Err_connection_refused

:fr: J’ai un problème de connexion à mon serveur

Mon serveur YunoHost

Matériel: PC monté
Version de YunoHost: 4.0.8.2
J’ai accès à mon serveur : En SSH | Par la webadmin | En direct avec un clavier/écran | …
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : oui
Si oui, expliquer: j’ai récemment supprimer framapad et son nom de domaine associé

Description du problème

J’utilises yunohost pour un usage professionnel et nous sommes 3 à l’utiliser depuis chacun de chez nous. C’est moi qui m’assure de son bon fonctionnement.
Mais voilà, depuis hier mes collègues ont des trucs bizarre…

Il ont eu accès, puis plus, c’est à dire que peut importe le navigateur on leur affichait ça

Pour moi qui suit sur le même réseau local pas de problème.
Mais étrangement même en partage de connexion pour moi cela fonctionne.

Après leur avoir demandé de redémarrer leur ordi et de supprimer le cache, ils avaient toujours la même erreur. Donc à mon tour d’essayer de redémarrer mon serveur. Et au redémarrage ils ont re supprimer leur cache toujours rien.

Je fais un tour voir mes redirection DNS, je contrôle que mon ip public soit toujours la même, rien avait changé, du côté des DNS tout est ok, je regarde mes ports, tout est ouverts comme il faut.

Dans le diagnostique on me parle de mongod et mongodb, j’ai vu dans un autre topic que si on le supprimais cela pouvait aider… Donc c’est ce que j’ai fait et j’ai une erreur que pour mongod (alors c’est justement lui que j’ai supprimé et pas mongodb mais bref…)

Petite précision, je comprends certaines choses, mais quand il s’agit de comprendre en profondeur les choses je suis un noob…

Bon donc me voilà avec des paramètre DNS ok
Des ports ouverts comme il faut
Des machines qui ont redémarrer
Mes appareils qui fonctionnent très bien en local (et même en partage de co)
Et d’autres qui n’arrivent pas à acceder au serveur…

Je ne sais plus quoi faire… Je n’arrive même pas à diagnostiquer le problème…

Ébééé si le diagnostique ne râle pas (mongodb c’est pas lié apriori) j’ai pas trop d’idée … Si tu veux tu peux m’envoyer ton nom de domaine en MP et je peux voir pour reproduire le soucis

Je me demande si leur ip est pas black listé, en partage de co (donc avec leur ip 4G) ça fonctionne
Comment je trouve la listes des ip qui peuvent être ban ?

Avec genre tail -n 100 /var/log/fail2ban.log

Est-ce que la FAI n’aurait pas sans prévenir partagé ton ip avec d’autres abonné⋅es ? Du coup tu n’aurais plus la plage de ports de 0 à 10000, même si ton interface te dis que si…

Le ban est aussi une bonne piste.

Tu n’as pas confirmé que le Diagnostique (accessible depuis la webadmin) ne renvoyait aucune erreur .

Question, peut-être que vous avez des pistes là-dessus aussi.
J’accède sans problèmes au serveur en SSH, mais en local, de l’extérieur je ping dessus, il me demande mon mot de passe et il me met

Permission denied

Je regarde les log fail2ban mercredi quand j’aurais à nouveau accès au ssh en local.

Nouvelles informations (étonnantes aussi)
J’accède toujours au serveur en 4G en local avec mes outils, sauf qu’avec mon iPhone, j’ai l’application Nextcloud et document (pour collabora) et ni l’une ni l’autre n’arrive à m’ouvrir les documents…
Et mes collègues pour qui ça fonctionnait en partage de co 4G avec leur téléphone on à nouveau le même message d’erreur. Ils ont réussi à y accéder une seule fois.

@ljf Pour ce qui est du diagnostique si j’avais des erreurs avec mongodb et mongod, et j’avais vu dans un autre post qu’on pouvais supprimer mongod, donc c’est ce que j’ai fait. J’ai plus d’erreur avec mongodb mais toujours avec mongod (que j’ai pourtant supprimer :laughing:)

Testé ton domaine depuis chez moi et ça marche aussi, donc je ne sais pas ce qu’il se passe avec tes autres utilisateurices … Naivement je leur demanderais d’essayer depuis un autre navigateur ou une autre machine.

Bon j’ai désactivé le module fail2ban et apparement ça fonctionne.
Mais comment expliqué que d’un moment à un autre ils soient bloqué comme ça par fail2ban ?
Qu’ils arrivent à se connecter une fois avec une ip et pas 2 ?
Pour passer leurs ip en whitlist j’ai trouvé ça https://yunohost.org/#/fail2ban_fr, mais comment je peux faire pour identifier leurs ip ? Et comment je peux éviter que ça se reproduise ?

