Auteur Sujet: Configuration BBOX 10G Fibre et routeur ASUS, modem 4G (Lu 2508 fois)

gtrhaychou · « **Réponse #12 le:** 25 mars 2025 à 16:54:33 »

Oui pour 1.
Je vais tester dès que j'ai du temps de dispo chez moi, désactiver la DMZ et router les ports VPN, 443 (etc) vers l'ASUS à la mano.

Oui pour 2.
Comment on vérifie cela ? Rien de très compliqué pour le serveur openvpn c'est basé sur ça : https://github.com/Nyr/openvpn-install
Pas de filtrage ajouté ou autre.
les seules commandes ajoutées sont

lxc.cgroup2.devices.allow: c 10:200 rwm
lxc.mount.entry: /dev/net dev/net none bind,create=dir

nicox11 · « **Réponse #13 le:** 25 mars 2025 à 17:14:52 »

Pour vérifier que les routes sont bien présente, tu pourrais nous donner le retour des commandes

Code: [Sélectionner]

ip route
ou

Code: [Sélectionner]

netstat -rn
?

Il faut que tes clients route correctement dans le VPN, que la passerelle route correctement vers les LAN et que ton routeur route correctement ton range VPN en direction de ton container (à moins que tu fasses un NAT ?). Tu nous as pas donné le range IP des client du VPN.

De plus, vu que ça à l'air d'être un linux, il faut bien activer le forwarding des paquets vu que tu agis en passerelle.
Que donne :

Code: [Sélectionner]

# cat /proc/sys/net/ipv4/ip_forward
? Cela doit renvoyer "1"

buddy · « **Réponse #14 le:** 25 mars 2025 à 17:22:45 »

Citation de: gtrhaychou le 25 mars 2025 à 16:34:38

J'ai cru voir que Let's Encrypt fermait ses portes aussi, peut-être y a t'il un sujet là dessus.

Il ne ferme pas leur porte, juste ils arretent de te dire quand ton certificat va expirer. c'est à toi de le monitorer et de vérifier que le renouvellement a bien été fait à temps.

gtrhaychou · « **Réponse #15 le:** 27 mars 2025 à 16:56:56 »

Déjà, je tenais à vous remercier, chacun pour prendre le temps de me répondre de manière détaillée, j'apprécie.

Ensuite, j'ai fait plusieurs tests.

Merci pour la précision de Let's Encrypt. Je suis rassuré, je n'avais pas compris.

Le premier, j'ai regardé si en adressant mon domaine de l'extérieur (que ce soit avec l'IP ou le sousdomaine.domaine.ovh) + numéro du port, je tapais sur des équipements.
A ce stade, je suis en DMZ.

Pour faire le point :

DMZ vers Asus
443 => ip apache port 443
80 => ip apache port 80
8443 => HTTPS de mon NAS
1194 => OpenVPN

Donc j'ai pris celui du NAS par exemple et là j'y accède ! Donc la DMZ marcherait ? (que ce soit avec sousdomaine.domaine.ovh ou IP:8443) je tombe dessus.

Maintenant, je veux essayer
https://sousdomaine1.domaine.ovh qui a sa redirection (apache) vers ma domotique
https://sousdomaine2.domaine.ovh qui a sa redirection (apache) vers l'administration asus

A chaque fois je tombe sur l'interface de la BBOX.

Aux questions de nicox11, je ne suis pas sûr d'où je dois exécuter les commandes.

Dans le LXC du VPN, ça donne :

Code: [Sélectionner]

root@OpenVPN-Server:~# ip route
default via 192.168.2.1 dev eth0
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1
192.168.2.0/24 dev eth0 proto kernel scope link src 192.168.2.143

Code: [Sélectionner]

root@OpenVPN-Server:~# cat /proc/sys/net/ipv4/ip_forward
1

D'une machine Linux sur le LAN :

Code: [Sélectionner]

└──╼ #cat /proc/sys/net/ipv4/ip_forward
0

Code: [Sélectionner]

ip route
default via 192.168.2.1 dev vmbr0 proto kernel onlink
192.168.2.0/24 dev vmbr0 proto kernel scope link src 192.168.2.80

En creusant sur l'ASUS, je vois ça dans Relais Nat...

Je passe en désactivé et là magie !
J'ai accès aux IP du VPN.
Par contre, j'ai gardé le NAT sur l'Ethernet4 (Modem4G) et NAT sur le WAN (BBOX) sinon je n'ai plus de VPN.

Allez un point de clôturé, merci !

gtrhaychou · « **Réponse #16 le:** 27 mars 2025 à 17:03:47 »

J'ai repris à tête reposée ensuite Apache.

Je tente un renew et là paf...
je commence à me demander si les redirections ne sont pas KO.

