Forum Astuces.divers Petit challenge du dimanche... Auto-hébergement, IPV6, Freebox et Lets Encrypt

Posté par labiloute le 25/02/18 à 10:56. Licence CC By‑SA.

Étiquettes :

fév.

2018

Bonjour à tous et bon gromanche !

je me trouve face a une difficulté avec Let's Encrypt et ma freebox. J'ai un petit serveur auto-hébergé à la maison derrière un nom de domaine .freeboxos.fr offert gracieusement par free.

J'ai donc un enregistrement A et, à ma grande surprise, un enregistrement AAAA pointant vers ma freebox, associés à mon sous-domaine .freeboxos.fr

Quand j'essaie de renouveler mon certificat Let's Encrypt, depuis que le serveur ACME (si je dis pas de bêtise) a une préférence pour l'IPv6, il tente de faire la vérification (challenge) dns sur l'adresse IPv6 et en cas d'echec, ne tente pas l'IPv4 (pas de fallback ipv4)

Or, l'adresse IPv6 en question est celle de ma freebox et non celle de mon serveur. D'autre part, je n'utilise pas vraiment IPv6 pour l'instant, j'ai simplement NATé mes ports (en IPv4) et pour l'instant ça me suffisait, même si je ne suis pas contre me lancer dans l'IPv6.

Au final, toutes mes demandes de renouvellement de certif L.E. tombent en "timeout", sûrement à cause de cette enregistrement AAAA dans le dns Free.

Auriez-vous une solution de contournement ou une idée pour que je puisse arriver à mes fins et remettre en route mon accès SSL depuis l'extérieur ?

Je n'ai pas plus envie que ça de prendre un autre nom de domaine, celui-là me convenait, il est gratuit et déjà paramétré sur pas mal d'appareil et de sessions.

Merci de votre aide !
Bécot !

# Ce n'est pas fait pour cela

Posté par Bruno le 26/02/18 à 09:00. Évalué à 2.

Free te permet d'utiliser un nom de domaine toto.freeboxos.fr pour accéder facilement à l'interface de ta freebox depuis l'Internet ou ton réseau local.
Free ne te fournit pas « gratuitement » un nom de domaine. En particulier tu n'as pas la main sur les enregistrement DNS.
Tu n'as pas la main non plus sur le certificat qui est géré par la Freebox (avec Let's Encrypt justement).
- [^] # Re: Ce n'est pas fait pour cela
  
  Posté par labiloute le 26/02/18 à 09:55. Évalué à -2.
  
  Tout à fait le genre de commentaire que l'on retrouve trop souvent sur Linuxfr.org. Inutile, condescendant, défonçant les portes ouvertes.
  
  Je sais pertinemment tout ça mais j’espérai que certains d'entre vous avaient déjà réussi à contourner cela.
  
  Il se trouve qu'au final, après le Nième essai, avoir désactivé l'IPv6 sur la box, rendu mon sous-domaine et l'avoir recrée, j'ai réussi sans trop savoir ce que j'ai fait. A suivre.
  - [^] # Re: Ce n'est pas fait pour cela
    
    Posté par Bruno le 26/02/18 à 10:21. Évalué à 2.
    
    Je ne vois pas en quoi j'ai été condescendant. Si tu savais tout cela, alors je n'ai tout simplement pas compris le sens de ta question.
    - [^] # Re: Ce n'est pas fait pour cela
      
      Posté par labiloute le 26/02/18 à 10:33. Évalué à 1. Dernière modification le 26/02/18 à 10:37.
      
      Si j'avais eu la main sur le DNS tu pense bien que j'aurai supprimé l'enregistrement AAAA.
      Comme tu vois, j'essaie de faire "avec ce que j'ai".
      Et en effet ça n'est pas offert "gratuitement", mais free n'est pas obligé de fournir ce genre de prestation pour être un fournisseur d'accès. C'est du "plus" s on peut dire.
      Bref, désolé après relecture de ta réponse en effet je me suis un peu emballé.
  - [^] # Re: Ce n'est pas fait pour cela
    
    Posté par NeoX le 26/02/18 à 10:28. Évalué à 4.
    
    j'ai réussi sans trop savoir ce que j'ai fait. A suivre.
    
    Letsencrypt, depuis que le serveur ACME (si je dis pas de bêtise) a une préférence pour l'IPv6, il tente de faire la vérification (challenge) dns sur l'adresse IPv6 et en cas d'echec, ne tente pas l'IPv4 (pas de fallback ipv4)
    
    Il se trouve qu'au final, après le Nième essai, avoir désactivé l'IPv6 sur la box , rendu mon sous-domaine et l'avoir recrée,
    
    donc finalement tu as fait en sorte que ta connexion soit purement en IPv4, du coup le serveur ACME te trouve, et ca marche
    - [^] # Re: Ce n'est pas fait pour cela
      
      Posté par labiloute le 26/02/18 à 10:34. Évalué à 1.
      
      Sûrement, mais pourtant les DNS renvoyaient toujours l'adresse IPv6 sur un "dig", étrange.
      - [^] # Re: Ce n'est pas fait pour cela
        
        Posté par NeoX le 26/02/18 à 12:27. Évalué à 3.
        
        ton DNS, mais peut-etre plus celui de LetsEncrypt
    - [^] # Re: Ce n'est pas fait pour cela
      
      Posté par Bruno le 26/02/18 à 10:38. Évalué à 3. Dernière modification le 26/02/18 à 10:39.
      
      donc finalement tu as fait en sorte que ta connexion soit purement en IPv4, du coup le serveur ACME te trouve, et ca marche
      
      Pour l'instant…
      Du coup le certificat Let'sEncrypt est à la fois géré, et renouvelé automatiquement, par la Freebox et par le serveur derrière la Freebox. Ça risque quand même de poser problème…
      - [^] # Re: Ce n'est pas fait pour cela
        
        Posté par labiloute le 26/02/18 à 11:03. Évalué à 1.
        
        Je crois que pour l'instant L.E supporte qu'un certificat concernant le même nom de domaine soit attribué à plusieurs demandes. J'ai déjà rencontré le cas (ça permet par exemple de migrer d'un serveur à un autre en toute transparence, quand toute ou partie des nom de domaine change et que je regénération d'un certif est nécessaire)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.