Can't access to ynh.fr instance

pb similaire : [Résolu] Pas d'accès via le nom de domaine en .ynh.fr

Merci pour vos réponses.

@anonyme23, c’est pas bête du tout, j’ai vérifié plusieurs fois que rien n’avais bougé. Je te fais une capture de mes redirections de ports :


Ça n’a pas bougé depuis l’installation (qui doit dater du mois de mars environ). J’ai même déménagé courant mai et n’ai pas eu de problème jusqu’à ce que les noms de domaine soient hors service fin octobre/début novembre et c’est depuis que ça ne fonctionne plus. A moins que ma redirection de ports soit mauvaise? Dans ce cas ça aura été une chance que ça fonctionne aussi longtemps.

@marco, malheureusement le retour à la normale du domaine ynh.fr n’a pas suffit. J’ai bien vu le topic auquel tu fais référence similaire et suis tombé sur d’autres comparables. La différence avec Cafetiere est que https://www.whatsmydns.net/ me donne l’adresse IP de mon serveur sur la plupart des localisations (toutes sauf une ou deux). De même nslookup valinor.ynh.fr renvoie

Server: 127.0.1.1

Address: 127.0.1.1#53

Non-authoritative answer:

Name: valinor.ynh.fr

Address: 88.XX.XX.XX

J’ai lancé cette commande en dehors du réseau local depuis une machine virtuelle.

Sinon la commande yunohost domain add mondomaine.ynh.fr m’indique que le nom de domaine existe, de même que yunohost dyndns subscribe -d mondomaine.ynh.fr retourne une erreur car le nom de domaine est déjà enregistré (logique puisqu’il existe).

Bonjour,

as-tu essayé d’ouvrir et de rediriger tous les ports comme indiqué ici ?
extrait :

3. Rediriger les ports

Dans l’interface d’administration de votre box/routeur, il vous faut trouver une catégorie comme ‘Configuration du routeur’, ou ‘Redirections de ports’. Le nom diffère suivant le type / marque de la box…

Il vous faut ensuite rediriger chacun des ports listés ci-dessous vers l’IP locale de votre serveur pour que les différents services de YunoHost fonctionnent. Pour chacun d’eux, une redirection ‘TCP’ est nécessaire. Certains interfaces font références à un port ‘externe’ et un port ‘interne’ : dans notre cas il s’agit du même.

  • Web: 80 (HTTP), 443 (HTTPS)
  • SSH: 22
  • XMPP: 5222 (clients), 5269 (servers)
  • Email: 25, 587 (SMTP), 993 (IMAP)

Certains fournisseurs d’accès internet bloquent le port 25 (mail SMTP) par défaut pour combattre le spam. D’autres (plus rares) ne permettent pas d’utiliser librement les ports 80/443. En fonction de votre FAI, il peut être possible d’ouvrir ces ports dans l’interface… Voir cette page pour plus d’informations.

Oui, je me suis même basé sur cette page lors de l’installation de Yunohost pour connaître les numéros de ports à ouvrir.
Comme je l’ai montré sur la capture de mon message précédent, je me suis focalisé sur les ports XMPP et HTTPS. Je ne me sers pas du service mail et ne compte pas me connecter en SSH depuis l’extérieur, donc j’ai ignoré les autres ports. Il faudrait peut être rajouter le port 80 (HTTP)? Je ne pense pas que ça fasse la différence car ça fonctionnait avant sans lui. A moins qu’il y ait eu une mise à jour côté free et que mes ports soient redirigés mais malgré tout fermés? Ce serait bizarre et je ne sais pas si c’est possible. En plus, je pense que nslookup aurait renvoyé une erreur si c’était le cas.

Je testerai quand même ce soir et essaierai aussi de créer un nouveau nom de domaine. Ça me permettra de voir si c’est un souci au niveau de ce nom de domaine particulier ou si c’est bien à un autre niveau.

