Full-HTTPS support for Duniter package for YunoHost

Support Self-hosting
61

Tu ne pourras pas mettre le port 80 dans aucun de tes Cesium, vu que tu les consultes en HTTPS. Ça ne fonctionnera pas, c’est une sécurité de ton navigateur.

C’est pour la même raison : quand tu consultes Cesium en HTTPS, ton navigateur ne peux communiquer qu’avec des nœuds eux-mêmes en HTTPS.

Non aucunement, ni :

Le nom de domaine est bien résolu en 83.201.240.72, mais aucune connexion n’est possible. Par contre toi, en cliquant sur une de ces 2 URLs, tu devrais tomber sur :


{
  "duniter": {
    "software": "duniter",
    "version": "0.91.0",
    "forkWindowSize": 100
  }
}

Et tu devrais accéder à la WebUI via https://duniter.ladouce.leprette.fr/webui.

Peux-tu confirmer ? A mon avis tu as un firewall supplémentaire qui filtre les connexions entrantes, car même Nginx ne nous répond pas.

1 Like
62

oui, je confirme!
Merci, j’ai bien compris le coup des Cesium en HTTPS. Du moment que ça fonctionne ainsi, ça me va.

Par contre, je suppose que c’est gênant que vous ne puissiez pas voir notre noeud. Tu parles de firewall, je suppose que c’est la livebox qui pose problème.
J’ai pourtant ouvert tous ces ports:

5353

5269

5222

993

587

465

443

80

53

25

22

Comment faire?

63

Tu n’utilises pas une sorte de VPN ?

64

non, je n’en utilise pas, mon rasp est branché juste derrière la livebox.
Par contre, n’ayant pas d’IP fixe, j’utilise Dynhost de OVH et DDclient sur le rasp pour la les DNS.
Est-ce que ça joue?

65

Voici les règles de pare feu de la livebox. Je viens de la passer de moyen à faible. Vous voyez mon noeuds maintenant?

choisir le niveau de sécurité

faible
Le pare-feu ne filtre rien. Attention, ce niveau est réservé aux utilisateurs avancés pour lesquels la sécurité n’est pas une priorité. Veuillez noter aussi que même dans ce mode une connexion initiée depuis Internet sera rejetée si une règle NAT/PAT correspondante n’a pas été créée.

moyen
Le pare-feu filtre toutes les connexions entrantes. le trafic sortant est autorisé à l’exception des services netbios. Il est recommandé d’utiliser ce mode.

élevé
Le pare-feu vous permet d’utiliser les applications standards sur Internet (web, mail, news…) et rejette les connexions entrantes non désirées. Ce choix est recommandé pour disposer d’un niveau de sécurité maximal. Attention : incompatible avec Unik et d’autres services.

personnaliser
Ce profil vous permet de personnaliser votre pare-feu. vous pouvez ainsi définir des règles de filtrage spécifiques. (réservé aux utilisateurs experts).

66

A mon avis oui, c’est la principale différence que je vois. Notamment, tu pourrais faire un ping sur ton adresse duniter.ladouce.leprette.fr pour vérifier qu’on a bien la même IP résolue.

J’ai essayé à nouveau avec ta configuration de sécurité, cela ne marche pas plus pour moi.

67

ben depuis chez moi, c’est l’ip interne qui répond qu ping, 192.168.1.15 car à cause du loopback de la livebox, j’ai dû changer le /etc/hosts file .

Et si je m’étais l’ip du raps en DMZ dans la livebox, ça fonctionnerait? J’ai lu plein d’avertissement disant que c’était dangereux d’utiliser le DMZ. Vous en pensez quoi?

Je viens de le faire pour essayer. Vous voyez notre nœud désormais?

68

Je ne sais pas quoi penser de la DMZ. Enfin j’ai testé à nouveau et je n’ai toujours aucune réponse.

Aurais-tu un service public autre que Duniter sur ton Raspi ? Histoire qu’on puisse avoir une configuration exemple qui fonctionne déjà.

69

Je viens de le voir passer sur http://gtest.duniter.fr/#/app/network .
Et vous?

image.png1068×282 30.3 KB

C’est bon signe?

Par contre, je ne le vois pas dans mon duniter installé dans mon ordi…
Et je ne peux toujours pas changer duniter.ladouce.leprette.fr:443 pour duniter.ladouce.leprette.fr:80 dans les paramètres de Cesium (ni embarqué de duniter ni app simple de yunohost)

70

Oui là ton nœud fonctionne parfaitement, et est accessible aussi bien sur 443 que 80 (ce qui est normal).

Oui, ces 2 choses sont pour la même raison que ce que je t’expliquais plus haut. C’est tout à fait normal.

Bref, là pour moi, ton nœud est au top de l’état de l’art.

Qu’as-tu changé ?

71

Si je te dis que je ne sais pas trop… :slight_smile:
Des trucs dans DDclient…
Redémarrage de livebox…

Il faudrait que j’accède à mon cesium sans https, c’est ça? Peut être avec un nouveau navigateur. Si je change une fois c’est suffisant, avec mon firefox, ça va se changer aussi?

Edit1 : en effet, dans chromium, j’accède à ladouce.leprette.fr/cesium et je peux mettre dans les paramètres duniter.ladouce.leprette.fr:80
Par contre, de retour dans mon firefox, c’est toujours sur 443…
Est-ce bien grave?

72

Oui tout à fait. Si tu as coché “accès public à Cesium”, je pense que tu devrais pouvoir accéder à : http://duniter.ladouce.leprette.fr/cesium/, donc en HTTP.

73

C’est comme tu le sens :slight_smile: Mais oui moi c’est l’inverse, Chromium tend systématiquement à rebasculer en HTTPS.

74

mise à jour sur le yunohost sans accroc ce soir vers la 0.91.1. Au poil!

2 Likes
75

J’ai apporté un correctif pour utiliser BMA sur le port 80.
En plus, ça ajoute un endpoint BMAS sur le port 443 pour le https \o/

À présent, ces nœuds devraient être affichés dans Sakia.
Par contre, je ne l’ai pas géré dans la mise à jour du paquet. Il faudra réinstaller pour que ça prenne effet.

1 Like
76

Je viens de tester, ça fonctionne parfaitement :thumbsup:

Sinon, une suggestion d’amélioration supplémentaire : que les paramètres par défaut dans le manifest.json correspondent aux données connues de Ğ1, à savoir :

2 Likes
77

Donc si on ré-installe, ce sera utilisable sur 443? Plus besoin de changer “remoteport”: 443 pour “remoteport”: 80?
C’est ça?
J’essaierai lundi, quand je passerai le nœud de ma mère à G1 (inscription prévue dimanche).

78

Oui, c’est bien ça.

1 Like
79

Noeud de “La Douce” mis à jour vers G1 avec la pubkey de Isabelleleprette, nouvellement inscrite (hier soir), en recherche de certification pour devenir membre. [47nsjxBeqFRnNngRRB2tWUVKZWbeTbmhVzhV4sskAeRC]
Nickel, l’installation s’est très bien passée, tout simplement.
Et maintenant, tout est en HTTPS sur port 443.
Merci Moul.
Par contre, Cesium est en V0.10.2 et n’intègre pas Cesium+. C’est normal @kimamila?

Au fait, voyez-vous ce nouveau noeud sur le réseau de G1? [ça fait un noeud en moins pour Gtest…]

80

Pour l’instant, non !