[07:55:22]
<isAAAc> strange, after the synapse upgrade, port 8448 is unreachable from outside, the yunohost webadmin firewall say it is open in TCP & UDP , but telnet can't reach it
[07:55:49]
<isAAAc> netstat –tulnp |grep 8448 gives nothing back
[07:56:35]
<isAAAc> i tried to close the port via the webadmin , and then reopen it, but no change, tried a reboot too
[07:56:56]
<isAAAc> looks like the webadmin firewall mismatch with the reality on the server
[07:57:30]
<isAAAc> the VM has a direct public IP, so no NAT
[07:57:43]
<isAAAc> help welcome please <3
[07:57:55]
<isAAAc> (i'm around, at work)
[08:00:17]
<german_CableISP_> Hello
[08:00:48]
<german_CableISP_> guess what:
[08:00:57]
<german_CableISP_> i have a problem ;-)
[08:01:23]
<german_CableISP_> and i'm here to ask you friendly people in a gently way for help
[08:03:13]
<german_CableISP_> So, i'm a pale german newbie that is desperately trying to configure port-forwarding on a router from the german ISP "Pyur". They do Cable. Could u please help me making my yunohost-server work?
[08:10:06]
<german_CableISP_> hit me up, if you are willing to teach me how to set up that easy-going-anyone-can-do-but-me-Server
[08:14:30]
<isAAAc> or i can see some help on german forums about Pyur and port forwading : https://www.google.com/search?client=firefox-b-e&q=Pyur+port-forward
[08:21:58]
<german_CableISP_> thx, i tried with dmz and without
[08:22:30]
<german_CableISP_> thx for the link, will check it, before i continue anoying u
[08:23:21]
<german_CableISP_> final info: upnp failed cuz there was an error related to port 1900. (already been closed")
[08:48:52]
<nalla22> > <@ericg:matrix.org> because he probably knows that it will be useless https://github.com/ericgaspar/gameyfin_ynh
Parce que c'est toi le meilleur 👍️
[08:50:36]
<nalla22> Est-ce qu'il existe un tutorial pour packager soit même les applications pour Yunohost ?
Je sais qu'il y avait un tutoriel sur le site, mais il a été supprimé :/
[08:58:18]
<Jhon> Je me permet également d'intervenir, car beaucoup de monde demande un soutient de Yunohost pour l'application Tailscale, c'est une application essentiel aujourd'hui sur un serveur ! Il faut impérativement que Yunohost l'intègre. C'est vital.
[08:59:33]
<c> nalla22, oui il y a un tuto, et tu peux regarder comment fonctionnent les autres applis: https://yunohost.org/fr/packaging_apps_intro
[09:00:11]
<c> Jhon, par curiosité ça te servirait à quoi tailscale? je vois quelques usecases pour un VPN personnel, mais de là à dire que cela a quoi que ce soit d'essentiel je comprends pas ton usage :-)
[09:01:24]
<Jhon> > <c> nalla22, oui il y a un tuto, et tu peux regarder comment fonctionnent les autres applis: https://yunohost.org/fr/packaging_apps_intro
Merci. Est-ce qu'il faut être obligatoirement développeur pour fair le packaging ou c'est plutôt simple avec une application Docker ?
[09:02:18]
<c> Jhon, c'est plutôt simple, et c'est encore plus simple sans docker (mon avis personnel: docker est une pile de ***** ; plus objectivement, les applications yunohost sont natives pas contenairisées pour des questions de fiabilité et d'intégration)
[09:04:27]
<Jhon> > <c> Jhon, par curiosité ça te servirait à quoi tailscale? je vois quelques usecases pour un VPN personnel, mais de là à dire que cela a quoi que ce soit d'essentiel je comprends pas ton usage :-)
Tailscale servirait à cacher l'adresse IP d'un serveur distant. Yunohost sera installé sur une VM proxmox en local sans ouverture de port, tailscale utilisera le réseau d'un VPS pour exposer les services de la VM Yunohost en protégeant l'adresse IP d'origine sans ouverture de ports. Comme ngrock mais puissance mais en plus efficace !