Merci en tout cas pour ta suggestion

Edit:
Par curiosité, j’ai fait un ping depuis la même machine virtuelle hors du réseau local qui m’avait résolu le nom de domaine avec la commande nslookup. J’ai dû tuer le processur à la main car il n’arrivait pas à atteindre le serveur:

ping valinor.ynh.fr
PING valinor.ynh.fr (88.XX.XX.XX) 56(84) bytes of data.
^C
--- valinor.ynh.fr ping statistics ---
994 packets transmitted, 0 received, 100% packet loss, time 1019908ms

Ça ressemble effectivement à des ports fermés, mais je ne vois pas ce qui a changé par rapport à avant les soucis niveau Yunohost de fin octobre/début novembre.

Il m’a semblé lire quelque part, que depuis le passage en IPv6, Free partageait les IPv4 vers plusieurs (4?) abonnés.
Il faudrait demander une IP Full Stack…
Tout ceci n’est qu’une hypothèse concernant ta problématique…

et ton serveur a bien l’adresse locale : 192.168.0.20 ?

et du coté de fail2ban, vois-tu quelque chose ?

pour le ping c’est peut-être différent :

  • c’est un autre port (je ne sais plus lequel) qui n’est pas redirigé,
  • avec ping 88.xxx tu ping ta box, de plus dans la config des box, on peut bloquer la réponse aux ping : pour, je crois, des raisons de sécurité, on fait le mort…

@anonyme23, j’ai vu que Free faisait ça depuis longtemps, bien avant que mon problème d’arrive. J’en prends note toutefois et si rien ne fonctionne je ferai la demande d’une adresse IP full stack.

@marco, oui c’est bien l’ip locale du serveur et elle fonctionne puisque je peux m’y connecter en SSH en local. Côté fail2ban, je ne comprends pas bien la sortie:

sudo tail /var/log/fail2ban.log
2020-01-08 08:57:33,408 fail2ban.jail           [1180]: INFO    Jail 'recidive' started
2020-01-08 08:57:33,450 fail2ban.jail           [1180]: INFO    Jail 'pam-generic' started
2020-01-08 08:57:33,505 fail2ban.jail           [1180]: INFO    Jail 'nextcloud' started
2020-01-08 08:57:33,587 fail2ban.jail           [1180]: INFO    Jail 'yunohost' started
2020-01-08 09:03:47,454 fail2ban.filter         [1180]: INFO    Log rotation detected for /var/log/nginx/access.log
2020-01-08 09:03:55,609 fail2ban.filter         [1180]: INFO    Log rotation detected for /var/log/nginx/error.log
2020-01-08 09:03:55,616 fail2ban.filter         [1180]: INFO    Log rotation detected for /var/log/nginx/error.log
2020-01-09 11:10:07,768 fail2ban.filter         [1180]: INFO    Log rotation detected for /var/log/nginx/valinor.ynh.fr-access.log
2020-01-09 13:40:24,891 fail2ban.filter         [1180]: INFO    Log rotation detected for /var/log/nginx/error.log
2020-01-09 13:40:24,895 fail2ban.filter         [1180]: INFO    Log rotation detected for /var/log/nginx/error.log

En ce qui concerne les lignes fail2ban.jail, je ne comprends rien du tout. Pour les autres, je suis allé voir dans les logs :

  • il y a peut être une piste sur /var/log/nginx/error.log :
2020/01/09 13:40:24 [error] 1118#1118: ocsp.int-x3.letsencrypt.org could not be resolved (110: Operation timed out) while requesting certificate status, responder: ocsp.int-x3.letsencrypt.org

Ce serait lié à letsencrypt?

  • /var/log/nginx/valinor.ynh.fr-access.log contient tout un tas de choses qui ressemblent aux accès faits en local
  • /var/log/nginx/access.log est vide

J’ai aussi tenté d’ouvrir le port 80, comme prévu ça ne change rien et créer un nouveau domaine ne m’a pas servi car le navigateur affichait que l’adresse était introuvable sans même réfléchir. D’ailleurs j’ai vu après coup ici que yunohost ne fournissait qu’un seul domaine offert à la fois, vous pensez que c’est lié? Du coup j’ai supprimé le domaine.

