Info : freebox (crystal) et IPV6

Tu n’es pas obligé d’activer IPv6 pour participer à Duniter (personnellement, je ne l’ai pas activé). Par contre ça veut dire que ton nœud ne peut potentiellement pas communiquer avec les nœuds du réseau qui seraient exclusivement en IPv6 (il me semble qu’il n’y en a pas actuellement). Pour l’instant, ça ne pose pas de problème car même en admettant que certains nœuds soient exclusivement en IPv6, il y aurait toujours des nœuds sur les 2 protocoles pour faire le pont (ça rajouterait de la latence, mais bon).

C’était, à priori ce que j’avais cru comprendre (que IPV6 c’était mieux pour duniter) … par contre est-ce que je peux
dans l’onglet « settings » « network » mettre les deux protocoles ? actuellement je n’ai que IPV6 (image jointe)

Concernant la freebox … bien sur après avoir activer le support ipv6, il faut comme d’habitude rebooter la freebox …
Je pense qu’il est aussi nécessaire de rebooter sa machine

de la latence … je crois que si j’ai les deux … je pourrais servir de pont ?

Bien à vous. G.

Je vais attendre vos réponses et mettre les deux

Re:

questions annexes : le bouton “save and apply network settings” de l’onglet “settings/network” fait il une sauvegarde de la configuration réseau sur le disque dur ou bien juste “on the fly” ?
Quelle différence avec la commande “duniter wizard network” (a part le fait que l’on ne puisse pas mettre de domaine) ?

Certains semblent privilégier le remote port 443 … pourquoi ?
Si je choisis 443, est-ce que je dois ouvrir le port en NATant comme ceci Externe: 443 Local machine : 192.168.0.XX Local port: 443 ?
ou bien celui de mon choix en port local ? en reportant ces infos dans “settings/network” ?

G.

Pardon de ces questions mais je suis loin d’être un spécialiste réseau

Sois bien conscient tout de même qu’en activant IPv6, les machines (ou autres « trucs connectés ») qui étaient auparavant seulement visible dans ton réseau local se retrouvent d’un coup visibles sur tout internet. Il faut se poser des questions en terme de sécurité. :wink:

Pour l’activation de IPv6 dans Duniter, je n’ai jamais fait mais oui du coup tu peux activer les deux protocoles (et oui la config est sauvegardée sur disque quand tu sauvegardes dans duniter desktop), et au final ça revient au même que de le faire en ligne de commande (ou même éditer le fichier de config à la main au final, même si c’est moins recommandé!).

Pour le port 443, c’est le port par défaut de SSL, mais pour avoir SSL il te faut passer par un outil tiers comme nginx ou stunnel (sacha a apparemment réussi à le faire fonctionner) car Duniter ne gère pas le SSL lui-même.

Merci …

en terme de sécurité ? … peux être pourrais tu en dire plus ? … tu ne parles pas ici du P2P duniter je pense mais plutôt à ma machine non ?

Ok pour les configs (il est où le fichier config dans ~/.duniter …?)

J’avais peur que tu me parles de nginx … mon cauchemar du moment … (en proxy ?)
Pour la petite histoire je migre d’Apache2 vers nginx et de Mysql vers mariadb … car les deux ne sont plus distribués par la debian stretch … et j’arrive péniblement à faire marcher deux ou trois sites en local + phpmyadmin … deplus sans récriture d’adresse, car je n’y suis pas arrivé.

Donc 443 (SSL) avec nginx en proxy … et ben … bonjour
Le ciel est bleu et le block est le numéro 13038 … lol
G.
PS: ah oui … quid de l’emploi d’un VPN (vpntunnel.com) ?

Voilà une page pour démarrer: https://www.ovh.com/fr/a502.ce_quil_faut_savoir_avant_de_passer_a_lipv6
Pour résumer, a minima avoir un firewall sur chaque objet connecté qui est susceptible d’utiliser réellement IPv6 et mettre régulièrement à jour les firmware de tes routeurs si tu en as par exemple.

Tu peux peut-être essayer stunnel, sacha ( @3ge ) avait l’air de dire sur le chat l’autre jour que ça s’était bien passé, perso je n’ai pas encore essayé mais j’ai une config qui marchotte (problème de certificat sur lequel il faudrait que je me penche) avec nginx. Tu peux t’inspirer des configs yunohost…

Pour un vpn, c’est autre chose, pour l’instant ce n’est pas vraiment envisagé pour Duniter, même si certains se sont posé la question. Et Duniter ne chiffre rien dans ses communications (et d’ailleurs, tout est accessible par BMA en http), tout passe en clair, ce qui n’est pas grave en soi puisque tout cela est de l’information publique (blockchain publique de toute façon). À confirmer quand même avec @cgeek parce que je n’ai pas vérifié avec le code mais c’est ce que j’en ai compris. Mais c’est aussi un peu pour ça qu’il est plutôt préférable de passer par du SSL pour laisser traîner le moins de choses possible en clair sur le réseau, ne serait-ce qu’en terme de surveillance de ta ligne…

Merci … pour tout … je vais lire les liens que tu m’as donné … mais pour le SSL, l’intérêt d’un VPN devient évident
G.

PS : je suis preneur d’une config nginx

Oui il n’y a aucune donnée chiffrée dans Duniter, tout peut circuler en clair. La seule chose à cacher, c’est sa clé privée. Mais jamais Duniter ne la fait circuler :slight_smile:

Ce qui veut dire que duniter a la maitrise de nos clefs privés ce qui veut dire de nos comptes … alors là bravo
Je me demandais quelle sorte de cryptographie duniter utilisait … OpenPGP ?
Sur mon système il n’y a que moi qui ait accés à cette clé privée

Rassurez moi la clef de révocation … ? Elle sert bien a révoquer son jeux de clé ?
Ou bien on est duniterisé à vie ?