[09:05:39]
<c> hmmm je vois... tu as eu des problèmes de DDOS? ça fait des décennies qu'on fait de l'autohébergement sans ça et qu'on a jamais eu besoin de cacher nos IP (sauf quand tu t'appelles wikileaks.org ou thepiratebay.org)
[09:05:54]
<nalla22> > <c> nalla22, oui il y a un tuto, et tu peux regarder comment fonctionnent les autres applis: https://yunohost.org/fr/packaging_apps_intro
Merci. J'essaerai de packager des applications :)
[09:08:02]
<c> sinon pour info Jhon tu peux déjà faire ça avec les outils natifs de ton serveur genre ce qu'on appelle un tunnel SSH, ou alors avec une configuration de type reverse proxy / jump host selon les applications... je dis pas ça pour te décourager de packager tailscale c'est super chouette comme outil (surtout si tu packages headscale avec pour ne pas dépendre des serveurs de la boîte) c'est juste au cas où tu connaîtrais pas :)
[09:08:10]
<Jhon> Voici mon shéma de protection :
switch OpenWRT (VPN1 sur VPS1 wireguard) --> Proxmox (VPN2 sur VPS2 wireguard) --> Proxmox VM (VPN3 sur VPS3 Tailscale)
[09:08:23]
<Jhon> J'ai besoin de beaucoup de sécurité !
[09:09:36]
<c> et bien je te souhaite bon courage ! et bonne journée à tout le monde x)
[09:09:48]
<Jhon> Il faut que je puisse exposer les service d'une VM en LAN sur le réseau d'un VPS, il me semble que TailScale soit la meilleur solution !
[09:10:59]
<Jhon> Plusieurs membre demandent l'intégration de tailscale depuis plusieurs années sans succès, il faut vraiment faire quelque chose :
[09:10:59]
<Jhon> https://forum.yunohost.org/t/tailscale-only-yunohost-possible-how-to-configure/23812
[09:11:05]
<Jhon> https://www.reddit.com/r/selfhosted/comments/of2jwg/yunohost_how_to_access_only_through_tailscale/
[09:11:17]
<Jhon> https://github.com/tailscale/tailscale/issues/6978
[09:16:53]
<c> Jhon, non si c'est pour du LAN via internet wireguard est clairement beaucoup mieux supporté/adapté de nos jours (il y a pas si longtemps je t'aurais dit OpenVPN)
[09:18:57]
<Jhon> Wireguard ne permet pas d'ouvrir les ports des services et n'accepte pas le protocole UDP. Tailscale est basé sur Wireguard et résoud tous ces problèmes, sinon les gens ne se casserai pas la tête avec tailscale qui est 10 fois plus compliqué que wireguard !
[09:19:39]
<Jhon> Wireguard n'est pas ngrock like
[09:21:10]
<c> j'ai lu les 3 threads: le troisième n'a rien à voir (c'est une question sur le packaging pour ARM), et les deux premiers mélangent beaucoup de concepts...
bon déjà on voit que si tu installes tailscale manuellement tout marche bien tu peux héberger tes services yunohost sur le domaine tailscale... ensuite ça parle de donner la même adresse à deux serveurs différents, et sur l'autre thread d'ouvrir les ports mais que pour générer des certificats TLS...
[09:22:22]
<c> Jhon, euh bah techniquement tu peux rediriger tout le trafic d'un port dans ton tunnel wireguard, mais c'est effectivement pas de ça que je parlais...
[09:24:08]
<c> et pour le coup si si les sysadmins adorent se casser la tête, le cas d'usage principal de Tailnet c'est d'avoir un LAN par-dessus les internet (comme tinc, zeronet et compagnie)... par contre Tailscale/Kurbernetes ne sert pas à grand chose pour l'autohébergement mais si tu lis /r/selfhosted t'as l'impression que c'est impossible en 2023 d'héberger des services sans ces bêtes ultra complexes :-/
[09:24:41]
<Jhon> Oui je peux effectuer la maneuovre manuellement, mais c'est très compliqué, et il y a aussi le problème des certificat SSL, si yunohost faisait une intégration officiel de l'outil ça serait tellement plus simple !