Question annexe d’ailleurs, est-ce qu’il faut que je demande la réinitialisation du nom de domaine (il est en ynh.fr) ou seulement le supprimer suffit?

Sinon pour le ping, c’est donc peut être normal, dommage que je n’ai pas eu la curiosité de tester quand ça fonctionnait.

pour fail2ban, je ne suis pas du tout un spécialiste, il y a des info inintéressantes ici : https://doc.ubuntu-fr.org/fail2ban

et quant à la limite à 1 sous domaine par utilisateur, je n’ai pas compris ce que cela veut dire exactement et quelles sont les conséquences. Si tu comprends, je suis preneur d’explications STP.

dans tous les cas, tiens nous au courant.

comment as-tu fait pour supprimer le nouveau sous domaine que tu venais de créer ? pour qu’il soit vraiment supprimé chez le possesseur du domaine ynh.fr il faut faire une demande de réinitialisation
enfin tout ceci est ma compréhension du fonctionnement, comme je te l’écrivais plus tôt, je n’ai pas d’expérience en administration de serveur.

Bonjour,
Il y a plusieurs questions :

  • je pense que Yunohost veut (peut) bien offrir un sous-domaine, plusieurs ce serait abuser, non ?
  • je pense que le deuxième sous-domaine n’a jamais été créé dans l’infrastructure Yunohost, mais seulement en local, donc suppression certainement possible en local.

C’est comme cela que je vois les choses, mais un dev/admin passant par là…

Pour le bannissement fail2ban, des infos ici

Est-ce que cela va solutionner le problème de @Rems ?

Salut,
@marco, merci pour le lien, je vais potasser ça. J’ai un peu cherché à comprendre hier soir mais je pense que mes neurones commençaient à se mettre en mode veille.

Pour le nom de domaine, je suis simplement passé par la webadmin. J’ai voulu faire simple et rapide, ce n’est pas ce que je fais d’habitude mais pour un test je me suis dit que ça suffirait. Dans la section Domaine, j’ai cliqué sur Nouveau domaine et pour le supprimer je suis allé sur la page du domaine et au cliqué sur le bouton supprimé. En y repensant dans la nuit je me suis dit que ça n’avait pas fonctionné car le domaine n’a pas dû être enregistré du côté Yunohost, comme l’a suggéré aussi @anonyme23.

@anonyme23, c’est vrai que ce serait abusé de pouvoir créer autant de nom de domaine que l’on souhaite, et comme dit dans la doc, ça limite aussi les coûts (et j’imagine la maintenance). C’est déjà super d’avoir un nom de domaine offert.

La nouvelle piste donc : fail2ban. merci pour la suggestion.

Salut à tous,
j’ai passé un moment à chercher des infos sur fail2ban mais n’ai rien trouvé qui aurait pu m’aider.
Du coup j’ai tenté une réinstall mais au final, c’est encore pire qu’avant : je n’arrive même pas à atteindre l’extérieur depuis mon RPi.

Voilà la sortie de ma post-install:

root@raspberrypi:~# yunohost tools postinstall
Main domain: mondomaine.ynh.fr
You are now about to define a new administration password. The password should be at least 8 characters - though it is good practice to use longer password (i.e. a passphrase) and/or to use various kind of characters (uppercase, lowercase, digits and special characters).
New administration password: 
Confirm new administration password: 
Error: Invalid url https://dyndns.yunohost.org/domains (does this site exists?)
Warning: dyndns_provider_unreachable
Info: Installing YunoHost…
Info: The configuration file '/etc/nsswitch.conf' is now managed by YunoHost.
Success! The configuration has been updated for service 'nsswitch'
Info: The configuration file '/etc/nslcd.conf' is now managed by YunoHost.
Success! The configuration has been updated for service 'nslcd'
Success! LDAP has been initialized
Success! The configuration has been updated for service 'ssl'
Success! The local certification authority has been created.
Success! Successfully installed a self-signed certificate for domain mondomaine.ynh.fr!
Success! The domain has been created
Success! The SSOwat configuration has been generated
Success! The main domain has been changed
Info: Your root password have been replaced by your admin password.
Success! The administration password has been changed
Success! The firewall has been reloaded
Error: Unable to retrieve the remote application list yunohost: HTTPSConnectionPool(host='app.yunohost.org', port=443): Max retries exceeded with url: /official.json (Caused by NewConnectionError('<requests.packages.urllib3.connection.VerifiedHTTPSConnection object at 0x7519b350>: Failed to establish a new connection: [Errno -2] Name or service not known',))
Synchronizing state of yunohost-firewall.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable yunohost-firewall
Success! The service 'yunohost-firewall' has been enabled
Success! The service 'yunohost-firewall' has been started
Info: The configuration file '/etc/default/glances' is now managed by YunoHost.
Success! The configuration has been updated for service 'glances'
Info: The configuration file '/etc/metronome/metronome.cfg.lua' is now managed by YunoHost.
Success! The configuration has been updated for service 'metronome'
Success! The configuration has been updated for service 'nginx'
Info: The configuration file '/etc/postfix/master.cf' is now managed by YunoHost.
Info: The configuration file '/etc/postfix/main.cf' is now managed by YunoHost.
Info: The configuration file '/etc/default/postsrsd' is now managed by YunoHost.
Success! The configuration has been updated for service 'postfix'
Info: The configuration file '/etc/etckeeper/etckeeper.conf' is now managed by YunoHost.
Success! The configuration has been updated for service 'yunohost'
Success! The configuration has been updated for service 'rspamd'
Info: The configuration file '/etc/default/dnsmasq' is now managed by YunoHost.
Info: The configuration file '/etc/dnsmasq.conf' is now managed by YunoHost.
Success! The configuration has been updated for service 'dnsmasq'
Info: The configuration file '/etc/fail2ban/jail.conf' is now managed by YunoHost.
Success! The configuration has been updated for service 'fail2ban'
Info: The configuration file '/etc/mysql/my.cnf' is now managed by YunoHost.
Success! The configuration has been updated for service 'mysql'
Info: The configuration file '/etc/avahi/avahi-daemon.conf' is now managed by YunoHost.
Success! The configuration has been updated for service 'avahi-daemon'
Info: The configuration file '/etc/dovecot/dovecot.conf' is now managed by YunoHost.
Success! The configuration has been updated for service 'dovecot'
Success! The configuration has been updated for service 'slapd'
Info: The configuration file '/etc/ssh/sshd_config' is now managed by YunoHost.
Success! The configuration has been updated for service 'ssh'
Success! YunoHost has been configured
Warning: The post-install is finished but YunoHost needs at least one user to work correctly, you should add one using 'yunohost user create' or the admin interface.

Il n’arrive même pas à atteindre https://dyndns.yunohost.org/domains et donc à enregistrer mon nom de domaine, à obtenir la liste des applications ou même à mettre à jour le système.
J’ai aussi tenté, ping -c 3 https://www.wikipedia.org m’affiche ping: https://www.wikipedia.org: Temporary failure in name resolution.

J’ai refait une passe sur la configuration de ma freebox :

  • j’ai assigné une adresse ip statique à mon serveur dans l’interface abonné
    Cela n’a pas fonctionné, il a fallu que j’édite le fichier /etc/dhcpcd.conf de mon yunohost pour y arriver.

  • j’ai redirigé les ports comme montré dans un de mes posts précédents,

  • j’ai ajouté l’adresse IP locale de mon serveur en tant qu’adresse IP DMZ,

  • j’ai vérifié qu’UPnP était bien actif.

Y aurait-il une étape que j’aurais raté? J’ai pourtant suivi la documentation pas à pas.
Bon weekend à tous

Bonjour,

As-tu regardé ici, notamment ce paragraphe :

Redirection automatique / UPnP
Une technologie nommée UPnP est disponible sur certains routeurs/box et permet de rediriger automatiquement des ports vers une machine qui le demande. Si UPnP est activé chez vous, exécuter cette commande devrait automatiquement rediriger les bons ports :

sudo yunohost firewall reload

Salut,
merci pour ta réponse mais oui j’ai vu cette page et la commande sudo yunohost firewall reload ne retourne pas d’erreur, mais n’a aucun effet.

