Auteur Sujet: Redirection de port 80 impossible ! (Lu 11339 fois)

zoc · « **Réponse #24 le:** 20 août 2020 à 09:48:51 »

Qui a parlé d'UDP ?

Le thermostat est accessible en TCP sur le port 80, voir 8081/8083.

vivien · « **Réponse #25 le:** 20 août 2020 à 14:00:36 »

La règle c'est ce qui est connecté directement à Internet doit recevoir des mises à jour de sécurité régulièrement.

Les équipements pour une raison ou une autre ne reçoivent pas de mise à jour de sécurité devraient être accessible uniquement via un équipement tiers.

Par exemple si tu as un Raspberry Pi, il est possible d'exposer SSH de ce Raspberry Pi sur Internet et d'utiliser la commande SSH (elle est même dispo sous Windows 10 maintenant) pour te connecter à ton thermostat à distance.

Exemple :
ssh -p 522 -L 80:192.168.0.10:80 login@mon_ip_publique

522 : le port où Raspberry Pi écoute avec SSH (éviter le port 22 par défaut)
login : le login sur ton Raspberry Pi
192.168.0.10 : IPv4 de ton thermostat
mon_ip_publique : IPv4 publique de ta box internet

il faudra te rendre sur http://127.0.0.1/ pour accéder à ton thermostat hors de chez toi (après avoir passé la commande SSH)

Thornhill · « **Réponse #26 le:** 20 août 2020 à 14:43:52 »

Citation de: vivien le 20 août 2020 à 14:00:36

il faudra te rendre sur http://127.0.0.1/ pour accéder à ton thermostat hors de chez toi (après avoir passé la commande SSH)

Le tunnel SSH permanent est automatisable sous Windows avec une appli de mapping comme Bitvise SSH Client par exemple.

olppp · « **Réponse #27 le:** 20 août 2020 à 15:17:55 »

pour du vieux matos avec l'https troué et pas de mise à jour possible, j'ai tout remis en http port 80 et j'ai mis un reverse proxy https nginx en frontal avec certificats lessencrypt.

vivien · « **Réponse #28 le:** 20 août 2020 à 15:45:06 »

olppp tu détaille la configuration ?

Tu as donc une première authentification sur nginx et une seconde sur le matériel troué ?

olppp · « **Réponse #29 le:** 20 août 2020 à 23:12:32 »

non la redirection est en http. le reverse proxy fait aussi de la redirection ipv6 vers ipv4 pour vieux truc pas v6.

Code: [Sélectionner]

server {

        server_name dibule.example.info;
#       access_log  /var/log/nginx/dibule.example.info.log main;

        location ~* / {
                proxy_pass http://192.168.1.99;
#                proxy_redirect     http://192.168.1.99 https://dibule.example.info;
                proxy_redirect     off;
                proxy_set_header   Host             $host;
                proxy_set_header   X-Real-IP        $remote_addr;
                proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
                proxy_set_header   X-Forwarded-Host $host:$server_port;
                proxy_set_header   X-Forwarded-Proto $scheme;
                proxy_hide_header   Referer;
                proxy_hide_header   Origin;
                proxy_set_header    Referer           '';
                proxy_set_header    Origin            '';

                }

    
    listen [::]:443 ssl ; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/dibule.example.info/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/dibule.example.info/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}
server {
    if ($host = dibule.example.info) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


        listen 80 ;
        listen [::]:80 ;
    server_name dibule.example.info;
    return 404; # managed by Certbot

}

L'authentification sur dibule est un simple username/password.
Le serveur nginx tourne sur une carte arm64 Orange Pi PC2.
La famille des dibules est référencée au niveau dns par des CNAME qui pointe vers le serveur nginx qui lui a seulement un AAAA.