En sachant que j'aurai plusieurs VM yunohost à gérer, ce qui compliquera largement les choses si je dois gérer chaque installation tailscale manuellement
[09:24:45]
*c aussi adore se casser la tête :p
[09:27:20]
<c> Jhon, est-ce que tu veux détailler ton cas d'usage ? (en privé ou en public) peut-être avoir des retours d'expérience d'autres personnes sur des infras possibles à mettre en place ? là comme ça ça me paraît ultra complexe ce que tu me dis sans forcément apporter d'avantage... si tu es sûrE à 10000% de ce que tu fais pas besoin de répondre mais si tu veux des conseils d'autres sysadmins il y en a un paquet ici qui peuvent t'orienter (et sinon il y a des salons de conversation dédiés à l'autohébergement)
[09:28:06]
<c> dans tous les cas, ne me laisse pas te décourager de faire un paquet pour tailscale, c'est une super idée même si je pense que ce n'est pas adapté à ton cas d'usage :p
[09:28:31]
<tituspijean> > <@nalla22:matrix.org> Est-ce qu'il existe un tutorial pour packager soit même les applications pour Yunohost ?
> Je sais qu'il y avait un tutoriel sur le site, mais il a été supprimé :/
Ah bon?
[09:28:33]
<tituspijean> https://yunohost.org/fr/packaging_apps_intro
[09:30:52]
<tituspijean> Erf pardon, mon client etait pas synchronisé. Ça a été repondu
[09:46:45]
<Jhon> D'accord, je vais détailler au maximum mes objectifs et mon cas d'usage de YunoHost, en sachant que d'autres membres ont également d'autres objectifs de l'utilisation de Tailscale que mon utilisation personnelle de cet outil !
J'auto-héberge à la maison plusieurs sites politiques avec yunohost qui se font souvent attaquer. Pour des raisons de sécurité je veux protéger le réseau avec plusieurs couches VPN de redirections, mais je ne veux pas les faire passer par le DarkWEB, je veux toujours continuer de les publier sur le clearweb avec une connexion rapide, et en même temps j'ai plusieurs VM avec plusieurs instances yunohost.
Donc j'ai pensé à faire du Reverse proxy en utilisant les réseaux de VPS distants bon marché que je pourrais souvent changer à volonter, et les données seront toujours hébergés en local. En sachant aussi que les différentes instances yunohost peuvent rentrer en conflit si je diffuse tous les services par un seul routeur. Donc le cas le plus pratique est de na pas gérer les redirections de port et de laisser tailscale exposer l'entièreté des services de la VM par le réseau d'un VPS, ce qui aura comme effet de gérer les redirections de ports automatiquement et aussi le reverse proxy automatique.
Mais pour que ça fonctionne, il faut que tailscale soit synchroniser avec Yunohost, notamment sur les certificats SSL. En sachant que je peux faire un miroir de tous les dépôts essentiels au fonctionnement de Yunohost en local s'il faut (dépôt Yunohost, PIP, NPM, Debian...)
J'ai vu également que tituspijean a packagé l'interface client opensource de tailscale "Headscale" pour yunohost, mais je pense qu'elle n'est pas mise à jour : https://github.com/tituspijean/headscale_ynh
Est-ce que vous pouvez m'aider à résoudre ce problème et d'éventuellement automatiser l'installation de tailscale avec Yunohost ?
[10:06:38]
<tituspijean> En l'état ça ne marchera pas directement ni rapidement intégré dans YunoHost.
Combiner plusieurs couches de VPN et conserver une connexion rapide semble antinomique :)
On a justement parlé de configuration NGINX pour VPN hier soir lors de la réunion de contributeurs,à base de SNI pour conserver le chiffrement du serveur proxifié.
Ceci dit, ni tailscale ni headscale ne sont encore fonctionnels no intégrés dans ynh
[10:07:20]
<c> intéressant merci pour ces précisions ! ça ne répond pas tout à fait à ta question mais selon le type de service tu dois pouvoir faire du reverse proxy beaucoup plus simplement sans terminer la connexion TLS... par exemple pour du HTTPS tu peux faire ça : https://nginx.org/en/docs/stream/ngx_stream_ssl_preread_module.html
[10:12:19]
<Jhon> tituspijean
> Combiner plusieurs couches de VPN et conserver une connexion rapide semble antinomique :)
J'ai une connexion 1 Gbs montante, en utilisant des vps qui ne brident pas la connexion, il n'y a pas beaucoup de pertes. Je confirme que ça fonctionne toujours avec une bonne connexion !