Entre temps je suis repassé sur une adresse IP dynamique et j’ai réussi à enregistrer le nom de domaine et à mettre à jour mon serveur. C’est un peu dommage car je trouve plus logique d’avoir une IP statique pour un serveur mais bon…
Je suis donc revenu au même état qu’auparavant mais mes derniers déboires me font penser que le souci vient bien de la configuration de ma box.

En cherchant d’autres infos sur le forum j’ai trouvé notamment ce post, ce qui m’a donné de nouvelles idées. De plus, https://ports.yunohost.org/ m’indique que tous les ports sont ouverts quand je spécifie l’adresse IP publique plutôt que le nom de domaine.
Cela rejoint ce que tu suggérais, @anonyme23, sur le partage d’adresse IP V4. Ma plage de port va de 16384 à 32767 :
configFree

J’ai donc plusieurs questions :

  1. Est-ce qu’il ne suffirait pas de rediriger les ports internes entre 16384 et 32767 vers les ports externes correspondant (un truc du genre 16384+80 pour HTTP)?

  2. Est-ce que l’on peut tenter de faire comme proposé ici et ici

sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1

sans passer en IP V4 full stack?

  1. Est-il possible d’ouvrir les ports via l’adresse IP V6 plutôt que V4? Jusqu’à maintenant je n’ai pas trouvé comment faire.

  2. Je n’ai pas paramétré de Reverse DNS car je ne sais pas si c’est pertinent ou pas. Voilà ce que dit Free à propos du Reverse DNS :

A quoi cela sert-il ?
La personnalisation des DNS est généralement utile pour une utilisation “avancée” de votre connexion Internet. Cela facilite la mise en place des services Internet (serveur mail, web, …) sur votre connexion. Vous pouvez également plus facilement accéder à distance à votre machine (service ssh).

J’aurais tendance à penser que ce serait utile mais vu que mon serveur a fonctionné plusieurs mois sans ça je reste sceptique…

Voilà, j’aimerais comprendre encore ces quelques points avant de demander une adresse Full stack. Free affiche un gros message d’avertissement comme quoi l’opération est irréversible et je suis assez méfiant quand il s’agit d’opérations irréversibles.

Bonjour,
Le problème n’est pas l’adresse dynamique, Yunohost gère très bien. Si, en revanche, ton adresse IPv4 est partagée, je ne vois pas de solution.
Si tu n’as pas peur de tout casser, tu peux essayer de travailler seulement en IPv6, où tu dois avoir plusieurs IP qui te sont attribuées.
Yunohost est plutôt construit autour d’ IPv4, il fonctionne avec IPv6 ET IPv4. IPv6 seul je suis pas sûr. Mais bon c’est l’avenir, si tu trouves un “Fix” :exploding_head:
Si un dev/admin passe par là, il sera de bien meilleur conseil…

1 Like

Bonjour,
finalement, je n’ai pas réussi à trouver une astuce pour la redirection des ports avec une IP V4 partagée. C’était bien ça le souci car j’ai finalement réussi à refaire fonctionner mon instance en passant à une IP V4 Full Stack.
J’ai essayé de passer par l’adresse IP V6 mais je n’ai rien trouvé de concluant (ou alors je n’ai pas compris si je suis tombé sur une info pertinente). C’est dommage ça aurait pu être intéressant.

Merci en tout cas @anonyme23, ta première réponse était la solution. Je suis quand même content d’avoir cherché des alternatives car ça reste formateur. Merci aussi @marco d’avoir pris la peine de me répondre et d’avoir proposé des solutions.

Maintenant il n’y a plus qu’à tout reconfigurer :smile:

Bravo, content que tu aies trouvé une solution !

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.