Vous me faites peur les mecs

Tu auras plusieurs réponses à tes questions ici : https://duniter.org/fr/comprendre/theorie

Une petite recherche sur le forum et tu auras les autres.

je suis un imbécile

J’aurais dû en plus commencer par la théorie mais trop de théorie me donne … pour finir la nausée … bien que je le saches depuis longtemps (mes ainées m’ont dit passez de la théorie à la pratqiue et vice versa … dans un mouvement dialectique) … je décroches … suis trop fatigué

Je t’ai envoyé un mail privé
Bon courage
Guy
PS: tu n’as pas répondu sur la révocation !!

“Chaque membre d’une communauté monétaire devrait être égal face à
l’émission de la monnaie et en obtenir la même quantité relative au
cours du temps, même s’il adopte le système en cours de route.
Duniter tend à corriger ce défaut en faisant croître le Dividende
Universel en fonction du temps selon des règles précises permettant aux
membres d’obtenir une quantité égale de monnaie sur la période d’une
demie vie.”

… en cours de route. Si on entre dans la monnaie, va t on recevoir un DU plus important selon l’âge d’entrée ?

Voici ma config, pour que ça fonctionne il faut changer la config réseau de ton nœud duniter pour lui dire d’écouter sur localhost (interface lo) :

# Reverse proxy nginx pour mon noeud membre duniter avec https

server {
	listen 80; listen [::]:80; 
	server_name g1.elois.org;
	
	location / {
	        proxy_set_header Host $host;
	        proxy_set_header X-Real-IP $remote_addr;
		    proxy_pass http://127.0.0.1:10901/;
	}
}

server {
	listen 443; listen [::]:443; 
	server_name g1.elois.org;

	ssl                       on;
	ssl_certificate           /etc/letsencrypt/live/g1.elois.org/fullchain.pem;
	ssl_certificate_key       /etc/letsencrypt/keys/0001_key-certbot.pem;
	ssl_protocols             TLSv1 TLSv1.1 TLSv1.2;
	ssl_prefer_server_ciphers on;

	location / {
		proxy_set_header Host $host;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_pass http://127.0.0.1:10901/;
	}
}

Oui, elle sert bien à révoquer son jeu de clés (en d’autres terme, révoquer la clé publique). Et du coup la révocation permet de changer de compte au besoin (avec nécessité de réobtenir 5 certifications, mais ça ne devrait pas être un problème).

Non, c’est juste que pour un nouvel entrant il y a énormément de données et de notions à absorber d’un coup. Prends ton temps, ça va bien se passer. :slight_smile:

Non, le DU est fixe et il n’y a aucune différence d’une identité à une autre. Alors oui, tu vas avoir un petit désavantage si tu rentres tard dans la monnaie. Mais cette différence va s’effacer avec le temps (au lieu d’augmenter comme dans bitcoin). Il serait bien trop complexe (et au final très peu judicieux à mon avis) d’avoir un système qui tienne compte de ton âge d’entrée. De toute façon, on en est tous au même point aujourd’hui, et même si les nouveaux entrants ont un peu de retard sur les premiers entrés, dans quelques mois la différence s’estompera d’elle-même, du fait de la dilution des Ğ1 générés au début dans la masse monétaire en expansion.

Merci beaucoup … dans la config network de duniter, j’ecoute en lo sur ipv4 ET ipv6 ? et en remote host je mets mon adresse ip externe ou mon nom de domaine dynamique DNS qui pointe sur ma machine ? c’est bien ça.

Est-ce que je peux séparer les deux server { listen 80 … et server { listen 443 … dans deux sites-available ?

Donc je change ma config réseau duniter pour écouter sur le lo … et sur le port local : 10901 ?

Merci de tes réponses et de ta config nginx

Guy

Merci de ta réponse

je ne pensais pas à cette asymétrie là (ancien/nouveau entrant)… mais bien à la différence d’âge des participants (62ans pour moi) contre peut-être 32 pour toi … ça fait un delta par rapport à la demi-esperance de vie ou demi-vie …

G.
Mais bon … on ne va pas rester frustré sur l’âge du capitaine … comme on dit parfois : “il n’aura pas beaucoup profiter de sa retraite” ayant travaillé toute sa vie le pistolet de la survie sur la tempe … Donc je suis très honoré de participer au sens de la relativité de la valeur (et non plus de la valeur d’échange (génératrice de survaleur privée) calibrée sur le temps abstrait de travail) … avanti les d’jeuns lol

non, c’est le reverse proxy nginx qui écoute le monde extérieur et qui gérera l’ipv6, donc ton nœud duniter a juste besoin d’écouter en lo sur ipv4 et tu met none pour ipv6.

Non, c’est nginx qui fait le boulot tu peut laisser vide remote ip et remote host.

Oui ça marchera tout aussi bien mais je vois pas l’intérêt… m’enfin tu découpe ta config comme tu l’entend c’est ta machine :slight_smile:

Oui, enfin pour le port ça peut être celui que tu veut en fait, faut juste que ce soit le même dans ta config nginx et ta config duniter.
Mais pour que ça marche sur 443 faut aussi que tu te créer un certificat via let’sencrypt !

D’accord je crois que j’ai compris à travailler (il n’y a pas un réseau duniter pour la monnaie Ǧtest pour essai ?)… mais il faut que je NAT le port 443 (du routeur de ma box) externe vers 443 local et nginx se charge du reste puisque le serveur name est le même … that is ? …

il viens de s’éteindre… faudra attentdre qq semaines pour un nouveau réseau de test :slight_smile:

Exactement.