[10:13:53]
<Jhon> > <c> intéressant merci pour ces précisions ! ça ne répond pas tout à fait à ta question mais selon le type de service tu dois pouvoir faire du reverse proxy beaucoup plus simplement sans terminer la connexion TLS... par exemple pour du HTTPS tu peux faire ça : https://nginx.org/en/docs/stream/ngx_stream_ssl_preread_module.html
Merci, il faudra que je fasse beaucoup de tests et je pense que ça va être un sacré casse tête. Mais dans tous les cas, ça sera ça ou rien. Car je refuse de faire les redirections manuellement pour chaque service !
[10:16:58]
<isAAAc> s/contionnait/fonctionnait
[10:18:25]
<c> Jhon, je t'ai envoyé un message en privé si ça t'intéresse x)
[10:18:32]
*isAAAc lance un `yunohost tools regen-conf -n`
[10:19:09]
<jobol> suite à installation/desinstallation/re-installation/redesinstallation/... jusquà virer mailman3 (rendez nous la 2), j'ai l'erreur suivante:
[10:22:39]
<isAAAc> jobol: mailman est officiellement en status broken depuis un bon gros moment: https://github.com/YunoHost-Apps/mailman_ynh
[10:31:17]
<c> rajoute moi en contact si tu veux, ou donne moi ton adresse pour te rajouter :)
[10:32:33]
<tituspijean> En tout cas les VPN sont un sujet super important pour les utilisateurs, j'en conviens. J'espère qu'on pourra intégrer et automatiser tout ça :)
[10:40:34]
<isAAAc> bon le regen-conf a rien changé
[10:43:49]
<isAAAc> yunohost firewall allow Both 8448 me dit que c'est déjà ouvert
[10:43:51]
<isAAAc> ><
[10:45:58]
<isAAAc> netstat –tulnp |grep 8448 me dit que nope c'est pas ouvert puisque ça répond rien
[11:05:35]
<Aleks (he/him/il/lui)> c'est sans doute la différence entre "avoir un port ouvert" et "avoir un programme qui écoute sur ce port"
[11:07:11]
<isAAAc> oui
[11:07:30]
<isAAAc> le pb vient de matrix-synapse qui se lance pas correctement
[11:07:44]
<isAAAc> https://github.com/YunoHost-Apps/synapse_ynh/issues/381
[11:08:01]
<Aleks (he/him/il/lui)> https://i.imgflip.com/7nzw1f.jpg
[11:08:20]
<isAAAc> Josue-T a fait un fix que j'ai appliqué, mais ça ne fixe pas le pb
[11:09:09]
<isAAAc> Aleks (he/him/il/lui): belle métaphore ;)
[11:37:59]
<c> spotted Jhon est un gros nazi (du type qui est « contre les Neo-NAZIS, qui n'ont strictement rien à voir avec les vrais nationaux socialistes du 3ème Reich »), je vous encourage à ne pas l'aider dans ses projets d'autohébergement
[11:38:24]
<c> (après je connais pas la politique de modération ici, perso je ban direct mais c'est pas mon chan)
[11:40:42]
<nalla22> > <c> spotted Jhon est un gros nazi (du type qui est « contre les Neo-NAZIS, qui n'ont strictement rien à voir avec les vrais nationaux socialistes du 3ème Reich »), je vous encourage à ne pas l'aider dans ses projets d'autohébergement
Bonjour, quel est le rapport avec Yunohost ?
Est-ce que tous les membres ici sont obligé d'avoir la même idéologie ?
[11:41:41]
<c> la même non, par contre y'a clairement des limites quand des personnes prônent des politiques génocidaires
[11:42:43]
<c> tu sais c'est l'histoire du bar avec un nazi qui traîne là et qui est plutôt sympa avec toi, bah si tu le laisses traîner là dans 2 mois t'as plus un bar sympa avec un pauvre nazi mais t'as un bar de nazis
[11:43:09]
<c> (le paradoxe de la tolérance, tout ça tout ça)
[11:43:52]
<nalla22> Alors réglez ça entre vous, mais n'amenez pas la politique dans un lieu qui ne la concerne pas. Si ce monsieur avait fait de la propagande politique ici, alors là d'accord, mais pour l'instant c'est vous qui faite de la propagande politique ici avec du hors sujet !
[11:44:23]
<nalla22> Donc pour l'instant c'est vous qui poluez le fil de discussion malheureusement...
