[Resolu] Dyn Dns & Let's Encrypt

Support
, ,
1

What type of hardware are you using: Other ARM board
What YunoHost version are you running: 12.0.12 (stable)
How are you able to access your server: The webadmin
SSH
Are you in a special context or did you perform specific tweaking on your YunoHost instance ?: No

Describe your issue

Comme mon FAI ne me donne pas d’adresse IP fixe, j’ai pris un nom de domaine chez Infomaniak qui a une option DynDNS. Chez Infomaniak, les DNS sont dirigées vers l’adresse de mon routeur. Dans mon routeur les port 80 et 443 sont ouverts interne/externe. Je n’arrive pas à avoir de certificat Let’s Encrypt

Share relevant logs or error messages

Les logs généraux
https://paste.yunohost.org/raw/omozideyes
L’erreur Let’s Encrypt
https://paste.yunohost.org/raw/amoxecafas

2

Bonjour,

Les journaux indiquent un problème potentiel de pare-feu avec le message suivant :

(likely firewall problem)', ‘status’: 400}

Veuillez vous assurer que votre site web est accessible sur le port 80 depuis un réseau extérieur à votre domicile.

Un test rapide pour vérifier la connexion peut être effectué en utilisant ce site web : HTTP Response Test - Test Your HTTP Status - MxToolBox.

De plus, vérifiez les paramètres de redirection de port(port forwarding) de votre routeur pour vous assurer que le trafic arrivant sur le port 80 est correctement redirigé vers votre serveur Yunohost.

3

De fait, j’ai un problème, il dit : HTTP Connect The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Quand je fais curl -Iv , j’obtiens

curl -Iv http://monsite.eu  # Teste le port 80
* Host monsite.eu:80 was resolved.
* IPv6: (none)
* IPv4: 192.168.129.15
*   Trying 192.168.129.15:80...
* Connected to monsite.eu (192.168.129.15) port 80
> HEAD / HTTP/1.1
> Host: monsite.eu
> User-Agent: curl/8.5.0
> Accept: */*
> 
< HTTP/1.1 301 Moved Permanently
HTTP/1.1 301 Moved Permanently
< Server: nginx
Server: nginx
< Date: Wed, 02 Apr 2025 11:20:39 GMT
Date: Wed, 02 Apr 2025 11:20:39 GMT
< Content-Type: text/html
Content-Type: text/html
< Content-Length: 162
Content-Length: 162
< Connection: keep-alive
Connection: keep-alive
< Location: https://monsite.eu/
Location: https://monsite.eu/
* Connection #0 to host monsite.eu left intact

 curl -Iv https://monsite.eu  # Teste le port 443
* Host monsite.eu:443 was resolved.
* IPv6: (none)
* IPv4: 192.168.129.15
*   Trying 192.168.129.15:443...
* Connected to monsite.eu (192.168.129.15) port 443
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: self-signed certificate in certificate chain
* Closing connection
curl: (60) SSL certificate problem: self-signed certificate in certificate chain
More details here: https://curl.se/docs/sslcerts.html

Là, cela dépasse mes compétences…

Si je teste l’adresse de mon routeur avec Open Port Check Tool - Test Port Forwarding on Your Router . Il signale que

  • Comme prévu sont ouverts à cette adresse 80, 443, 22, 587, 993
  • Sont fermés : 25 (c’est normal, le FAI ne veut pas) 5222 et 5269 alors que je les ai ouverts sur le routeur

Pour le reste

  • Quand je vais sur https://xxx.xxx.xxx.xxx (adresse IP publique) depuis un navigateur, j’arrive bien sur mon ynh (avec erreur https)

  • Chez Infomaniak, j’ai mis l’adresse IPv6 comme prévu

  • Dans mon routeur, je n’ai pas fait de port mapping IPv6 puisque l’ipv4 du routeur doit faire du NAT

  • J’ai une option DMZ IPv4 non activée qui demande un Hote DMZ si on l’active

https://paste.yunohost.org/raw/udazebozer

Une idée ?

4

vu en mp matrix,
placement du serveur en DMZ ,
la conf DNS est valide,
faut possiblement rebooter le routeur pour etre certain de la prise en compte,
et aussi peut-etre attendre la fin du timer coté LE s’il y a eu trop de tentatives infructueuses :wink:

tiens moi au jus via matrix :wink: mais là , ça devrait juste marcher si le nom de domaine est bien déclaré dans ton yunohost

5

OK, merci. J’ai rebooté. J’attends 24h car j’ai peut-être fait trop d’essais. Et si c’est bon, je l’indiquerai ici pour si d’autres users ont le même problème

1 Like
6

J’ai finalement réussi en mettant le pare-feux du routeur en mode faible, puis en forcant le certificat, puis en remettant le pare-feux en mode moyen.
Pas très élégant mais ca a marché
Merci à tout le monde !