Auteur Sujet: Conséquence désactivation IPv4 fixe full-stack (Lu 1233 fois)

vivien · « **Réponse #12 le:** **Hier** à 07:24:50 »

Oui buddy, certbot nécessite d'avoir un port 80 ouvert pour un challenge http. Cf doc du client officiel : https://certbot.eff.org/ qui mentionne bien la nécessité d'avoir un port 80 ouvert.

Le client qui a le port 80 (http) est le même que celui qui a le port 443 (https).

Winfried · « **Réponse #13 le:** **Hier** à 11:33:36 »

Merci pour la confirmation. Si c'est encore possible, je ré-activerai l'option IpV4 full-stack une fois passé à la fibre. Et le jour où Free la facturera, je regarderai s'il est plus économique de migrer vers de l'hébergement basique sur serveur mutualisé.

Pour l'HTTPS, effectivement, j'ai lu ça hier aussi. Vu que c'est de plus en plus obligé (cf. erreur remontée par Chrome quand on veut lire un site HTTP), même pour des sites qui ne le nécessitent objecrivement pas, c'est un paramètre à ajouter dans la check-list migration (alternative à certbot si ports 80/443 non disponibles).

zoc · « **Réponse #14 le:** **Aujourd'hui** à 08:36:40 »

Citation de: vivien le Hier à 07:24:50

Oui buddy, certbot nécessite d'avoir un port 80 ouvert pour un challenge http. Cf doc du client officiel : https://certbot.eff.org/ qui mentionne bien la nécessité d'avoir un port 80 ouvert.

Le client qui a le port 80 (http) est le même que celui qui a le port 443 (https).

let's encrypt est supposé supporter IPv6 (https://letsencrypt.org/docs/ipv6-support/), y compris pour le challenge HTTP (pas testé perso, j'utilise le challenge DNS), donc ça devrait quand même fonctionner.

simon · « **Réponse #15 le:** **Aujourd'hui** à 09:39:41 »

Je confirme, il le supporte. J'ai pas mal de serveurs v6-only qui n'utilisent que le challenge http, et le renouvellement n'a jamais échoué.

Winfried · « **Réponse #16 le:** **Aujourd'hui** à 12:48:46 »

Bon à savoir, mais on peut aussi vouloir du HTTPS sur IPv4 pour que le site soit accessible par tous, pas juste ceux en IPv6.

Je vais regarder si le challenge DNS règle le problème, comme alternative au challenge HTTP.

Autre question : comme une machine en IPv6 est directement acessible depuis le Net, le NAT n'est plus d'actualité. Une POP-S possède un firewall pour protéger les machines sans en installer un sur chacune ?

jeremyp3 · « **Réponse #17 le:** **Aujourd'hui** à 16:47:28 »

Citation de: Winfried le Aujourd'hui à 12:48:46

Bon à savoir, mais on peut aussi vouloir du HTTPS sur IPv4 pour que le site soit accessible par tous, pas juste ceux en IPv6.

le https sera bien entendu disponible sur ipv4 aussi même si le renouvellement de celui-ci se fait en ipv 6. c'est juste que si tu as pas le port 443 de dispo en ipv4, il faudra préciser le port dans l'url comme indiquer précédemment.

klim94 · « **Réponse #18 le:** **Aujourd'hui** à 18:19:22 »

Citation de: Winfried le Aujourd'hui à 12:48:46

Autre question : comme une machine en IPv6 est directement acessible depuis le Net, le NAT n'est plus d'actualité. Une POP-S possède un firewall pour protéger les machines sans en installer un sur chacune ?

Si vous activez le firewall ipv6 dans freeboxos (mini4k révolution pop delta ultra) il n'y aura pas d'accès depuis l'extérieur aux machines en ipv6 sur le réseau interne.
L'accès intérieur vers extérieur n'est pas impacté.
S'il faut un accès depuis l'extérieur vers l'intérieur en ipv6 il faudra désactiver le firewall de la box et filtrer sur les machines.

Winfried · « **Réponse #19 le:** **Aujourd'hui** à 19:09:55 »

Super 👍