[11:44:42]
<c> nalla22, c'est pas du hors sujet, si on fait du logiciel libre et de l'autohébergement c'est extrêmement politique, c'est dans une logique d'empouvoirement des personnes et des communautés, ce qui est exactement l'inverse de la politique nazie
[11:46:51]
<nalla22> On parle de la technique seulement, le logiciel libre n'est ni de droite, ni de gauche. On ne demande pas la carte d'identité aux membres pour savoir s'ils sont d'un côté ou de l'autre, sinon ça n'aura rien de libre, si vous avez eu un échange en privé alors réglez-le en privé, mais n'amenez pas ça ici, car on en a pas besoin !
[11:48:37]
<florent[m]> Le nazisme, c'est pas juste « être de droite »
[11:49:55]
<c> nalla22, moi j'ai réglé en privé, je lui ai donné des ressources pour s'informer un peu sur l'histoire du nazisme et du fascisme et comment hitler et mussolini étaient des pantin du patronat (l'équivalent du MEDEF de l'époque), et je lui ai dit que je ne l'aiderais pas ; pour moi en terme perso c'est fini
[11:50:10]
<nalla22> > Le nazisme, c'est pas juste « être de droite »
Même si tu es un mangeur d'enfants et tu t'intéresse à Yunohost, on est pas sensé le savoir, quelque soit vos préocupations politiques hors de la room YunoHost gardez les hors de la room de Yunohost !
[11:51:57]
<nalla22> Car pour l'instant ça pollu inutilement le fil de discussion
[11:52:06]
<florent[m]> > <@nalla22:matrix.org> Même si tu es un mangeur d'enfants et tu t'intéresse à Yunohost, on est pas sensé le savoir, quelque soit vos préocupations politiques hors de la room YunoHost gardez les hors de la room de Yunohost !
Tu es modérateur/rice ?
[11:52:15]
<florent[m]> J'attendrais pour suivre cette injonction à ce que les personnes qui ont la charge de ce salon m'en fassent la demande. Éventuellement je partirais dans une telle hypothèse
[11:52:55]
<c> l'histoire du bar avec les nazis (en anglais) pour les personnes qui ne connaissent pas: https://nitter.fdn.fr/IamRageSparkle/status/1280892535024619522
[11:54:00]
<nalla22> > Tu es modérateur/rice ?
Je ne suis pas modéractrice, mais je sais distinguer le privé du public, évitez de déversser votre bile en public si vous avez un problème privé à régler avec quelqu'un, surtout concernant la politique. Évitez de poluer bêtement un lieu qui n'est pas fait pour ça !
[11:55:43]
<florent[m]> Manque de temps et pas envie de continuer la conversation au détriment du message de c
[11:56:16]
<florent[m]> Je remets le message (qui me semble devoir attirer une attention particulière) :
https://matrix.to/#/!GevpWevrsZKluNMXsY:pijean.ovh/$tV5qfdA58unumk_yPWkbbEqnnp98lfaTrd7HuZxL-bI?via=matrix.org&via=libera.chat&via=aria-net.org
[11:58:36]
<eric_G> temper guys, temper!
[11:58:53]
<nalla22> c Pour ma part ce que je constate, c'est que vous avez commencé à parler de "NAZIS" en premier ici. Même si vous aviez raison dans votre discussion privé avec ce monsieur, ici vous avez tort, car il n'a aucunement fait mention de ce genres de choses, mais par contre vous êtes le premier à en parler. Malheureusement c'est vous qui êtes hors sujet...
[11:59:09]
<eric_G> ...or be ban
[12:16:44]
<Jhon> > <@nalla22:matrix.org> c Pour ma part ce que je constate, c'est que vous avez commencé à parler de "NAZIS" en premier ici. Même si vous aviez raison dans votre discussion privé avec ce monsieur, ici vous avez tort, car il n'a aucunement fait mention de ce genres de choses, mais par contre vous êtes le premier à en parler. Malheureusement c'est vous qui êtes hors sujet...
