Configuration post-install livebox orange

Mon serveur YunoHost

Matériel: V Raspberry Pi 4 à la maison
Version de YunoHost: 11.1.17
**J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non

Description du problème

J’utilise avec bonheur Yunohost depuis quelques mois, intallé sur un Raspberry Pi 4 et branché derrière une livebox fibre de chez Orange. Or, je rencontre trois problèmes, sans savoir s’ils sont liés:

  • un nombre d’erreurs important sur la page diagnostic (https://paste.yunohost.org/raw/asosoqotaz)
  • le certificat let’s encrypt ne se renouvelle pas automatiquement. je suis obligé d’utiliser la commande sudo yunohost domain cert-install -h --no-checks
  • je n’arrive pas à accéder à Nextcloud installé sur mon serveur Yunohost depuis l’extérieur avec mon ordiphone Google Pixel 6a. Ma compagne n’a aucun soucis avec son Huawei P8. en revanche, j’arrive à m’y connecter en étant connecté sur le wifi du réseau local ou via le navigateur depuis l’extérieur.

J’ai lu pas mal de choses sur les forums (de Yunohost ou non) mais rien n’est probant
Etant un noob complet en réseau, j’espère que quelqu’un pourra me prendre par la main pour y aller pas à pas. Désolé de ne pas pouvoir être plus précis dans la description de ma problématique.

kdut

Bonjour,

→ Le diagnostic te dit ce qui ne va pas (et parfois même comment le corriger).

[WARNING] Il y a eu récemment un grand nombre d'échecs d'authentification. Assurez-vous que Fail2Ban est en cours d'exécution et est correctement configuré, ou utilisez un port personnalisé pour SSH comme expliqué dans https://yunohost.org/security.

→ Lis ceci Sécurité | Yunohost Documentation et change ton port SSH. Que disent les journaux /var/log/auth.log et /var/log/fail2ban.log? Quelle est la configuration de fail2ban (prise en compte du nouveau port SSH)?

[ERROR] Le port 22 n'est pas accessible depuis l'extérieur en IPv6.
[ERROR] Le port 25 n'est pas accessible depuis l'extérieur en IPv6.
[ERROR] Le port 80 n'est pas accessible depuis l'extérieur en IPv6.
....
[ERROR] Le domaine maindomain.tld semble inaccessible en HTTP depuis l'extérieur du réseau local en IPv6, bien qu'il fonctionne en IPv4.

→ Tu as beaucoup d’erreurs en IPv6, il faut voir où ça coince (pare-feu de la box?) Tu peux désactiver l’IPv6 si tu n’en as pas besoin pour l’instant (paramètres yunohost).

[ERROR] Le reverse-DNS n'est pas correctement configuré. Il se peut que certains emails ne soient pas acheminés ou soient considérés comme du spam.
  DNS inverse actuel : xxx.abo.wanadoo.fr 
     Valeur attendue : maindomain.tld

→ Il faut renommer le reverse-DNS (PTR) dans ton espace orange si c’est possible.

[SUCCESS] 13 emails en attente dans les files d'attente de messagerie

→ Pourquoi les e-mails sont en attente? voir commandes mailq et les journaux /var/log/mail.info

[ERROR] Le service dnsmasq est failed :-(
  Vous pouvez essayer de redémarrer le service, et si cela ne fonctionne pas, consultez les journaux de service dans le webadmin (à partir de la ligne de commande, vous pouvez le faire avec 'yunohost service restart dnsmasq' et 'yunohost service log dnsmasq' ).

→ ici la réponse est donnée

  • le certificat let’s encrypt ne se renouvelle pas automatiquement. je suis obligé d’utiliser la commande sudo yunohost domain cert-install -h --no-checks

→ Peux-tu donner des détails? N’est-ce pas dû à ton diagnostic qui n’est pas bon (message dans les paramètres yunohost)?

  • je n’arrive pas à accéder à Nextcloud installé sur mon serveur Yunohost depuis l’extérieur avec mon ordiphone Google Pixel 6a. Ma compagne n’a aucun soucis avec son Huawei P8. en revanche, j’arrive à m’y connecter en étant connecté sur le wifi du réseau local ou via le navigateur depuis l’extérieur.

→ Je ne suis pas sur d’avoir bien compris. Tu parles de l’application? Parce que ton nextcloud est bien accessible de l’extérieur via un navigateur. Est-ce que c’est pas ton google pixel qui bloque ton domaine?

2 Likes

Salut,

Merci pour ton retour et ta patience. Il faut pas mal de temps au béotien que je suis pour comprendre.

→ Je viens de changer mon port SSH comme conseillé. Et si j’interprète bien ce que j’ai vu dans les logs, ça n’est pas superflu…
Les journaux /var/log/auth.log disent ceci : hastebin
Les journaux /var/log/fail2ban.log disent cela : hastebin

→ je viens de trouver comment ouvrir mes ports en IPV6 sur la livebox. le diagnostic semble maintenant ok sur ce point.

→ Orange ne permet pas de renommer le reverse-DNS sur l’interface du routeur. D’après la documentation, il faudrait que j’ai recours à un relais SMTP. En connaitrais-tu un de confiance. une recherche rapide sur internet me retourne MailJet mais ça m’a tout l’air d’être une bonne entreprise commerciale qui “offre” ce service gratuitement.

→ Orange bloque le port 25 et impossible de l’ouvrir, même en faisant un ticket au service client… je suppose que c’est pour cette raison que les mails restent bloqués.
Je songe sérieusement à prendre un VPN chez un CHATONS pour pallier à cela mais le manque de documentation en ligne pour sa mise en place me refroidit un peu :confused:

→ effectivement. Il semble que cela soit lié à Pihole que j’avais installé sur le serveur puis désinstallé (via interface graphique). j’ai réinitialisé le fichier de configuration avec yunohost tools regen-conf dnsmasq --force et le service s’est relancé.

→ à l’expiration du délai de validité du certificat (45jours), celui-ci échouait à se renouveler.
Bonne nouvelle, après toutes les manipulations ci-dessus, j’ai lancé un renouvellement manuel du certificat et miracle, ça a fonctionné. je verrai donc si dans 45jours le certificat se renouvelle bien tout seul.

→ idem que le point précédent : les manip réalisées ont réglé le problème. Visiblement mon ordiphone ne se connecte qu’en IPV6 (ou en tout cas, je suppose, du haut de mes quelques compétences :stuck_out_tongue: )

Voici le diagnostic après tout ceci : https://paste.yunohost.org/raw/fexepumofa

Encore une fois, 1000 merci pour ton aide et ta pédagogie!

kdut

Félicitations pour avoir résolu la plupart de ces points!
Moi aussi j’ai des milliards de choses à apprendre mais on est là pour s’entraider.

Pour le VPN, tu en as des très bien chez des membres de la FFDN comme faimaison.net ou arn-fai.net
Veille à prendre un VPN qui propose l’IPv6 également vu que tu as configuré ton réseau avec les deux protocoles (faimaison ne proposait pas d’IPv6 sur leur VPN il y a quelques années, aujourd’hui je n’en sais rien).
Pour la configuration, c’est pas compliqué!
Tu installes l’application vpn-client et tu mets le fichier de configuration vpn.
Et si jamais tu te demandes, un fichier .cube ressemble à ça: reseau:fichier_cube [Association FAImaison]

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.