Pour ça il faudrait d’abord comprendre pourquoi ils se sont fait bannir (typiquement, genre trop de tentative de connexion échouée en SSH ou web). À ce stage j’imagine qu’ils sont tous derrière la même IP car ce serait quand même étrange sinon …

Si tu veux vraiment investiguer le pourquoi, tu peux regarder les logs de fail2ban dans /var/log/fail2ban.log. Il y a également des commandes pour lister les IP bannies et les débannir (typiquement j’imagine que si ils ont été ban aussi longtemps dans ton cas, c’est qu’ils sont tombé dans la jail ‘recidive’ …) : https://yunohost.org/#/fail2ban

Par contre désactiver complètement fail2ban c’est vraiment pas ouf … Ça veut dire que ton dernier seul rempart contre les attaques brute force, c’est la robustesse des mots de passe de ton système (et même si ils sont robuste, les robots qui font des attaques automatiques risquent de te flooder de requête…)

Ouais, après étudier les log c’est pas vraiment ma spécialité ! :laughing: Mais j’essaierais de regarder ça, à la limite je pourrais vous le poser ici pour regarder ?

Et ce qui est vraiment bizarre, c’est qu’ils sont pas tous sous la même ip… Ils étaient sous 2 wifi différents et ils ont réussi à se faire banir avec une ip 4G aussi…

Leurs mot de passes sont rempli automatiquement dans leur navigateur donc y’a pas d’histoire de trop de tentative, 'fin je pense pas, je me demande s’ils ont pas chopper un truc qui fait bugguer leur tentative de connexion, c’est possible ça ?

Et j’ai toujours ce truc en ssh qui me dis que la connexion est refusé, et leur modules nextcloud sur leurs ordis n’arrivent toujours pas à se connecter eux non plus avec les modules desktop, et même moi avec l’appli nextcloud sur mon iPhone j’ai une erreur

Erreur de connexion
500: Erreur interne du serveur

Donc impossible de synchroniser les fichiers (et c’est vraiment la merde ça :laughing:)

Pour ce qui est de la sécurité j’aimerais bien remettre fail2ban mais j’aimerais être sur d’avoir identifié le problème pour ne pas à être bloqué comme ça encore…

Personne n’a d’idée concernant :

  • La raison pour laquelle mes collègues ont été exclue avec fail2ban, ou une manière de savoir pourquoi ?
  • La raison pour laquelle, à la suite de la désactivation de fail2ban je ne peux plus synchroniser avec nextcloud, j’ai une erreur 500 avec mon appli, mais j’ai quand même accès au web
    C’est peut-être en lien avec mongod que j’ai supprimer ?
  • Et mon problème d’accès en ssh depuis l’extérieur…

Ok, donc l’erreur 500 de nextcloud c’est parcequ’il faut bien laisser nextcloud dans les visiteur concernant la gestion des groupes et autorisations.
yunohost > Utilisateurs > Gérer les groupes et les autorisations > Visiteurs > Ajouter une autorisation > Nextcloud

Pour le reste j’ai toujours pas de pistes…

Bonjour,

Pour fail2ban, si tu n’as aucune piste, il faudrait faire un test et regarder quelle prison bannie l’ip en premier avant de tomber dans la jail recidive.
Pour le faire il faudrait dé-bannir une des ip concernées et dès qu’elle se fait éjecter aller jeter un coup d’oeil.
Cette commande peut te servir pour lister les Ip bannies de chaque jail.

for jail in $(fail2ban-client status | grep 'Jail list:' | awk 'BEGIN {FS="\t"} {print $2}' | sed 's/, / /g');do echo "$jail:"; fail2ban-client status ${jail}| grep 'Banned IP list:'| awk 'BEGIN {FS="\t"} {print $2}' | sed 's/ /\n/g';done

Avant de pouvoir identifier quelle prison banni l’ip, il faut déjà la sortir de cette prison avant le test avec:

fail2ban-client set la_jail_concerné unbanip l’ip_banni

Ne peuvent-ils pas te les donner? Ça serait le plus simple. Sinon avec un service en ligne tu pourras rechercher la localisation pour toutes les ip bannies, par déduction tu devrais les identifier.

Alors il me semble avoir loupé quelque chose…

Est-ce que c’est bien ça qu’il fallait faire ?
Avec la première commande j’ai 3 ip qui sortent (ça correspond aux ip banni c’est ça ?

Et le sshd ça correspond à une des jail ?

Pourquoi après il me dit que mon ip (que j’ai copié collé des adresses ressorti avant) n’est pas ban… ?

Oui normalement c’est ça, (sauf si j’ai fais une erreur dans la commande, je ne crois pas mais je vérifierai quand j’aurai un moment).
sshd correspond à une jail mais le banissement est pour une durée limitée. Peut être étais-tu déjà sorti de la prison sshd quand tu as voulu supprimer le ban de l’ip.

Par contre aucune ip dans “recidive”, du coup le ban devrait être temporaire seulement.

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.