Le pire c'est que je n'ai rien dit de tous ce qu'il a dit, je lui ai seulement dit qu'il y avait des NEO-NAZIS en Ukraine, je ne sais pas pourquoi il en parle ici. bon, je préfère ne rien dire et passer mon chemin :/
[12:18:49]
<c> « je suis à 100% anti nouvel ordre mondial et contre l'empire judéo-américain ! »
« Je suis contre toute la clique gouvernementale qui jure que par l'appartenance à israël "Bernard Henry Levi, Jacques Attali, Soros..." et d'autres protagoniste du même genre. Dès à présent, tu as une idée assez précise de mon orientation politique ! »
« je te parle de l'idéologie juives ! »
je m'arrête là je n'ai pas envie de dériver plus, je vous laisse vous faire votre appréciation
[12:19:41]
*c sait faire la différence entre antisionnisme et antisémitisme, là on est clairement dans le deuxième cas
[12:57:14]
<NFEVREN> hi Nextcloud installation failed. How can I fix it
[13:01:21]
<lautre> There is some logs somewhere?
[13:29:16]
<Aleks (he/him/il/lui)> MFW reading the backlog https://media.tenor.com/14hr1KPxcCoAAAAC/community-donald-glover.gif
[13:53:18]
<tdlf32[m]> > <@titus[m]:libera.chat> En tout cas les VPN sont un sujet super important pour les utilisateurs, j'en conviens. J'espère qu'on pourra intégrer et automatiser tout ça :)
Je suis tout à fait d'accord. Je sais que Yunohost intègre une interface de gestion pour les connexionx Wireguard, s'il était possible de mettre en place une solution côté serveur pour supporter le protocol UDP ça serait top !
Plusieurs entreprise VPN qui se base sur la technologie wireguard comme "mulvad", intégre une prise en charge serveur pour le support de l'UDP.
[14:03:55]
<tituspijean> > <@Alekswag:matrix.org> MFW reading the backlog https://media.tenor.com/14hr1KPxcCoAAAAC/community-donald-glover.gif
idem. I'll try to decipher the situation a bit later today, but right now I'd prefer to keep talking about VPNs, whoever might end up using them, please.
[14:04:41]
<tituspijean> tdlf32[m] t'es OK pour continuer en anglais, comme le sujet peut intéresser pas mal de monde ?
[14:05:20]
<tdlf32[m]> > <@titus[m]:libera.chat> tdlf32[m] t'es OK pour continuer en anglais, comme le sujet peut intéresser pas mal de monde ?
No problem :)
[14:05:40]
<tituspijean> Great 🙂 So what do you mean by WireGuard not allowing UDP? 😲
[14:09:33]
<tdlf32[m]> > <@titus[m]:libera.chat> Great 🙂 So what do you mean by WireGuard not allowing UDP? 😲
Unlike OpenVPN, wireguard only handles TCP traffic but not UDP, so if you connect with a wireguard VPN hosted on the yunohost server, it's not possible, for example, to make a telegram call or any other service that requires the use of UDP!
This problem is already known and dealt with on several forums, and the only way to solve it is to tinker on the server side, but it's a bit complicated and doesn't work every time :/
[14:10:38]
<tituspijean> Do you have references about these solutions? I will have a look to integrate them in the app
[14:19:00]
<tdlf32[m]> > <@titus[m]:libera.chat> Do you have references about these solutions? I will have a look to integrate them in the app
https://github.com/lrvl/tunnel-wireguard-udp2raw
[14:21:52]
<tdlf32[m]> I think this is the solution. I'd like to point out that I use wireguard on top of tor with whonix. But I don't think that's where the problem lies, because the other VPNs "mulvad, windscribe..." work well above whonix!
[15:03:34]
<tdlf32[m]> Tailscale solves this problem, but requires a monster configuration. I'll probably have to do a lot of testing to get it to work with yunohost.
[19:29:17]
<@err404:matrix.org> As I read, wireguard use only UDP. https://en.wikipedia.org/wiki/WireGuard#Networking
What do you mean by using tcp through wireguard tunnel is not possible?
[20:00:57]
<florent[m]> > <@titus:pijean.ovh> idem. I'll try to decipher the situation a bit later today, but right now I'd prefer to keep talking about VPNs, whoever might end up using them, please.
I would not mind teaching some martial art to anyone if I were a master. I would mind if I received some testimony that my student used it to harm illegitimately.
At least I would decide what to do with the testimony beforehand.
Here I feel like the situation is very much the same. What do you think?
[20:03:11]
<florent[m]> (I understand your need to take time to decipher, but please, also consider my point)