
-
Oh punaise alleluia !!
En fait, je pense que c'était dû à l'accès à distance qui bloquait le port 443.
Mais y'avait un autre pb que j'ai créé en tentant une autre chose: je suis passé de l'éthernet au wifi (fait ça y'a environ 20 min) et j'avais oublié de rectifier mes redirections de port.
Grand merci à tous et bien sûr à lechercheur123 ! :D
-
Avec plaisir :)
-
L’accès à distance de la Bbox se faisant par le port 443, l'activer empêche un hébergement d'un autre service sur le port 443.
-
Je saurai m'en souvenir ;)
Ayant eu des pb avec un package debian juste avant, j'ai bcp investigué de ce côté pour rien.
Car hier tout marchait bien malgré cet accès à distance sur le port car je l'avais activé après alors que nginx s'était déjà accaparé de ce port. En rebootant la bbox, c'est l'accès à distance qui s'est servi la première sur ce port.
Bref, J'ai changé le port pour cette fonctionnalité et tout est rentré dans l'ordre.
-
Voila pourquoi ces CPE devraient se trouver derrière un routeur, qui lui heberge la connexion (ou ne pas se trouver du tout d'ailleurs) et non pas en frontal ...
-
Vu le nombre de routeurs perso qui sont piratés dans le monde et qui servent à faire du DDOS ou autre, car le mot de passe est resté par défaut, et/ou le firmware n'est pas mis à jour, je dirais que l'on est bien heureux en France que nos FAIS nous fournissent des boxs qu'eux mêmes configurent et mettent à jour.