Full-HTTPS support for Duniter package for YunoHost

Support Self-hosting
56

Sapristi : Échec de l’installation
zut alors ce n’était pas arrive encore…
Que faire?

Je copie ici les dernières lignes (j’ai l’impression qu’il faut que j’ouvre d’autres ports sur la livebox qui n’était peut être pas nécessaire avant) :
Échec de l’installation

  • 5353

  • 5269

  • 5222

  • 993

  • 587

  • 465

  • 443

  • 80

  • 53

  • 25

  • 22

opened_ports:

Le pare-feu a été rechargé

  • sudo yunohost firewall disallow TCP 8999

  • sudo service nginx reload

  • sudo rm -f /etc/nginx/conf.d/duniter.ladouce.leprette.fr.d/duniter.conf

Service « duniter » inconnu

  • sudo yunohost service remove duniter

  • sudo rm -rf /root/.conf/duniter

Edit1 : j’ai ouvert le port 5353 que je n’avais pas ouvert encore jusqu’à présent. J’ai redémarré le rasp et relancé l’installation.

57

Là il faut faire appel à l’expert : @Moul :slight_smile:

Mais à mon avis tu as tout simplement désinstallé Duniter.

58

j’ai voulu le mettre à jour : sudo yunohost app upgrade duniter -u https://github.com/c-geek/duniter_ynh
mais ça ne s’est pas passé comme attendu.
Erreur : Impossible de mettre à jour duniter
Erreur : Aucune application à mettre à jour
Du coup j’ai désinstallé puis j’ai voulu réinstallé mais là…
Échec de l’installation
avec les problèmes de port.
J’ouvre le port 5353 sur la livebox
et relance une nouvelle installation.
Ça fait un moment que ça dure. On dirait que ça se passe bien
Synchronizing with gtest.duniter.org:10900. It may take a while.
2017-03-03T22:48:12+01:00 - e[36mdebuge[39m: 6750

Edit : ah ben non, pas si bien que ça :
504 Gateway Time-out

Que faire? J’aurais voulu que ça fonctionne pour demain. Finalement on a repousser à samedi le temps “serveur familiale et monnaie libre”.

Edit2 : on dirait que ça n’a pas géné :
2017-03-03T22:56:39+01:00 - e[36mdebuge[39m: 7250

59

C’est bon la réinstallation a eu lieu, sur le port 80. Par contre, je ne peux toujours pas changer le port 80 dans aucun des deux Cesium.

Tiens donc, dans le Cesium embarqué, il n’y a pas Cesium+. Par contre, le favicon est apparu aussi dans le Cesium embarqué,

Dans les deux Cesium, seulement deux nœuds miroirs apparaissent et zero nœuds membres alors que dans Duniter, il y a tout une tripoté de nœuds.
Pourquoi?

Vous le voyez maintenant le nœuds https://duniter.ladouce.leprette.fr ?

60

Ah oui, je vois le problème : je n’ai pas encore passé le noeud de données ElasticSearch (utilisé par Cesium+) en HTTPS. En revanche je l’ai fait celui de Ğ1.
Je fera cela la semaine prochaine.

1 Like
61

Tu ne pourras pas mettre le port 80 dans aucun de tes Cesium, vu que tu les consultes en HTTPS. Ça ne fonctionnera pas, c’est une sécurité de ton navigateur.

C’est pour la même raison : quand tu consultes Cesium en HTTPS, ton navigateur ne peux communiquer qu’avec des nœuds eux-mêmes en HTTPS.

Non aucunement, ni :

Le nom de domaine est bien résolu en 83.201.240.72, mais aucune connexion n’est possible. Par contre toi, en cliquant sur une de ces 2 URLs, tu devrais tomber sur :


{
  "duniter": {
    "software": "duniter",
    "version": "0.91.0",
    "forkWindowSize": 100
  }
}

Et tu devrais accéder à la WebUI via https://duniter.ladouce.leprette.fr/webui.

Peux-tu confirmer ? A mon avis tu as un firewall supplémentaire qui filtre les connexions entrantes, car même Nginx ne nous répond pas.

1 Like
62

oui, je confirme!
Merci, j’ai bien compris le coup des Cesium en HTTPS. Du moment que ça fonctionne ainsi, ça me va.

Par contre, je suppose que c’est gênant que vous ne puissiez pas voir notre noeud. Tu parles de firewall, je suppose que c’est la livebox qui pose problème.
J’ai pourtant ouvert tous ces ports:

5353

5269

5222

993

587

465

443

80

53

25

22

Comment faire?

63

Tu n’utilises pas une sorte de VPN ?