Code: [Sélectionner]

certbot renew && /etc/init.d/apache2 restart
Donne :

Code: [Sélectionner]

Cert is due for renewal, auto-renewing...
Plugins selected: Authenticator apache, Installer apache
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for YYYY.XXXX.ovh
http-01 challenge for YYYY.XXXX.ovh
http-01 challenge for YYYY.XXXX.ovh
http-01 challenge for YYYY.XXXX.ovh
http-01 challenge for YYYY.XXXX.ovh
http-01 challenge for XXXX.ovh
Waiting for verification...
Cleaning up challenges
Attempting to renew cert (XXXX.ovh) from /etc/letsencrypt/renewal/XXXX.ovh.conf produced an unexpected error: Failed authorization procedure. XXXX.ovh (http-01): urn:ietf:params:acme:error:dns :: XX.XXX.33.5: Fetching http://www.XXXX.ovh/.well-known/acme-challenge/XXXX_XXX: no valid A records found for www.XXXX.ovh; no valid AAAA records found for www.XXXX.ovh. Skipping.
All renewal attempts failed. The following certs could not be renewed:
  /etc/letsencrypt/live/www.XXXX.ovh/fullchain.pem (failure)
  /etc/letsencrypt/live/XXXX.ovh/fullchain.pem (failure)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

The following certs are not due for renewal yet:
  /etc/letsencrypt/live/YYYY.XXXX.ovh-0001/fullchain.pem expires on 2025-06-21 (skipped)
  /etc/letsencrypt/live/YYYY.XXXX.ovh-0002/fullchain.pem expires on 2025-05-07 (skipped)
All renewal attempts failed. The following certs could not be renewed:
  /etc/letsencrypt/live/www.XXXX.ovh/fullchain.pem (failure)
  /etc/letsencrypt/live/XXXX.ovh/fullchain.pem (failure)

Additionally, the following renewal configurations were invalid:
  /etc/letsencrypt/renewal/YYYY.XXXX.ovh.conf (parsefail)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
2 renew failure(s), 1 parse failure(s)

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: XXXX.ovh
   Type:   None
   Detail: 213.186.33.5: Fetching
   http://www.XXXX.ovh/.well-known/acme-challenge/YYYY_PuZyDl52k4GaElX73QSE:
   no valid A records found for www.XXXX.ovh; no valid AAAA records
   found for www.XXXX.ovh
 - The following errors were reported by the server:

   Domain: XXXX.ovh
   Type:   None
   Detail: 213.186.33.5: Fetching
   http://www.XXXX.ovh/.well-known/acme-challenge/yXj-bmSMOD-mV0ZdhO75hJfU91d1r7c6D1UcTzHldMQ:
   no valid A records found for www.XXXX.ovh; no valid AAAA records
   found for www.XXXX.ovh

   Domain: www.XXXX.ovh
   Type:   None
   Detail: no valid A records found for www.XXXX.ovh; no valid AAAA
   records found for www.XXXX.ovh

Quelque chose me dit que c'est côté apache et redirection le souci.
Par contre, je ne comprends pas pourquoi j'ai pas une page KO plutôt que l'interface de la BBOX.

A l'époque, j'avais mis en place avec 2 fichiers conf pour chaque sous-site.
Un premier pour le port 80 qui renvoie vers le HTTPS ; un second pour le 443.

Pour le 80 :

Code: [Sélectionner]

<VirtualHost *:80>

        ProxyPreserveHost On
        ServerName XXXX.YYY.ovh

        ProxyRequests     Off
        ProxyPreserveHost On
        ProxyPass  / http://192.168.2.90 keepalive=On retry=5
        ProxyPassReverse / https://192.168.2.90

       ErrorLog /var/log/apache2/XXXXX_error.log
       CustomLog /var/log/apache2/XXXXX_access.log combined

       RewriteEngine on
       RewriteCond %{SERVER_NAME} =XXXX.YYYY.ovh

       RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

Pour le 443 :

Code: [Sélectionner]

<IfModule mod_ssl.c>
<VirtualHost *:443>

       ProxyPreserveHost On
       ServerName XXXXX.YYYYY.ovh

       ProxyRequests     Off
       ProxyPreserveHost On
       ProxyPass  / http://192.168.2.90/ keepalive=On retry=5
       ProxyPassReverse / http://192.168.2.90/

       ErrorLog /var/log/apache2/XXX_error.log
       CustomLog /var/log/apache2/XXXX_access.log combined

       Include /etc/letsencrypt/options-ssl-apache.conf
       RewriteEngine on
       #SSLCertificateFile /etc/letsencrypt/live-ecdsa/www.YYYY.ovh/LE/fullchain.pem
       #SSLCertificateKeyFile /etc/letsencrypt/live-ecdsa/www.YYYY.ovh/privkey-p384.pem
       SSLEngine on

<IfModule mod_headers.c>
        <FilesMatch "\.(css|js|png|jpeg|jpg|ttf|woff)$">
                Header set Cache-Control "max-age=7200"
        </FilesMatch>
        <FilesMatch ".*(getResources.php)">
                Header set Cache-Control "max-age=7200"
        </FilesMatch>
        <FilesMatch ".*(getJS.php)">
                Header set Cache-Control "max-age=7200"
        </FilesMatch>
</IfModule>

              SSLCertificateFile /etc/letsencrypt/live/XXXX.YYYY.ovh-0002/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/XXX.YYYY.ovh-0002/privkey.pem
</VirtualHost>
</IfModule>

J'ai regardé les 2 logs au cas où. _error est vide.
Le _access a 2 lignes qui date de 7:55 ce matin... d'une IP, Mozilla etc. Rien de très probant.

Pour lever tout doute, je suis allé voir l'interface OVH, l'IP bouygues est bien cible du domaine. Ras

.