64

non, je n’en utilise pas, mon rasp est branché juste derrière la livebox.
Par contre, n’ayant pas d’IP fixe, j’utilise Dynhost de OVH et DDclient sur le rasp pour la les DNS.
Est-ce que ça joue?

65

Voici les règles de pare feu de la livebox. Je viens de la passer de moyen à faible. Vous voyez mon noeuds maintenant?

choisir le niveau de sécurité

faible
Le pare-feu ne filtre rien. Attention, ce niveau est réservé aux utilisateurs avancés pour lesquels la sécurité n’est pas une priorité. Veuillez noter aussi que même dans ce mode une connexion initiée depuis Internet sera rejetée si une règle NAT/PAT correspondante n’a pas été créée.

moyen
Le pare-feu filtre toutes les connexions entrantes. le trafic sortant est autorisé à l’exception des services netbios. Il est recommandé d’utiliser ce mode.

élevé
Le pare-feu vous permet d’utiliser les applications standards sur Internet (web, mail, news…) et rejette les connexions entrantes non désirées. Ce choix est recommandé pour disposer d’un niveau de sécurité maximal. Attention : incompatible avec Unik et d’autres services.

personnaliser
Ce profil vous permet de personnaliser votre pare-feu. vous pouvez ainsi définir des règles de filtrage spécifiques. (réservé aux utilisateurs experts).

66

A mon avis oui, c’est la principale différence que je vois. Notamment, tu pourrais faire un ping sur ton adresse duniter.ladouce.leprette.fr pour vérifier qu’on a bien la même IP résolue.

J’ai essayé à nouveau avec ta configuration de sécurité, cela ne marche pas plus pour moi.

67

ben depuis chez moi, c’est l’ip interne qui répond qu ping, 192.168.1.15 car à cause du loopback de la livebox, j’ai dû changer le /etc/hosts file .

Et si je m’étais l’ip du raps en DMZ dans la livebox, ça fonctionnerait? J’ai lu plein d’avertissement disant que c’était dangereux d’utiliser le DMZ. Vous en pensez quoi?

Je viens de le faire pour essayer. Vous voyez notre nœud désormais?

68

Je ne sais pas quoi penser de la DMZ. Enfin j’ai testé à nouveau et je n’ai toujours aucune réponse.

Aurais-tu un service public autre que Duniter sur ton Raspi ? Histoire qu’on puisse avoir une configuration exemple qui fonctionne déjà.

69

Je viens de le voir passer sur http://gtest.duniter.fr/#/app/network .
Et vous?

image.png1068×282 30.3 KB

C’est bon signe?

Par contre, je ne le vois pas dans mon duniter installé dans mon ordi…
Et je ne peux toujours pas changer duniter.ladouce.leprette.fr:443 pour duniter.ladouce.leprette.fr:80 dans les paramètres de Cesium (ni embarqué de duniter ni app simple de yunohost)

70

Oui là ton nœud fonctionne parfaitement, et est accessible aussi bien sur 443 que 80 (ce qui est normal).

Oui, ces 2 choses sont pour la même raison que ce que je t’expliquais plus haut. C’est tout à fait normal.

Bref, là pour moi, ton nœud est au top de l’état de l’art.

Qu’as-tu changé ?

71

Si je te dis que je ne sais pas trop… :slight_smile:
Des trucs dans DDclient…
Redémarrage de livebox…

Il faudrait que j’accède à mon cesium sans https, c’est ça? Peut être avec un nouveau navigateur. Si je change une fois c’est suffisant, avec mon firefox, ça va se changer aussi?

Edit1 : en effet, dans chromium, j’accède à ladouce.leprette.fr/cesium et je peux mettre dans les paramètres duniter.ladouce.leprette.fr:80
Par contre, de retour dans mon firefox, c’est toujours sur 443…
Est-ce bien grave?

72

Oui tout à fait. Si tu as coché “accès public à Cesium”, je pense que tu devrais pouvoir accéder à : http://duniter.ladouce.leprette.fr/cesium/, donc en HTTP.

73

C’est comme tu le sens :slight_smile: Mais oui moi c’est l’inverse, Chromium tend systématiquement à rebasculer en HTTPS.

74

mise à jour sur le yunohost sans accroc ce soir vers la 0.91.1. Au poil!

2 Likes
75

J’ai apporté un correctif pour utiliser BMA sur le port 80.
En plus, ça ajoute un endpoint BMAS sur le port 443 pour le https \o/

À présent, ces nœuds devraient être affichés dans Sakia.
Par contre, je ne l’ai pas géré dans la mise à jour du paquet. Il faudra réinstaller pour que ça prenne effet.

1 Like